Failles dans le protocole de sécurité SSL
Réseaux et Télecom (31/07/2009) - par Vivien Derest avec IDG news service
A la conférence 'Black Hat', des chercheurs considèrent que des failles dans le protocole de sécurité SSL pourraient être utilisées pour créer des attaques de type 'man-in-the middle' (MITM) indétectables.
Des chercheurs en sécurité ont trouvé de sérieuses failles dans des logiciels utilisant le protocole de cryptage SSL (Secure Sockets Layer), qui sert à la sécurisation des communications sur Internet. Lors de la conférence 'Black Hat' de Las Vegas, le jeudi 30 juillet, des chercheurs ont révélé plusieurs attaques qui pourraient être utilisées pour compromettre un trafic sécurisé d'informations entre les sites Web et les navigateurs.
Ce type d'attaque pourrait permettre à un pirate de voler des mots de passe, de pirater un session bancaire en ligne, voire même d'installer une mise à jour pour Firefox contenant du code malveillant, selon les chercheurs. Le problème vient de la façon dont beaucoup de navigateurs ont implémenté SSL, ainsi que de l'infrastructure système de la clé publique X.509 qui est utilisée pour gérer les certificats numériques utilisés par SSL pour déterminer si un site est digne de confiance ou non.
Un chercheur en sécurité qui se fait appeler 'Moxie Marlinspike' a montré une méthode pour intercepter du trafic SSL en utilisant ce qu'il appelle un certificat 'null-termination'. Pour que cette attaque fonctionne, Marlinspike doit déjà réussir à installer son logiciel sur le réseau local. Une fois que c'est fait, il détecte le trafic SSL et présente son certificat 'null-termination ' pour intercepter les communications entre le client et le serveur. Une attaque du type man-in-the-middle
L'attaque expliquée par Marlinspike est extrêmement proche d'un autre type d'attaque assez commune, l'injection SQL, qui envoie des données spécifiquement conçues au programme en espérant le pousser à faire quelque chose qu'il ne devrait pas. Il a découvert que s'il créait des certificats pour son propre domaine internet qui incluait des caractères 'nuls' (souvent représentés par \0), certains programmes interprèteraient mal le certificat.
la suite de l'article ICI indétectable, selon lui.
A la conférence 'Black Hat', des chercheurs considèrent que des failles dans le protocole de sécurité SSL pourraient être utilisées pour créer des attaques de type 'man-in-the middle' (MITM) indétectables.
Des chercheurs en sécurité ont trouvé de sérieuses failles dans des logiciels utilisant le protocole de cryptage SSL (Secure Sockets Layer), qui sert à la sécurisation des communications sur Internet. Lors de la conférence 'Black Hat' de Las Vegas, le jeudi 30 juillet, des chercheurs ont révélé plusieurs attaques qui pourraient être utilisées pour compromettre un trafic sécurisé d'informations entre les sites Web et les navigateurs.
Ce type d'attaque pourrait permettre à un pirate de voler des mots de passe, de pirater un session bancaire en ligne, voire même d'installer une mise à jour pour Firefox contenant du code malveillant, selon les chercheurs. Le problème vient de la façon dont beaucoup de navigateurs ont implémenté SSL, ainsi que de l'infrastructure système de la clé publique X.509 qui est utilisée pour gérer les certificats numériques utilisés par SSL pour déterminer si un site est digne de confiance ou non.
Un chercheur en sécurité qui se fait appeler 'Moxie Marlinspike' a montré une méthode pour intercepter du trafic SSL en utilisant ce qu'il appelle un certificat 'null-termination'. Pour que cette attaque fonctionne, Marlinspike doit déjà réussir à installer son logiciel sur le réseau local. Une fois que c'est fait, il détecte le trafic SSL et présente son certificat 'null-termination ' pour intercepter les communications entre le client et le serveur. Une attaque du type man-in-the-middle
L'attaque expliquée par Marlinspike est extrêmement proche d'un autre type d'attaque assez commune, l'injection SQL, qui envoie des données spécifiquement conçues au programme en espérant le pousser à faire quelque chose qu'il ne devrait pas. Il a découvert que s'il créait des certificats pour son propre domaine internet qui incluait des caractères 'nuls' (souvent représentés par \0), certains programmes interprèteraient mal le certificat.
la suite de l'article ICI indétectable, selon lui.
Partager cet article
Pour être informé des derniers articles, inscrivez vous :
/https%3A%2F%2Fassets.over-blog.com%2Ft%2Fcedistic%2Fcamera.png)
/http%3A%2F%2Fwww.emarketer.com%2Fimages%2Fchart_gifs%2F130001-131000%2F130216.gif)
/http%3A%2F%2Fwww.emarketer.com%2Fimages%2Fchart_gifs%2F130001-131000%2F130906.gif)
/http%3A%2F%2Fwww.emarketer.com%2Fimages%2Fchart_gifs%2F125001-126000%2F125465.gif)
Commenter cet article
