Une faille dans le chiffrement SSL et des millions de sites HTTPS vulnérables

Le site The Register, spécialisé dans la sécurité informatique révèle qu’une faille dans le protocole de sécurisation des échanges sur Internet TLS 1.0 utilisé par l’immense majorité des sites web sécurisés permet, bien exploitée, de décoder silencieusement les données qui transitent entre le serveur sécurisé et un utilisateur !

Le site The Register, spécialisé dans la sécurité informatique révèle qu’une faille dans le protocole de sécurisation des échanges sur Internet TLS 1.0 utilisé par l’immense majorité des sites web sécurisés permet, bien exploitée, de décoder silencieusement les données qui transitent entre le serveur sécurisé et un utilisateur !

Thai Duong et Juliano RizzoDes, des chercheurs en sécurité informatique ont donc présenté à la conférence de sécurité Black Hat Ekoparty une vulnérabilité qui affecte tous les sites (ou presque) protégés par le protocole SSL… rassurant, non ? La faille se situe dans les versions 1.0 et plus anciennes du protocole TLS, ou Transport Layer Security qui est en fait le nouveau nom de SSL, la référence de la sécurité sur internet.

Il est à noter que les versions 1.1 et 1.2 de TLS ne sont pas vulnérables à cette faille, seulement voilà, ces versions plus récentes ne sont pas compatibles avec la plupart des navigateurs et sont donc très peu utilisées par les sites web qui se priveraient d’une grande part de leurs clients potentiels… Des sites comme PayPal, GMail peuvent potentiellement être affectés !

C’est à Buenos Aires demain que les chercheurs ont prévu de présenter une « proof of concept » de leur attaque baptisée BEAST pour « Browser Exploit Against SSL/TLS ». Le programme écrit en JavaScript utilise un sniffer (renifleur) réseau pour décoder les cookies chiffrés que les sites web sécurisés utilisent pour autoriser l’accès aux utilisateurs. Les sites web affectés sont aussi bien HSTS que HTTPS.

D’après les chercheurs, la démo décodera le cookie utilisé pour accéder à un compte PayPal. La preuve du concept n’a donc pas encore été présenté officiellement mais le fait que Google ait déjà sortie une version de Chrome pour empêcher l’attaque en version développeur prouve le sérieux de la menace. Vous pouvez d’ailleurs mettre à jour Chrome dès maintenant.

Un cheval de Troie cryptographique

Duong et Rizzo disent avoir cracké SSL en s’attaquant à la couche de chiffrement sur laquelle le protocole repose et qui empêche un hacker « d’écouter » (sniffer) les paquets qui transitent entre un client et un serveur https. Duong précise :

BEAST est très différent de la plupart des attaques publiées contre HTTPS. Alors que les autres se concentrent le certificat d’authenticité du SSL, BEAST attaque directement la confidentialité du protocole. Pour autant que nous sachions, BEAST implémente la première attaque qui parvient à véritablement décoder une requête HTPS »

La faille n’est en fait pas tout à fait nouvelle,  BEAST est une technique connue sous le nom de attaque à texte clair connu et exploite une vulnérabilité de TLS 1.0 connue depuis longtemps (c’est surement pour cela qu’elle est corrigée dans les versions suivantes) mais qui a souvent été considérée comme théorique et non exploitable. Pendant le chiffrement, le protocole brouille les blocs de données les uns après les autres en utilisant le précédent de manière récursive et l’exploitation de cette propriété permet de deviner le contenu en texte clair.

Si le hacker trouve la solution, le chiffrement par bloc recevra la même entrée pour un nouveau bloc que pour un ancien, produisant un bloc codé identique au bloc original, donc lisible !

D’après les chercheurs, le code peut décoder le chiffrement d’un cookie PayPal en moins de 10 minutes ! D’après Trevor Perrin, un chercheur en sécurité informatique indépendant :

BEAST est comme un cheval de Troie cryptographique, un hacker introduit un peu de JavaScript dans votre navigateur et le JavaScript collabore avec le sniffer réseau pour mettre à mal votre connection HTTPS.

Voila, restez donc attentifs aux mises à jour de votre navigateur préféré qui devrait probablement tenter de bloquer la faille prochainement en attendant que les sites web (et surtout les navigateurs eux mêmes) soient tous compatibles TLS 1.2 pour corriger complètement cette faille.


Nos dernières vidéos

11 commentaires

  1. Subtilité. Cette est bien connu comme dis dans le billet, et son « inexploitabilité » (ça existe ce mot ?) venait du fait qu’implémenter un « sniffer » dans un navigateur était impossible.

    L’exploit des chercheurs n’est donc pas tant d’exploiter la faille, que de pouvoir « enfin » le faire à distance.

    Il faut savoir que ça reste quand même assez limité.

    Par rapport aux autres failles, la solution est connu, et très souvent déjà mise en place (y a plus qu’à l’activer).

    Du coup, je pense qu’on peut dormir tranquille.

  2. Pingback: Une faille dans le chiffrement SSL et des millions de sites HTTPS vulnérables « SecuGeek.fr

  3. Pingback: Alerte : Une faille dans le chiffrement SSL et des millions de sites HTTPS vulnérables | Sécurité par la CFTC HUS | Scoop.it

  4. Très rassurant… avec la fin de X25 tous les échanges bancaires en France vont se faire grâce à des certificats SSL…

  5. Pingback: SSL n’est plus sur : risque majeur pour les sites sécurisés | The Geek Bar

  6. Pingback: Une faille dans le chiffrement SSL et des millions de sites HTTPS vulnérables | Sécu Informatique | Scoop.it

  7. C’est sympa de faire dans le sensationnel et c’est vrai que c’est une « belle » avancée mais les conditions pour que l’attaque fonctionne sont tout de même difficiles à mettre en place (attaquant sur le même réseau et « victime » qui doit jouer le jeu de l’attaquant)

Répondre