Intrapole
VOUS  TES ICI : Accueil » Alertes Sécurité »

SSL, un protocole de plus en plus vulnérable

Utilisé pour sécuriser les connexions entre les sites et les navigateurs, ce protocole est mis à l’index par de nombreux experts.

Le protocole SSL 3.0+ est vulnérable à une attaque de type « man-in-the middle » : c’est ce qu’annonce sur son blog Marsh Ray, un développeur travaillant pour la société Phone Factor. Il confirme ainsi qu’il est possible d’intercepter le trafic SSL (Secure Sockets Layer) effectué entre l’autorité délivrant le certificat numérique et un site Web. Par la suite, le pirate peut créer un faux certificat capable de leurrer l’utilisateur, qui croira être sur une connexion sécurisée (cadenas et barre d’adresse verte visibles sur son navigateur). Ce type d’attaque pourrait permettre à un pirate de voler des mots de passe, de contrôler une session bancaire en ligne, ou encore d’installer une mise à jour pour Firefox contenant du code malveillant.

Cela dit, une attaque de ce genre est loin d’être simple à mettre en place et ne peut être déployée à grande échelle. Il faut à la fois créer un certificat spécifique à chaque cible (le site dont on va usurper l’identité) et rediriger l’internaute vers l’adresse IP illicite (par exemple, un faux site de banque).

Un mécanisme dépassé

En réalité, ce type d’annonce ne fait que confirmer les limites de ce protocole SSL. Cet été, lors du Black Hat de Las Vegas, mais aussi lors du Hack.lu le 30 octobre dernier au Luxembourg, un hacker dénommé Moxie Marlinspike avait démontré qu’il existait des outils, dont SSLstrip qu’il a développé, permettant d’exploiter les vulnérabilités du SSL et de créer de faux certificats. Selon des chercheurs, le problème vient, notamment, de l’infrastructure système de la clé publique X.509. Utilisée pour gérer les certificats numériques, elle est devenue obsolète.

Mi-octobre, Microsoft a publié deux correctifs concernant les failles X.509 révélées au Black Hat par Marlinspike. Les navigateurs Web et les clients de messagerie ont également réalisé des mises à jour.

Philippe Richard | 01net. | le 13/11/2009

(Source :01net Pro)