IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 547
    Points : 75 992
    Points
    75 992
    Par défaut De nouvelles failles de sécurité dans le protocole de sécurité SSL dévoilées lors de la Black Hat USA 2009
    De nouvelles failles de sécurité dans le protocole de sécurité SSL dévoilées lors de la Black Hat USA 2009

    Las Vegas : ses casinos, ses décors de films, ses sosies du King et ses lumières... en informatique ! Jeudi 30 juillet, lors de l'édition annuelle américaine de la conférence Black Hat (qui se tenait au mythique Caesars Palace), d'importantes failles de sécurité ont été pointées du doigt dans le protocole Secure Socket Layer (SSL) - appelé également Transport Layer Security (TLS)- qui sert à la sécurisation des communications sur Internet.

    C'est la deuxième fois au cours des six derniers mois que le SSL est ainsi mis à mal (souvenez-vous, fin 2008, lorsque des chercheurs avaient trouvé le moyen de créer une autorité de délivrance de certificats qui pouvait fournir des certificats frauduleux, mais pourtant acceptés par n'importe quel navigateur).

    En effet, les spécialistes de cette conférence (qui regroupe aussi bien des experts gouvernementaux que des hackers underground) ont été catégoriques : ils ont prouvé qu'il était possible de soustraire une quantité non négligeable d'informations sensibles aux internautes via les failles détectées (mots de passe, informations bancaires en ligne, accès Paypal, installation de mises a jour Firefox frelatées, etc.).

    Les failles dévoilées sont nombreuses, et les chercheurs ont également révélé plusieurs attaques qui pourraient être utilisées grâce a ces faiblesses pour compromettre un trafic sécurisé d'informations entre les sites Internet et les navigateurs, notamment des attaques de type "Man-in-the-Middle" (attaque par laquelle l'attaquant observe et intercepte les messages et les échanges de données entre deux parties, sans que ni l'une ni l'autre de ces dernières ne puisse se douter que le canal de communication entre elles a été compromis).

    Le chercheur en sécurité répondant au pseudonyme de Moxie Marlinspike a d'ailleurs présenté lors de son intervention, une attaque de ce type qu'il juge "indétectable" et utilisant l'impossibilité pour certains programmes de lire la suite d'un texte lorsqu'ils y perçoivent un caractère "nul" (voir les liens en bas de l'article pour plus de détails).

    Et il y a pire. Selon Dan Kaminsky : "Nous avons découvert qu'un grand nombre de programmes dépendent de certificats issus de la technologie cryptographique MD2". Or, il apparaît que MD2 est plutôt vétuste dans son genre, et il suffirait de "seulement quelques mois à un pirate déterminé pour la décrypter", explique le chercheur.

    Tim Callan, vice président du marketing produit chez VeriSign, a indiqué que sa firme avait arrêté de signer des certificats en utilisant MD2 en mai. Mais cela ne suffit pas selon Dan Kaminski, qui rétorque : "Un grand nombre de sites web sont basés sur ce certificat [...], il est au coeur de chaque navigateur de cette planète [...], on ne peut pas s'en débarrasser sans se débarrasser du Web". Autrement dit, c'est le serpent qui se mord la queue.

    Il serait cependant possible aux développeurs de programmer leurs logiciels pour qu'ils ne fassent pas confiance aux certificats MD2 et les protéger contre une attaque de type "Null Termination". Firefox, avec sa nouvelle version 3.5.2 lancée hier, serait actuellement le seul navigateur à avoir corrigé ce problème.

    Source : Black Hat

    Pour plus d'informations sur les différentes attaques citées dans l'article, vous pouvez lire les documents suivants (en anglais) :

    - Breaking the Myths of Extended Validation SSL Certificates http://www.blackhat.com/presentation...SSL-SLIDES.pdf

    - Attacking Extended Validation SSL http://www.blackhat.com/presentation...tSSL-PAPER.pdf

    - More Tricks for Defeating SSL in Practice http://www.blackhat.com/presentation...SSL-SLIDES.pdf

    Voir aussi :
    La rubrique sécurité
    Le forum de discussions sur la sécurité


    Certains spécialistes de la Black Hat conseillent de mettre l'accent sur une amélioration des navigateurs ainsi que sur une plus grande vigilance et une remise en question de VeriSign (qui délivre ces fameux certificats). pensez-vous que cela sera efficace pour résoudre le problème ?

    Ces vulnérabilités seraient également issues de la manière dont beaucoup de navigateurs ont implémenté SSL, ainsi que de la clé publique X.509 (sensée déterminer si un site est digne de confiance ou non) dont l'infrastructure système poserait problème et serait obsolète. Tous les chercheurs s'accordent à dire que ce système devrait être changé. Qu'en pensez-vous ?

  2. #2
    Membre régulier
    Profil pro
    Inscrit en
    septembre 2007
    Messages
    144
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : septembre 2007
    Messages : 144
    Points : 96
    Points
    96
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    Qu'en pensez-vous ?
    Amusant de voir que les vunérabilités viendraient en grande partie des navigateurs: il y a quelquechose de mal pensé quelque part, à mon humble avis. (Je n'y connais absolument rien...)

