Le protocole HTTPS sous la menace d’une faille de sécurité

Deux chercheurs ont exploité une faille du protocole TLS 1.0, utilisé pour sécuriser les échanges de données sur le Web. Un pirate pourrait s’en servir pour accéder à vos informations personnelles sans que vous le sachiez… y compris sur un site réputé « sûr ».

Va-t-il falloir se méfier à l’avenir des sites sécurisés ? Le site de votre banque, votre webmail ou votre réseau social favori pourraient-ils laisser filtrer des informations confidentielles à votre insu, malgré le cadenas sur votre navigateur indiquant que votre visite est sécurisée ? Deux chercheurs en sécurité le pensent. Vendredi 23 septembre, ils présenteront le fruit de leurs recherches à la conférence sur la sécurité Ekoparty, qui débute demain à Buenos Aires.
Juliano Rizzo et Thai Duong ont en effet réussi à exploiter une faille dans SSL/TLS 1.0. Un protocole important car il est utilisé par la plupart des sites Web pour chiffrer les échanges de données avec l’internaute.
Grâce à un outil de leur cru, Beast, ils ont montré qu’il était possible de détourner une session sécurisée sur un site HTTPS et de le visiter à la place de la victime sans qu’elle le sache. La vulnérabilité utilisée par les chercheurs n’est pas nouvelle. « Elle a été présentée dès la première version de SSL […] mais était jugée inexploitable », selon leurs propos, rapportés par Threatpost.

Une attaque de type « man in the middle »

L’attaque, complexe, ne serait cependant pas à la portée du premier venu. D’abord, le pirate devrait accéder au réseau local de sa victime afin d’intercepter les communications entre son PC et le Web, et notamment les cookies sécurisés HTTPS. Ensuite, le hacker devrait introduire le code de Beast dans le navigateur, par exemple grâce à une fausse publicité.
Sur l’ordinateur du pirate, un sniffer « écouterait » les connexions sécurisées par TLS tandis que Beast déchiffrerait les cookies. Selon les deux spécialistes, la procédure de décryptage prend environ 5 minutes par site.
Juliano Rizzo et Thai Duong ont contacté tous les éditeurs de navigateur afin de leur signaler cette menace. Pour le moment, seul Opera propose un correctif. Le risque ne concerne que TLS 1.0, mais les versions 1.1 et 1.2 du protocole, qui n’y sont pas exposées, ne sont utilisées que par une infime minorité des sites Web.
Avec leur étude, les chercheurs espèrent justement accélérer l’adoption des nouvelles moutures de ce protocole de sécurité… indispensable à des échanges de confiance sur le Web.

Publié le 21 septembre 2011, dans Sécurité. Bookmarquez ce permalien. Poster un commentaire.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :