Les vendeurs se bousculent pour corriger les bogues dans la sécurité de Net

La faille réside dans le protocole SSL, connu comme la technologie utilisée pour la navigation sécurisée sur les sites Web commençant par HTTPS. Les attaquants interceptent les communications SSL sécurisées (Secure Sockets Layer) entre les ordinateurs en utilisant ce que l'on appelle une attaque "man-in-the-middle".

Bien que la faille puisse être exploitée dans certaines circonstances, elle peut être utilisée Selon Chris Paget, un chercheur en sécurité qui a étudié le problème.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

"C'est un défaut au niveau du protocole. " a déclaré Paget, le directeur de la technologie avec une consultation de sécurité appelée H4rdw4re. «Il y a beaucoup de choses qui vont devoir être réparées sur celui-ci: les navigateurs Web, les serveurs Web, les équilibreurs de charge Web, les accélérateurs Web, les serveurs de messagerie, les serveurs SQL, les pilotes ODBC et les protocoles peer-to-peer. > Bien qu'un attaquant doive d'abord pirater le réseau de la victime pour lancer l'attaque man-in-the-middle, les résultats seraient dévastateurs - en particulier s'il est utilisé dans une attaque ciblée pour accéder à une base de données ou un serveur de messagerie, Paget dit.

Parce qu'il est si largement utilisé, SSL est constamment sous le microscope des chercheurs en sécurité. À la fin de l'année dernière, les chercheurs ont trouvé un moyen de créer de faux certificats SSL qui seraient approuvés par n'importe quel navigateur, et en août, les chercheurs ont dévoilé une poignée de nouvelles attaques qui pourraient compromettre le trafic SSL. Mais contrairement à ces attaques, qui concernaient l'infrastructure utilisée pour gérer les certificats numériques de SSL, ce dernier bug réside dans le protocole SSL lui-même et sera beaucoup plus difficile à résoudre.

Le fait que le bogue ait été involontairement compliqué divulguée sur une liste de diffusion obscure mercredi, forçant les vendeurs dans une bousculade folle pour patcher leurs produits.

Le problème a été découvert en août par des chercheurs de PhoneFactor, une société de sécurité de téléphonie mobile. Ils travaillaient depuis deux mois avec un consortium de fournisseurs de technologie appelé ICASI (Consortium industriel pour l'avancement de la sécurité sur Internet) pour coordonner une solution à l'échelle de l'industrie pour le problème, surnommé "Project Mogul".

Mais leur Des plans soigneux ont été jetés dans le désordre mercredi quand l'ingénieur de SAP Martin Rex a trébuché lui-même sur le bug. Apparemment inconscient de la gravité de la question, il a posté ses observations sur la question à une liste de discussion de l'IETF (Internet Engineering Task Force). Il a ensuite été annoncé par HD Moore, chercheur en sécurité.

Mercredi après-midi, suffisamment de personnes parlaient du fait que PhoneFactor a décidé de publier ses conclusions. «À ce moment-là, nous avions l'impression que les méchants savaient et nous avions le sentiment que nous avions aussi la responsabilité de bien connaître les bons gars», explique Sarah Fender, vice-présidente marketing de PhoneFactor.

Fender ne pouvait pas dire qui était prêt le problème, mais elle a noté qu'un certain nombre de produits open source sont "anxieux" pour sortir un patch. "Je pense que nous verrons des correctifs dans un avenir proche", at-elle dit.

L'ICASI n'a pas pu être contactée mercredi soir pour commenter.

Bien que les experts en sécurité disent que la faille existe depuis des années, "Nous considérons qu'il s'agit d'une vulnérabilité matérielle, mais ce n'est pas la fin du monde", a déclaré Fender.