Des chercheurs découvrent une faille de sécurité critique dans SSL

[Hinault Romaric]

Google prépare un correctif de la faille critique de SSL/TLS
Disponible sur Chrome 15 dans le canal Dev

Mise à jour du 22 septembre 2011 par Idelways


À la découverte la faille critique des versions antérieures du protocole TLS (autrement SSL, lire ci-devant), Google réagit par la préparation d'un correctif qui colmaterait le danger sans contraindre à passer à TLS 1.1 ou 1.2.

Ce correctif, disponible sur la version instable pour développeurs de Chrome 15, agit en découpant le message en fragments pour réduire le contrôle de l'attaquant potentiel sur le texte brut à déchiffrer. Puis, en incrustant des passages aléatoires au processus, cette nouvelle approche sur Chrome plonge le code PoC de BEAST dans une marre de données déroutantes.

Cette technique n'est cependant pas nouvelle. Elle a fait son apparition en 2002 sur le logiciel libre OpenSSL, très largement utilisé sur les serveurs Web pour implémenter SSL.
Son incompatibilité avec plusieurs produits Microsoft a cependant freiné son adoption, du moins jusqu'au moment où la faiblesse jusque-là théorique de SSL/TLS est devenue un danger palpable.

C'est d'ailleurs la première fois que cette technique rentre au service du chiffrement des données au niveau du navigateur, et à destination du serveur.
Elle est conçue pour protéger les chiffrements SSL contre les attaques par récupération de texte clair (plaintext-recovery) tout en conservant la compatibilité avec la version 1 de TLS.

Diminutif de Browser Exploit Against SSL/TLS, BEAST met en exécution l'attaque de récupération de texte clair pour compromettre le chiffrement AES et décoder silencieusement les données en transite.

Plus précisément, ce type d'attaque exploite une faiblesse dans le mode de chiffrement par blocs dans lequel les données du bloc passé sont utilisées pour encoder le suivant, et ainsi de suite.

On en saura plus sur cette attaque demain 22 septembre à la conférence Ekoparty en Argentine.



Des chercheurs découvrent une faille de sécurité critique dans SSL
Pouvant être exploitée pour décrypter les cookies d’authentification de plusieurs sites Web



Des chercheurs ont découvert récemment une faille critique dans pratiquement tous les sites Web utilisant le protocole de sécurité SSL (Secure Sockets Layer) comme PayPal et Gmail.

La vulnérabilité touche les versions 1.0 et antérieures de TLS (Transport Layer Security), anciennement SSL, et était auparavant considérée comme une faiblesse théorique qui pourrait être exploitée par des pirates pour décrypter des données transmises entre un serveur Web et le navigateur de l’internaute.

Les versions 1.1 et 1.2 de TLS semblent ne pas être sensibles à cette faille, mais sont cependant utilisées par très peu de sites Web, car la plupart des navigateurs actuels n’implémentent pas encore TLS 1.1 et TLS 1.2.

La preuve de faisabilité (PoC) baptisée « BEAST » sera présentée cette semaine lors de la conférence sur la sécurité Ekoparty qui se déroulera en Argentine par les chercheurs Thai Duong et Juliano Rizzo .

Le PoC implémente un code JavaScript malicieux fonctionnant avec un sniffeur réseau pour déchiffrer les cookies d’authentification des comptes utilisateurs d’un site Web ciblé. L’exploit fonctionne même pour des sites utilisant HTTP Strict pour sécuriser les transports.

BEAST prend environ deux secondes pour déchiffrer chaque octet d’un cookie crypté. Cela signifie qu’une attaque pour les cookies d’authentification de 1000 à 2000 caractères du service PayPal par exemple pourrait prendre au minimum une demi-heure

Selon les chercheurs, BEAST est la première attaque qui décrypte les requêtes HTTPS et touche la confidentialité du protocole SSL.

Les chercheurs espèrent en dévoilant cette faille que les fournisseurs de navigateurs et les éditeurs de sites Web vont migrer de plus en plus vers TLS 1.1 ou TLS 1.2.

Une faille qui, ajoutée aux attaques ayant compromis les certificats SSL de plusieurs autorités de certifications SSL comme DigiNotar et Comodo, remet en cause ce protocole de sécurisation des transactions sur le Web ?



Source : Ekoparty


Et vous ?

Que pensez-vous de cette découverte ? Et de la sécurité de SSL/TSL ?

[McM]

ma première réaction a été : "Oh putain !"

