Jump to content

Une faille dans les certificats SSL dévoilée


Recommended Posts

Guest salimdz

Une faille dans les certificats SSL dévoilée

 

Vendredi 17 juillet 2009 à 16:00

 

Firefox_3_Beta_5_Extended_Validation_SSL_address_bar_and_certificate_detail.PNG

Voilà ce que FireFox 3 affiche lors d'une authenfication par certificat SSL EV

 

La traditionnelle conférence Black Hat, qui réunit les meilleurs experts en sécurité informatique du monde, sera l'occasion cette année de mettre au jour une faille dans le protocole de sécurisation SSL. Plus exactement, la faille ne concerne pas le chiffrement SSL en tant que tel, mais l'authentification des sites établissant la connexion chiffrée.

 

Pour initier une connexion SSL, un site doit en effet posséder un certificat. Or, une méthode d'obtention de ces certificats, la validation de domaine (Domain Validation) est assez aisément falsifiable. Un pirate peut donc mettre en ligne un site ressemblant à un site légitime, et authentifié aux yeux du navigateur et de l'utilisateur par un certificat délivré de manière trop laxiste par une des autorités habilitées. C'est la base de bon nombre d'attaques de phishing, ou hameçonnage en nouveau français technologisant.

 

Afin de remédier à ces attaques, des certificats plus sécurisés ont été mis en place. Dits EV (Extended Validation) ces certificats ne sont délivrés qu'après une enquête approfondie sur l'entité candidate, et ne peuvent donc pas être obtenus par le premier pirate venu.

 

Mais, même l'utilisation de certificats EV n'est pas une parade fiable. Deux chercheurs ont l'intention de montrer lors du Black Hat que lorsque l'on se connecte sur un hot spot WiFi ouvert, et donc très facilement attaquable, un pirate peut prendre contrôle du DNS du point d'accès et rediriger vers un site contrefait une fois l'authentification faite sur le site légitime. Dans ce cas, le navigateur n'y voit que du feu, et l'utilisateur également.

 

Moralité, comme le dit Mark Zusman, un des découvreurs de la faille, “Passez par des réseaux EVDO [l'équivalent du GSM aux États-Unis] ou d'autres services d'accès haut débit mobile qui rendent ce type d'attaque beaucoup plus difficile. Ne vous mettez pas dans des situations ou des assaillants peuvent vous atteindre."

 

source

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...