mercredi 21 septembre 2011

Pauvre SSL !

Il faut bien le dire, SSL n'est pas à la fête en ce moment...La compromission de l'autorité de certification DIGINOTAR a en effet fait beaucoup de bruits notamment parce que d'autres compromissions ont déjà eu lieu mais aussi parce que la société fournissait des certificats pour la PKI des autorités hollandaises.

Il semblerait par ailleurs que le hacker, ComodoHacker, qui se soit attaqué à ces entités soit identique...Cela dit, le Net étant ce qu'il est, il est difficile d'affirmer ici quoi que ce soit.

De plus, le "modèle" de sécurité qui existe derrière SSL est souvent remis en question. Un très bon article de Newsoft fait d'ailleurs le point sur cette question.

C'est donc dans un contexte difficile qu'intervient la publication d'une nouvelle information. En effet, une équipe de chercheurs en sécurité aurait réussi à trouver un moyen de décrypter les communications protégées par ce protocole.

Il s'agit d'une attaque tout à fait différente car dans le premier cas (diginotar), il y a usurpation des certificats afin de créer un faux sentiment de sécurité : la victime est persuadé d'aller sur un site de confiance mais, par un moyen tiers, en est détournée. Cependant, le site sur lequel elle arrive présente des similitudes graphiques et la présence du certificat n'alerte ni le navigateur, ni la victime et permet à l'attaquant de récupérer les informations.

Dans ce cas, il s'agit d'un cas potentiellement plus grave car il s'agit de décrypter les communications chiffrées entre un site légitime ET protégé et le navigateur du client. Pour cela, il suffirait d'insérer un bout de code javascript dans le navigateur de la victime ce qui ne parait pas infaisable dans le contexte du moment.

Il s'agit donc d'une attaque sur le fond cryptographique du protocole, ce qui est d'autant plus grave qu'elle n'était jusque-ici que théorique...Cela dit, l'article révèle aussi que si la démo devrait être fonctionnelle, l'implémentation parait tout de même assez difficile car le décryptage requiert du temps. De plus, ce "cheval de Troie cryptographique" semble ne fonctionner que sur la version 1.0 de TLS et pas les versions supérieures (qui sont cependant peu implémentées).

Ces problématiques techniques qui paraissent parfois un peu absconses sont pourtant au coeur des échanges sécurisées et de la confiance sur Internet. Elles ont donc, parfois, des conséquences plus stratégiques que vous pourrez découvrir dans le dernier numéro des cahiers de l'Alliance Géostratégique.

Source : dans le texte

Publié par à
Libellés : ,

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)