Pour le business, pour le gouvernement, pour les FAI... Pour tous ces acteurs de l'internet en France, il est portant de dire (ou de faire croire...? ) que les connexions sont sécurisées. Pas sûr justement !
Le fameux cadenas a des trous. Oui, ce fameux cadenas que vous voyez en bas de votre écran d'ordinateur lorsque vous vous connectez au site de votre banque ou d'un site de commerce électronique. Officiellement, la présence de ce cadenas et des fameuses lettres https (présentes dans l'adresse du site lorsqu'on passe en mode "sécurisé") signifient que la connexion est protégée.
C'est l'objectif du protocole SSL (Secure Sockets Layer). Or, la sécurité de ce protocole ressemble de plus en plus à "une passoire" comme me l'a confié un expert.
Il n'est pas le seul à le penser et à le démontrer.
Aujourd'hui, sur son blog, Marsh Ray, un développeur travaillant pour la société Phone Factor, indique que ce protocole est vulnérable à un certain type d'attaques de pirates.
Cet informaticien confirme qu'il est possible d'intercepter le trafic SSL effectué entre l'autorité délivrant le certificat numérique et un site.
Ensuite, le pirate peut créer un faux certificat capable de leurrer l'utilisateur qui ne sera pas du tout inquiété (cadenas et barre d'adresse verte visibles). Ce type d'attaque pourrait permettre à un pirate de voler des mots de passe, de contrôler un session bancaire en ligne ou d'installer une mise à jour pour Firefox contenant du code malveillant.
Mais une attaque de ce genre n'est pas simple à mettre en place. Il faut à la fois créer un certificat spécifique à chaque cible (le site dont on va usurper l'identité) et rediriger l'internaute vers l'adresse IP illicite (par exemple, un faux site de banque). Sa difficulté explique pourquoi ce genre d'attaque ne peut être déployée à grande échelle.
N'empêche. Il existe des outils qui pourraient aggraver la situation.
Cet été, lors du Black Hat de Las Vegas mais aussi lors du Hack.lu le 30 octobre au Luxembourg, un hacker dénommé « Moxie Marlinspike » a démontré qu'il existait des outils, dont SSLstrip qu'il a développé, permettant d'exploiter les vulnérabilités du SSL et de créer de faux certificats. Il avait montré l'exemple d'un faux Sésame de Paypal.
Mi-octobre, Microsoft avait publié deux correctifs concernant les failles X.509 révélées au Black Hat par Marlinspike. Les navigateurs web et les clients de messagerie avaient également fait des mises à jour.
Pas sûr que cela soit suffisant. Il y a quelques mois, des experts en sécurité avaient créé de faux certificats qui avaient été tous acceptés par les navigateurs web !
Effectivement les présentations du Black Hat (enfin celles que j'ai vu) sont très intéressantes.
RépondreSupprimerIl n'empêche que tout cela est parfaitement corrigeable. Si les clients implémentait la vérification du nom du certificat de manière propre (par exemple en gérant correctement la gestion des caractères de fin de chaine \0) et que les organismes de certifications faisaient de même, TLS pourrait être sécurisé à 100% (enfin la perfection n'existe pas).
En conclusion, TLS est sécurisé mais l'implémentation n'est pas toujours satisfaisante.
Une régle d'or. Ne jamais cliquer sur un lien pour aller vers un site où l'on a un compte. Toujours taper l'adresse à la main ou utiliser ses favoris. Exemple : vous avez un mail de paypal qui vous dit que "bla bla bla". Ne cliquez pas sur le lien à l'intérieur du mail. Allez sur votre compte paypal de manière classique et regardez si effectivement le problème existe.
Bonjour,
RépondreSupprimervos commentaires sont tellement intéressants qu'on brûle d'envie de savoir qui se cache derrière ce pseudo...
Bonjour,
RépondreSupprimerVotre commentaire est-il ironique ? J'espère que non mais il est difficile de juger avec une seule phrase.
Sinon concernant mon identité, je ne suis qu'un français lambda passionné (entre autre) d'informatique. Si vous voulez, je peux vous donner mon nom en privé mais mon identité à bien peu d'intérêt.
Comme disait Desproges, "on peut rire de tout mais pas avec tout le monde"
RépondreSupprimerIl n'y a donc aucune ironie de ma part, simplement la curiosité naturelle d'un journaliste...