[matpush]

Ah bah pareil que toi McM !

[kdmbella]

les éditeurs de navigateurs ont intérêt à être rapide pour le support des versions plus récente et moins vulnérable de TLS. Je m'intérroge tout de même pour une entreprise comme PayPal : quel pourrait être les dispositions qu'elle pourrait prendre pour s'en prémunir en attendant que les les navigateurs soient au pas ?

[gilwath]

J'ai envie de dire, ce qui devait arriver arriva, comme tout mécanisme de cryptage, ça finit toujours par être craqué.

[Flaburgan]

ça devait arriver c'est sûr, mais peut être pas si tôt...
On est dans la mouise là..

[GanYoshi]

A ce que j'ai compris, il faut que l'attaquant soit sur le même réseau non ? Donc aucun impact pour celui qui se connecte de chez soi ?

Je n'y connais pas grand chose, mais vu le temps de décryptage des informations, les attaque man in the middle seraient impossible ? Seul le vol des données envoyées/reçues ?

[devlop78]

Je ne suis pas sûr que Man in The Middle soit en rapport. Dans son cas, il fait ce qu'il veut. Moi je pense surtout à ma carte bancaire, mais quel rapport avec les cookies ? Ca m'échappe.

[Refuznik]

Les gens aiment se faire peur avec n'importe quoi.

Quel est l'utilité de décrypter le cookies, si on peut récupérer ce dernier ?

Le soft BEAST (fait par ces deux chercheurs) est seulement là pour montrer la vulnérabilité de la version SSL qui date de mathusalem et maintenant remplacé par les version 1.1 et 1.2.

Citation:

la plupart des navigateurs actuels n’implémentent pas encore TLS 1.1 et TLS 1.2.

Ca c'est n'importe quoi !

- La version 1.1 à 7 ans et est présentes dans tous les navigateur depuis l'époque de Nescape puis Mozilla et même IE l'a intégré dès sa sortie c'est pour dire.

- Google paypal, eBay et tous les gros sites (oui même lors de vos déclarations d'impots) l'intègrent depuis sa création.

Citation:

Une faille qui, ajoutée aux attaques ayant compromis les certificats SSL de plusieurs autorités de certifications SSL comme DigiNotar et Comodo, remet en cause ce protocole de sécurisation des transactions sur le Web ?

Aucun rapport, là ça été des vols de clefs de certificats (qui ont été depuis révoqués).

Alors pourquoi parler de cette faille vu qu'elle n'a pratiquement aucun intérêt (et de plus comme il est dit il faut intercepter le cookies, on va dire que je pirate la ligne wifi en jouant mon petit homme du milieu (aucun rapport avec Gollum)) ?

Tout simplement parce qu'il reste encore des sites gouvernementaux dans quelques pays qui sont restés en 1.0, avec des serveurs fait à l'arrache on peux citer par exemple le vietnam, le cambodge, etc...

Bref il est important de montrer ce type de faille mais pas besoin d'en faire une affaire d'état. par contre le vol de certificats que l'on a vu dans des organismes qui se sont agrées eux-même ça c'est du scandale.

[devlop78]

Surtout qu'en matière de cookies, sauf erreur de ma part (dites-le moi si je dis une bêtise), un site hyper sécurisé TLS ne protège pas par défaut le vol de cookies par XSS. A moins que le contenu en lui-même soit crypté, mais j'en doute vu que la couche SSL/TLS agit derrière le HTTP donc encore plus loin de la couche applicative (le navigateur). Donc tout est crypté à la volée pour le transfert de données, non ?

Est-ce que voler des sessions veut dire qu'ils peuvent décrypter l'ensemble de l'échange entre a et b ? Donc, récupérer des infos tels que carte bancaire ? A ce moment, je ne pense pas a l'homme du milieu, mais à tous les réseaux wifi, il suffirait d'écouter, et de décrypter (ce qui normalement devrait mettre suffisamment de temps à faire pour que l'information à voler ne soit plus valable).

[forthx]

Je n'ai pas totalement compris la méthode mais quant je lis java script je me dit que ça doit pouvoir aller plus vite

[atha2]

Citation:

Envoyé par Refuznik

Ca c'est n'importe quoi !

- La version 1.1 à 7 ans et est présentes dans tous les navigateur depuis l'époque de Nescape puis Mozilla et même IE l'a intégré dès sa sortie c'est pour dire.

