nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
SSL, un protocole de plus en plus vulnérable
Utilisé pour sécuriser les connexions entre les sites et les navigateurs, ce protocole est mis à l'index par de nombreux experts.
Le protocole SSL 3.0+ est vulnérable à une attaque de type « man-in-the middle » : c'est ce qu'annonce sur son blog Marsh Ray, un développeur travaillant pour la société Phone Factor. Il confirme ainsi qu'il est possible d'intercepter le trafic SSL (Secure Sockets Layer) effectué entre l'autorité délivrant le certificat numérique et un site Web. Par la suite, le pirate peut créer un faux certificat capable de leurrer l'utilisateur, qui croira être sur une connexion sécurisée (cadenas et barre d'adresse verte visibles sur son navigateur). Ce type d'attaque pourrait permettre à un pirate de voler des mots de passe, de contrôler une session bancaire en ligne, ou encore d'installer une mise à jour pour Firefox contenant du code malveillant.
Cela dit, une attaque de ce genre est loin d'être simple à mettre en place et ne peut être déployée à grande échelle. Il faut à la fois créer un certificat spécifique à chaque cible (le site dont on va usurper l'identité) et rediriger l'internaute vers l'adresse IP illicite (par exemple, un faux site de banque).
Un mécanisme dépassé
En réalité, ce type d'annonce ne fait que confirmer les limites de ce protocole SSL. Cet été, lors du Black Hat de Las Vegas, mais aussi lors du Hack.lu le 30 octobre dernier au Luxembourg, un hacker dénommé Moxie Marlinspike avait démontré qu'il existait des outils, dont SSLstrip qu'il a développé, permettant d'exploiter les vulnérabilités du SSL et de créer de faux certificats. Selon des chercheurs, le problème vient, notamment, de l'infrastructure système de la clé publique X.509. Utilisée pour gérer les certificats numériques, elle est devenue obsolète.
Mi-octobre, Microsoft a publié deux correctifs concernant les failles X.509 révélées au Black Hat par Marlinspike. Les navigateurs Web et les clients de messagerie ont également réalisé des mises à jour.
Actu précédente
Actu Suivante
Axelle
de
axellec
, posté le 14 novembre 2009 à 13h42
Il faudrait veiller à ne pas tout confondre:
- SSL, comme bcp de protocoles, est vulnérable aux Man in the Middle. SSL ne présente pas particulièrement de failles.
- X.509 n'est absolument pas désuet (ni particulièrement mauvais). C'est son implémentation qui est mauvaise dans de nombreux navigateurs.
- SSL, comme bcp de protocoles, est vulnérable aux Man in the Middle. SSL ne présente pas particulièrement de failles.
- X.509 n'est absolument pas désuet (ni particulièrement mauvais). C'est son implémentation qui est mauvaise dans de nombreux navigateurs.
alerter le modérateur
à lire aussi
SUR LES MÊMES THÈMES 
