Intrapole
VOUS  TES ICI : Accueil » Alertes Sécurité »

RPV SSL : attention au piège !

Le système de réseau privé virtuel serait mis en danger par des techniques de détournement. L’US-Cert, à l’origine de l’alerte, appelle à la vigilance.

Le 3 décembre dernier, l’US-Cert (United States-Computer Emergency Readiness Team) a publié une note détaillant une vulnérabilité liée à l’utilisation du RPV SSL. Ce système de réseau privé virtuel, qui ne nécessite aucun client, s’appuie sur un protocole HTTP encapsulé dans un tunnel SSL (Secure Sockets Layer) qui chiffre le trafic. Son principe consiste à intercepter les requêtes HTTP et à générer des cookies sessions servant à identifier chaque connexion entre les clients et les sites demandés.

La technologie RPV en cause

La vulnérabilité en question ne se situe pas au niveau des transactions elles-mêmes, car SSL assure toujours l’intégrité et la confidentialité des données. Tout se joue au moment de la connexion, où un pirate peut réaliser un vol de sessions. « Les RPV SSL font systématiquement une réécriture des URL et des contenus dynamiques des données HTML (type DOM). Ils gardent ainsi sur le serveur RPV une liste des cookies sessions ouverts par les utilisateurs », explique Ibrahim Hajjeh, directeur général d’Inéovation. La faille trouvée par les attaquants consiste à inciter l’utilisateur à se connecter à un site illicite (par un courriel frauduleux, par exemple) via le tunnel RPV SSL, afin de récupérer les cookies utilisateurs stockés sur le serveur RPV. Le pirate sera ainsi en mesure d’obtenir les sessions utilisateurs et de jouer le rôle de l’attaquant du milieu (Man In The Middle). « Cette fois, c’est la technologie RPV SSL qui est en cause », affirme Ibrahim Hajjeh. L’US-Cert annonce qu’aucun correctif n’est envisageable car, tout comme pour le phishing, l’attaque ne peut avoir lieu qu’avec la participation première de la victime. La vigilance est donc de rigueur.

Stéphane Bellec | 01net. | le 04/12/2009 à 15h45

(Source :01net Pro)