Aller au contenu
Règlement du forum ×
IPTV et arnaques ×

Une faille dans les certificats SSL dévoilée


Invité salimdz

Messages recommandés

Une faille dans les certificats SSL dévoilée

 

Vendredi 17 juillet 2009 à 16:00

 

Firefox_3_Beta_5_Extended_Validation_SSL_address_bar_and_certificate_detail.PNG

Voilà ce que FireFox 3 affiche lors d'une authenfication par certificat SSL EV

 

La traditionnelle conférence Black Hat, qui réunit les meilleurs experts en sécurité informatique du monde, sera l'occasion cette année de mettre au jour une faille dans le protocole de sécurisation SSL. Plus exactement, la faille ne concerne pas le chiffrement SSL en tant que tel, mais l'authentification des sites établissant la connexion chiffrée.

 

Pour initier une connexion SSL, un site doit en effet posséder un certificat. Or, une méthode d'obtention de ces certificats, la validation de domaine (Domain Validation) est assez aisément falsifiable. Un pirate peut donc mettre en ligne un site ressemblant à un site légitime, et authentifié aux yeux du navigateur et de l'utilisateur par un certificat délivré de manière trop laxiste par une des autorités habilitées. C'est la base de bon nombre d'attaques de phishing, ou hameçonnage en nouveau français technologisant.

 

Afin de remédier à ces attaques, des certificats plus sécurisés ont été mis en place. Dits EV (Extended Validation) ces certificats ne sont délivrés qu'après une enquête approfondie sur l'entité candidate, et ne peuvent donc pas être obtenus par le premier pirate venu.

 

Mais, même l'utilisation de certificats EV n'est pas une parade fiable. Deux chercheurs ont l'intention de montrer lors du Black Hat que lorsque l'on se connecte sur un hot spot WiFi ouvert, et donc très facilement attaquable, un pirate peut prendre contrôle du DNS du point d'accès et rediriger vers un site contrefait une fois l'authentification faite sur le site légitime. Dans ce cas, le navigateur n'y voit que du feu, et l'utilisateur également.

 

Moralité, comme le dit Mark Zusman, un des découvreurs de la faille, “Passez par des réseaux EVDO [l'équivalent du GSM aux États-Unis] ou d'autres services d'accès haut débit mobile qui rendent ce type d'attaque beaucoup plus difficile. Ne vous mettez pas dans des situations ou des assaillants peuvent vous atteindre."

 

source

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...