  3. #3
    Membre confirmé Avatar de LapinGarou
    Homme Profil pro
    R&D Developer
    Inscrit en
    octobre 2005
    Messages
    341
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : R&D Developer
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : octobre 2005
    Messages : 341
    Points : 473
    Points
    473
    Par défaut
    Si ils pouvaient en même temps se pencher sur la gestion du CSS en même temps

  4. #4
    Membre chevronné
    Profil pro
    Inscrit en
    janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : janvier 2007
    Messages : 1 448
    Points : 2 199
    Points
    2 199
    Par défaut
    muè. MD2, je ne connaissais même pas.... et je n'ai aucun certif signé avec ce système.
    Pi il lui faut tout de même quelques mois pour casser un algo vétuste.
    relativisons.

    M'enfin, cela pose la question de la robustesse, et de la capacité des acteurs à agir en cas de faille avéré.
    Car rappelons le, si aujourd'hui ssl est sécurisé c'est surtout pare que mathématiquement c'est compliqué à casser, mais pas impossible.... Pourtant je n'ai jamais entendu parler de politique de remplacement des certificats (peut être les fermes ?) ALORS que encore une fois, le système, à la base est biaisé et cassable.

    Perso, si il me dise qu'ils ont trouvé un algo pour casser le ssl basé sur du sha, ben je suis pas dans la mouise...

    .....

  5. #5
    Membre expert
    Avatar de Janitrix
    Inscrit en
    octobre 2005
    Messages
    3 391
    Détails du profil
    Informations forums :
    Inscription : octobre 2005
    Messages : 3 391
    Points : 3 399
    Points
    3 399
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    Certains spécialistes de la Black Hat conseillent de mettre l'accent sur une amélioration des navigateurs ainsi que sur une plus grande vigilance et une remise en question de VeriSign (qui délivre ces fameux certificats). pensez-vous que cela sera efficace pour résoudre le problème ?

    Ces vulnérabilités seraient également issues de la manière dont beaucoup de navigateurs ont implémenté SSL, ainsi que de la clé publique X.509 (sensée déterminer si un site est digne de confiance ou non) dont l'infrastructure système poserait problème et serait obsolète. Tous les chercheurs s'accordent à dire que ce système devrait être changé. Qu'en pensez-vous ?
    D'après ce que j'avais compris, le problème venait du protocole SSL lui même, et de la faculté à forger des certificats factices (en profitant de la faille MD5 permettant de faire des collisions), et non de l'implémentation de ce protocole par les navigateurs. Mais il est fort probable que les navigateurs ne l'implémentent pas très bien, il y a peut être 2 problèmes différents : le protocole lui même est vulnérable, et l'implémentation est mal faite.

  6. #6
    Membre régulier
    Profil pro
    Inscrit en
    janvier 2006
    Messages
    150
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2006
    Messages : 150
    Points : 111
    Points
    111
    Par défaut
    Pour apporter quelques détails techniques à la vulnérabilité dans le protocole SSL découverte par Marlinspike :

    Lorque l'on veut faire signer un certificat SSL par une autorité afin de le rendre digne de confiance par tous les navigateurs, on envoie notre certificat à une autorité de certification tel que Verisign ou Thwate.

    Le certificat est forcément associé à un nom de domaine (champ CommonName du certificat). Afin d'être sûr que vous soyez vraiment le propriétaire du domaine en question, l'autorité de certification va envoyer un email à l'administrateur du domaine de plus haut niveau du champ CommonName du certificat (sinon, n'importe qui pourrai obtenir un certificat SSL valide pour paypal.com ou westernunion.com...) .

    Par exemple, si vous faites signer un certificat pour le domaine "www.monsite.com" ou "pierz.pwn.you.monsite.com" l'autorité enverra dans les 2 cas un email à l'administrateur du domaine "monsite.com" (récupéré via un whois).

    Maintenant si vous envoyez un certificat avec un CommonName du style "www.paypal.com\0.monsite.com", devinez qui va recevoir l'email de confirmation ? Le responsable du domaine "monsite.com". Lorsque ce même certificat sera interprété par un navigateur, il sera reconnu comme valide pour www.paypal.com à cause du \0 qui marque la fin de la chaine de caractère. Sur certains navigateurs, il serait même possible de rendre un certificat valide pour tous les sites grâce au caractère spécial '*', par exemple en utilisant le nom de domaine suivant : *\0.monsite.com .

    Cette faille de sécurité est beaucoup plus grave que celle diffusée lors du Chaos Computer Club en Décembre 2008, en effet la précédente faille nécessitait une forte puissance de calcul ( plus de 200 Playstion 3, ce qui n'est pas à la portée de tout le monde ) et de bonnes connaissances en cryptographie, alors que faire signer un certificat SSL doit pouvoir se faire pour un prix d'environ 200 € .

    La faille de sécurité provient donc autant des navigateurs qui interprétent l'octet nul (bien que certains comme Opera et Safari n'étaient pas vulnérable) ainsi que l'autorité de certification qui autorise la présence de caractère nul dans le CommonName .

  7. #7
    Membre chevronné
    Profil pro
    Inscrit en
    janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : janvier 2007
    Messages : 1 448
    Points : 2 199
    Points
    2 199
    Par défaut
    très clair

Discussions similaires

  1. Réponses: 5
    Dernier message: 22/05/2015, 00h01
  2. Une nouvelle faille zero-day dans IE10 a été découverte
    Par Francis Walter dans le forum Sécurité
    Réponses: 3
    Dernier message: 28/02/2014, 08h51
  3. Réponses: 21
    Dernier message: 19/08/2013, 16h27
  4. Faille de sécurité dans mon site
    Par gitedoublel dans le forum Langage
    Réponses: 65
    Dernier message: 21/07/2009, 18h41
  5. Réponses: 0
    Dernier message: 26/06/2009, 20h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo