Une nouvelle attaque SSL peut toucher de nombreux sites

Un consultant en sécurité informatique de Seattle affirme avoir développé une nouvelle façon d'exploiter un bogue récemment divulgué dans le protocole SSL, utilisé pour sécuriser les communications sur Internet. L'attaque, bien que difficile à exécuter, pourrait donner aux attaquants une attaque de phishing très puissante.

Frank Heidt, PDG de Leviathan Security Group, affirme que son code de preuve de concept "générique" pourrait être utilisé pour attaquer divers sites Web. Bien que l'attaque soit extrêmement difficile à effectuer, le pirate doit d'abord déclencher une attaque d'homme à corps, exécutant un code qui compromet le réseau de la victime, ce qui peut avoir des conséquences dévastatrices.

L'attaque exploite le bogue d'authentification SSL (Secure Sockets Layer), divulgué le 5 novembre. L'un des découvreurs du bogue SSL, Marsh Ray chez PhoneFactor, dit qu'il a vu une démonstration de l'attaque de Heidt, et il est convaincu que cela pourrait fonctionner.

[En savoir plus: Comment supprimer les logiciels malveillants de votre PC Windows]

La faille d'authentification SSL permet à l'attaquant de modifier les données envoyées au serveur SSL, mais il n'y a toujours aucun moyen de lire les informations qui reviennent. Heidt envoie des données qui amène le serveur SSL à renvoyer un message de redirection qui envoie ensuite le navigateur Web à une autre page. Il utilise ensuite ce message de redirection pour déplacer la victime vers une connexion non sécurisée où les pages Web peuvent être réécrites par l'ordinateur de Heidt avant d'être envoyées à la victime.

"Frank a montré un moyen de tirer parti de cette attaque Un compromis complet de la connexion entre le navigateur et le site sécurisé ", a déclaré Ray.

Un consortium de sociétés Internet a travaillé pour corriger la faille depuis que les développeurs de PhoneFactor l'ont découvert il y a plusieurs mois. Leur travail a acquis une nouvelle urgence lorsque le bug a été divulgué par inadvertance sur une liste de discussion. Les experts en sécurité discutent de la gravité de cette dernière faille SSL depuis qu'elle a été rendue publique.

La semaine dernière, Anil Kurmus, chercheur chez IBM, a montré comment la faille pouvait être utilisée pour envoyer des messages Twitter contenant des mots de passe. Selon Heidt, cette faille pourrait être utilisée pour voler toutes sortes d'informations sensibles à partir de sites Web sécurisés.

Pour être vulnérables, les sites doivent faire ce que l'on appelle la renégociation des clients sous SSL et aussi avoir un élément sur leur site. des pages Web sécurisées qui pourraient générer un message de redirection 302 particulier.

De nombreux sites Web bancaires et de commerce électronique de premier plan ne renverront pas ce message de redirection 302 d'une manière exploitable, mais un «grand nombre» de sites pourraient Heidt dit qu'il n'a pas l'intention de publier son code immédiatement.

Du point de vue de la victime, le seul changement notable au cours d'une attaque est que le navigateur non lo nger a l'air d'être connecté à un site SSL. L'attaque est similaire à l'attaque de bande SSL démontrée par Moxie Marlinspike [cq] lors d'une conférence de sécurité plus tôt cette année.

Leviathan Security Group a créé un outil que les webmasters peuvent utiliser pour voir si leurs sites sont vulnérables à un manque d'authentification SSL

Parce que SSL, et son standard de remplacement, TLS, sont utilisés dans un large éventail de technologies Internet, le bug a de profondes implications.

Thierry Zoller, un consultant en sécurité chez G-Sec, dit que théoriquement, la faille pourrait être utilisée pour attaquer les serveurs de messagerie. "Un attaquant peut potentiellement détournement de courrier envoyer des connexions SMTP [Simple Mail Transfer Protocol] sécurisées, même si elles sont authentifiées par un certificat privé", at-il dit dans une interview par message instantané.

Zoller, qui n'a pas vu le code de Leviathan, a déclaré que si l'attaque fonctionne comme annoncé, il ne faudra que quelques jours avant que quelqu'un d'autre ne sache comment le faire.