Il me semblai aussi mais je viens de regarder dans les options de firefox (dernière version) et :

Comme quoi...
On (et ici j'ai tendance à faire confiance à on) m'a toujours dit que ssl était cassé depuis longtemps (je ne connaissais pas TLS 1.0 mais à priori c'est plus ou moins SSL 3) mais il semblerai que les développeurs de Firefox ne soient pas au courant

[Refuznik]

J'ai parlé de Mozilla pas de Firefox.

Sinon par acquis de conscience, j'ai regardé mon opera et ce dernier à Enable TLS v1.2.

[mhtrinh]

Bonjour,

Alors est-ce que ca veut dire que si je décoche la case TLS v1.0 dans Firefox, je suis tranquille ??

[Mako 5013]

Citation:

Envoyé par Refuznik

Ca c'est n'importe quoi !

- La version 1.1 à 7 ans et est présentes dans tous les navigateur depuis l'époque de Nescape puis Mozilla et même IE l'a intégré dès sa sortie c'est pour dire.

Juste pour info (et pour compléter ce que disait atha2), sous IE8, il est également question de TLS 1.0.

Mako.

[parrot]

TLS 1.1 date d'avril 2006. Quant à la version TLS 1.2, elle est apparue en août 2008 (voir RFC5246).

Je trouve inconcevable qu'en trois ans et plus, ni Mozilla, ni Microsoft n'aient implémenté ces algorithmes dans leurs navigateurs.

Pour revenir aux versions de TLS, on pourrait aussi se poser des questions pour TLS 1.1. En effet, dans cette version, MD5 est encore largement utilisé, alors meme que l'algorithme n'est plus considéré comme sûr. C'est d'ailleurs l'une des principales innovations de TLS 1.2, l'utilisation de MD5 est fortement réduite. Ceci dit, je ne veux pas créer la panique: dans TLS 1.1, MD5 est utilisé en combinaison avec SHA-1. Et en plus, cette combinaison MD5/SHA-1 est ensuite encryptée. Donc pas grand risque dans le court terme.

[nacrotic]

Google chrome 14.0.835.163 : TLS 1.0

donc la news est bien d'actu a mon gout

[Flaburgan]

En effet sous Firefox j'ai "Utiliser SSL 3.0 - Utiliser TSL 1.0"
SSL est plus vieux que TSL non ? J'ai tout intérêt à décocher cette case...
Et si je tombe sur un site qui ne gère que SSL et pas TSL, il se passe quoi ?

[GCSX_]

IE10 implémente TLS 1.1 et 1.2, cependant, ceux-ci sont désactivés par défaut.

Je suis en train de poster une image ^^

EDIT :

[ram-0000]

Citation:

Envoyé par Flaburgan

En effet sous Firefox j'ai "Utiliser SSL 3.0 - Utiliser TSL 1.0"
SSL est plus vieux que TSL non ? J'ai tout intérêt à décocher cette case...
Et si je tombe sur un site qui ne gère que SSL et pas TSL, il se passe quoi ?

Lu ici : http://fr.wikipedia.org/wiki/Transport_Layer_Security

Citation:

Envoyé par Wikipedia

Transport Layer Security (TLS), anciennement nommé Secure Sockets Layer (SSL), est un protocole de sécurisation des échanges sur Internet, développé à l'origine par Netscape (SSL version 2 et SSL version 3). Il a été renommé en Transport Layer Security (TLS) par l'IETF suite au rachat du brevet de Netscape par l'IETF en 2001. Le groupe de travail correspondant à l'IETF a permis la création des RFC 2246 pour le TLS et RFC 4347 pour son équivalent en mode datagramme, le DTLS. Depuis son rapatriement par l'IETF, le protocole TLS a vécu deux révisions subséquentes : TLSv1.1 décrite dans la RFC 4346 et publiée en 2006 et TLSv1.2, décrite par la RFC 5246 et publiée en 2008.

Il y a très peu de différences entre SSL version 3 et TLS version 1 (qui correspond à la version 3.1 du protocole SSL) rendant les deux protocoles non interopérables, mais TLS a mis en place un mécanisme de compatibilité ascendante avec SSL. En outre, TLS diffère de SSL pour la génération des clés symétriques. Cette génération est plus sécurisée dans TLS que dans SSLv3 dans la mesure où aucune étape de l'algorithme ne repose uniquement sur MD5 pour lequel sont apparues des faiblesses en cryptanalyse.

Par abus de langage, on parle de SSL pour désigner indifféremment SSL ou TLS.