Las Vegas : ses casinos, ses décors de films, ses sosies du King et ses lumières... en informatique ! Jeudi 30 juillet, lors de l'édition annuelle américaine de la conférence Black Hat (qui se tenait au mythique Caesars Palace), d'importantes failles de sécurité ont été pointées du doigt dans le protocole Secure Socket Layer (SSL) - appelé également Transport Layer Security (TLS)- qui sert à la sécurisation des communications sur Internet.
C'est la deuxième fois au cours des six derniers mois que le SSL est ainsi mis à mal (souvenez-vous, fin 2008, lorsque des chercheurs avaient trouvé le moyen de créer une autorité de délivrance de certificats qui pouvait fournir des certificats frauduleux, mais pourtant acceptés par n'importe quel navigateur).
En effet, les spécialistes de cette conférence (qui regroupe aussi bien des experts gouvernementaux que des hackers underground) ont été catégoriques : ils ont prouvé qu'il était possible de soustraire une quantité non négligeable d'informations sensibles aux internautes via les failles détectées (mots de passe, informations bancaires en ligne, accès Paypal, installation de mises a jour Firefox frelatées, etc.).
Les failles dévoilées sont nombreuses, et les chercheurs ont également révélé plusieurs attaques qui pourraient être utilisées grâce a ces faiblesses pour compromettre un trafic sécurisé d'informations entre les sites Internet et les navigateurs, notamment des attaques de type "Man-in-the-Middle" (attaque par laquelle l'attaquant observe et intercepte les messages et les échanges de données entre deux parties, sans que ni l'une ni l'autre de ces dernières ne puisse se douter que le canal de communication entre elles a été compromis).
Le chercheur en sécurité répondant au pseudonyme de Moxie Marlinspike a d'ailleurs présenté lors de son intervention, une attaque de ce type qu'il juge "indétectable" et utilisant l'impossibilité pour certains programmes de lire la suite d'un texte lorsqu'ils y perçoivent un caractère "nul" (voir les liens en bas de l'article pour plus de détails).
Et il y a pire. Selon Dan Kaminsky : "Nous avons découvert qu'un grand nombre de programmes dépendent de certificats issus de la technologie cryptographique MD2". Or, il apparaît que MD2 est plutôt vétuste dans son genre, et il suffirait de "seulement quelques mois à un pirate déterminé pour la décrypter", explique le chercheur.
Tim Callan, vice président du marketing produit chez VeriSign, a indiqué que sa firme avait arrêté de signer des certificats en utilisant MD2 en mai. Mais cela ne suffit pas selon Dan Kaminski, qui rétorque : "Un grand nombre de sites web sont basés sur ce certificat [...], il est au coeur de chaque navigateur de cette planète [...], on ne peut pas s'en débarrasser sans se débarrasser du Web". Autrement dit, c'est le serpent qui se mord la queue.
Il serait cependant possible aux développeurs de programmer leurs logiciels pour qu'ils ne fassent pas confiance aux certificats MD2 et les protéger contre une attaque de type "Null Termination". Firefox, avec sa nouvelle version 3.5.2 lancée hier, serait actuellement le seul navigateur à avoir corrigé ce problème.
Source : Black Hat
Pour plus d'informations sur les différentes attaques citées dans l'article, vous pouvez lire les documents suivants (en anglais) :
- Breaking the Myths of Extended Validation SSL Certificates http://www.blackhat.com/presentatio...SSL-SLIDES.pdf
- Attacking Extended Validation SSL http://www.blackhat.com/presentation...tSSL-PAPER.pdf
- More Tricks for Defeating SSL in Practice http://www.blackhat.com/presentation...SSL-SLIDES.pdf
Voir aussi :
La rubrique sécurité Le forum de discussions sur la sécuritéCertains spécialistes de la Black Hat conseillent de mettre l'accent sur une amélioration des navigateurs ainsi que sur une plus grande vigilance et une remise en question de VeriSign (qui délivre ces fameux certificats). pensez-vous que cela sera efficace pour résoudre le problème ?
Ces vulnérabilités seraient également issues de la manière dont beaucoup de navigateurs ont implémenté SSL, ainsi que de la clé publique X.509 (sensée déterminer si un site est digne de confiance ou non) dont l'infrastructure système poserait problème et serait obsolète. Tous les chercheurs s'accordent à dire que ce système devrait être changé. Qu'en pensez-vous ?
Envoyé par Katleen Erna
