Plus de trous trouvés dans le protocole de sécurité SSL

Lors de la conférence Black Hat à Las Vegas jeudi, les chercheurs ont dévoilé un certain nombre d'attaques qui pourraient être utilisées pour compromettre la sécurité.

Ce type d'attaque pourrait permettre à un attaquant de voler des mots de passe, de détourner une session bancaire en ligne ou même d'extraire une mise à jour du navigateur Firefox contenant du code malveillant, selon les chercheurs.

[Pour en savoir plus: Comment supprimer les logiciels malveillants de votre PC Windows]

Les problèmes résident dans la façon dont de nombreux navigateurs ont implémenté SSL, ainsi que dans le système d'infrastructure à clé publique X.509 utilisé pour gérer les certificats numériques utilisés par SSL pour déterminer si un site Web est digne de confiance.

Un chercheur en sécurité s'appelant Moxie Marlinspike a montré un moyen d'intercepter le trafic SSL en utilisant ce qu'il appelle un certificat d'annulation de null. Pour que son attaque fonctionne, Marlinspike doit d'abord obtenir son logiciel sur un réseau local. Une fois installé, il repère le trafic SSL et présente son certificat de terminaison nulle afin d'intercepter les communications entre le client et le serveur. Ce type d'attaque est indétectable, dit-il.

L'attaque de Marlinspike est remarquablement similaire à une autre attaque commune connue sous le nom d'attaque par injection SQL, qui envoie des données spécialement conçues au programme dans l'espoir de le tromper. faire quelque chose qu'il ne devrait normalement pas faire. Il a découvert que s'il créait des certificats pour son propre domaine Internet qui incluait des caractères nuls - souvent représentés avec un 0 - certains programmes interpréteraient mal les certificats.

Certains programmes arrêtent de lire du texte lorsqu'ils voient un caractère nul. Ainsi, un certificat délivré à www.paypal.com 0.thoughtcrime.org peut être lu comme appartenant à www.paypal.com

Le problème est répandu, a déclaré Marlinspike, affectant Internet Explorer, VPN (réseau privé virtuel), les clients de courrier électronique et les logiciels de messagerie instantanée, et Firefox version 3.

Pour aggraver les choses, les chercheurs Dan Kaminsky et Len Sassaman ont indiqué qu'ils avaient découvert qu'un grand nombre de programmes Web dépendaient de certificats émis à l'aide d'un outil de chiffrement obsolète. la technologie appelée MD2, qui a longtemps été considérée comme précaire. MD2 n'a pas encore été piraté, mais il pourrait être cassé en quelques mois par un attaquant déterminé, dit Kaminsky.

L'algorithme MD2 a été utilisé il y a 13 ans par VeriSign pour auto-signer "l'un des certificats racines de base

VeriSign a cessé de signer des certificats en utilisant MD2 en mai, a déclaré Tim Callan, vice-président du marketing produit chez VeriSign.

Cependant, "un grand nombre de sites Web utilisent cette racine, donc Nous ne pouvons pas vraiment le tuer ou nous allons casser le Web ", a déclaré Kaminsky.

Les fabricants de logiciels peuvent, cependant, dire à leurs produits de ne pas faire confiance aux certificats MD2; ils peuvent également programmer leurs produits pour qu'ils ne soient pas vulnérables à l'attaque de terminaison nulle. À ce jour, cependant, Firefox 3.5 est le seul navigateur qui a corrigé le problème de la terminaison nulle, disent les chercheurs.

C'est la deuxième fois au cours des six derniers mois que SSL fait l'objet d'un examen minutieux. À la fin de l'année dernière, les chercheurs ont trouvé un moyen de créer une autorité de certification non autorisée, qui pourrait à son tour émettre des faux certificats SSL qui seraient approuvés par un navigateur.

Kaminsky et Sassaman affirment qu'il existe de nombreux problèmes émis qui les rendent peu sûrs. Tous les chercheurs ont convenu que le système x.509 utilisé pour gérer les certificats SSL est obsolète et doit être corrigé.