Poll :

Votre avis sur le site

View results
View comments of this poll(41)
  Génial !(1550 votes)
  Bien(191 votes)
  Peut mieux faire(87 votes)
  Vraiment bof(122 votes)
  Avis neutre(74 votes)

Ad




Partners




Jmax-Hardware

mxdev.net

463 visiteur(s) en ligne

Le protocole SSL cracké ?

Caterogy : Sécurité informatique, written at 2011-09-26 12:05:02 by Troll.

Image: logo_pictosecurise.jpgLe protocole SSL, utilisé notamment pour crypter les échanges sur le web à travers le "HTTPS", comme les sites marchands, les plate-formes de paiement des banques, Paypal, etc. pourrait avoir été cracké, d'après deux chercheurs argentins.

Alors que d'habitude, les attaques faites au système de cryptage mondialement utilisé ciblent plutôt le RSA, qui est le mode de cryptage des données utilisé dans le protocole SSL (et donc HTTPS) plutôt que SSL en lui-même, cette fois-ci, Juliano Rizzo and Thai Duong affirment avoir découvert un moyen de décrypter des requêtes encryptée à la volée grâce à un logiciel BEAST qu'ils ont conçu.

La faille qu'ils exploitent est en fait connue depuis des années et concernent les protocoles TLS 1.0 et SSL jusqu'à sa version 3.0, cependant elle était considérée comme "inexploitable" et n'avait donc jamais reçu de correctif quelconque, depuis la version SSL 1.0.

Il semblerait que le mot "inexploitable" n'ait pas fait peur aux deux chercheurs argentins. En effet, les deux chercheurs ont présenté lors d'une conférence à l'Ekoparty vendredi dernier, leur logiciel BEAST (Browser Exploit Against SSL/TLS) ainsi que la méthode utilisée.

Image: rsa.gifLeur logiciel n'attaque cette fois-ci pas le système de certificat, ni le cryptage RSA. Il est ici question d'une attaque où les chercheurs ont une position de "l'homme du milieu" et vont, lors d'une requête sur un site internet utilisant des cookies de session cryptés en SSL comme Paypal, injecter un code malicieux dans le navigateur web de la victime.

Une fois ce code exécuté dans le navigateur de la victime, le logiciel BEAST va rechercher sur l'ordinateur les connexions actives utiliant par exemple le protocol TLS et récupérer ("sniffer") les paquets échangés via cette connexion et les décrypter. Pour cela, l'outil va forcer le navigateur à charger (en fond) de nouvelles pages cryptées sur le site internet visé et l'outil va décrypter, en quelques minutes, la première partie de la requête HTTPS (l'en-tête) pour en extraire le cookie, autorisant ensuite l'auteur de l'attaque, à pirater la session de l'utilisateur sur le site web en question.

Les deux chercheurs assurent que l'utilisation d'un navigateur comme vecteur de l'attaque n'est qu'une variante et que leur logiciel BEAST peut tout à fait être utilisé également pour attaquer des échanges en SSL d'autres services, comme la messagerie instantannée ou encore les VPN.

"Nous n'exploitons pas le système de "confiance" (certificats) du protocol SSL mais bien son principe de "confidentialité" même. Alors que pour résoudre un problème sur le principe de confiance du protocol SSL nécessiterait une nouvelle organisation des principes d'entités de confiance, pour résoudre un problème de confidentialité sur le protocol, c'est un tout nouveau protocol qu'il faudrait." a confié Thai Duong. "Le problème, c'est que nous avons travaillé depuis le mois de mai avec les industries utilisant SSL et les éditeurs de logiciel et à chaque nouveau patch proposé pour résoudre le problème, nous avons une montagne d'applications SSL qui sont incompatibles." a-t-il également fait remarquer.

Image: browser_logo.pngCette remarque semble être également confirmée par Opera Software, qui a confié avoir effectivement développé un patch pour leur navigateur, mais ne pas vouloir forcément le publier immédiatement sur la version stable d'Opera car cela crée un conflit avec un certain nombre de sites internet qui ne fonctionnent alors plus avec Opera. Mozilla et Google Chrome ont d'ores-et-déjà publié un patch également, uniquement pour la version de développement également pour Chrome.

Cependant, d'après les chercheurs, un patch pour les principaux navigateur n'est pas la solution au problème soulevé, seul une nouvelle implémentation du protocol pourrait résoudre le problème.

Les deux chercheurs ne sont pas inconnu du monde de la sécurité, ils avaient lors de la précédente édition de l'Ekoparty en Espagne, démontré une vulnérabilité dans ASP.net.

Image: img_22032.jpg

scoopeo    Partagez sur Yahoo! Mon Web 2.0  bookeet  pioche  Partagez sur del.icio.us  Partagez sur digg.com  Partagez sur furl.net  Add to Google spurl  simpy  Partagez sur netscape.com  Partagez sur StumbleUpon  tapemoi  Partagez sur Google Bookmarks  Partagez sur Technorati  Partagez sur blinklist  fuzz  nuouz  Partagez sur Newsvine  Partagez sur ma.gnolia 

View comments (8)

See all news



Les commentaires on été désactivés.