Se connecter avec
S'enregistrer | Connectez-vous

Une faille dans les certificats SSL dévoilée

Par - Source: NetworkWorld | B 2 commentaires

La traditionnelle conférence Black Hat, qui réunit les meilleurs experts en sécurité informatique du monde, sera l'occasion cette année de mettre au jour une faille dans le protocole de sécurisation SSL. Plus exactement, la faille ne concerne pas le chiffrement SSL en tant que tel, mais l'authentification des sites établissant la connexion chiffrée.

Pour initier une connexion SSL, un site doit en effet posséder un certificat. Or, une méthode d'obtention de ces certificats, la validation de domaine (Domain Validation) est assez aisément falsifiable. Un pirate peut donc mettre en ligne un site ressemblant à un site légitime, et authentifié aux yeux du navigateur et de l'utilisateur par un certificat délivré de manière trop laxiste par une des autorités habilitées. C'est la base de bon nombre d'attaques de phishing, ou hameçonnage en nouveau français technologisant.

Afin de remédier à ces attaques, des certificats plus sécurisés ont été mis en place. Dits EV (Extended Validation) ces certificats ne sont délivrés qu'après une enquête approfondie sur l'entité candidate, et ne peuvent donc pas être obtenus par le premier pirate venu.

Mais, même l'utilisation de certificats EV n'est pas une parade fiable. Deux chercheurs ont l'intention de montrer lors du Black Hat que lorsque l'on se connecte sur un hot spot WiFi ouvert, et donc très facilement attaquable, un pirate peut prendre contrôle du DNS du point d'accès et rediriger vers un site contrefait une fois l'authentification faite sur le site légitime. Dans ce cas, le navigateur n'y voit que du feu, et l'utilisateur également.

Moralité, comme le dit Mark Zusman, un des découvreurs de la faille, “Passez par des réseaux EVDO [l'équivalent du GSM aux États-Unis] ou d'autres services d'accès haut débit mobile qui rendent ce type d'attaque beaucoup plus difficile. Ne vous mettez pas dans des situations ou des assaillants peuvent vous atteindre."

Commentaires
Interroger un expert

Votre question aux experts de la catégorie Les news : vos réactions du forum

Exemple : Android, ordinateur portable, usb, disque dur

Cette page n'accepte plus de commentaires
  • sixtyfour , 17 juillet 2009 16:49
    sslstrip marche tres bien aussi pour voler les identifiant/mot de passe d'une connexion https,ca commence a faire beaucoup.
  • Anonyme , 1 août 2009 14:30
    Ouais enfin sslstrip ne marche pas dans la pluspart des cas et reste limité à certains sites (gmail, facebook, msn etc...). Heureusement cela est totalement inefficace pour les sites bancaires et autres moyens de paiement en ligne.
    En tout cas il serait bien par contre que gmail, facebook, msn etc... fassent quelque chose contre cela, c'est un peu abusé !!!