Les attaques SSL/TLS

Article rédigé dans le cadre de la Hacker’s Challenge et sponsorisé par Radware

On en parle un peu moins que les autres, et pourtant, elles existent bel et bien. Il s’agit comme vous avez pu le deviner en lisant le merveilleux titre de cet article, des attaques TLS/SSL !

Mais avant de rentrer dans le coeur du sujet, il faut bien garder à l’esprit que les protocoles TLS (Transport Layer Security) et SSL (Secure Socket Layer) sont d’abord là pour permettre un chiffrement de la connexion entre un client et un serveur. Donc par exemple (mais pas que) entre votre navigateur et le serveur qui héberge le site web que vous visitez. En chiffrant cette connexion, on s’assure ainsi qu’aucun tiers ne viendra lire ou modifier son contenu, ce qui est fort convenable surtout quand ces données sont vos mots de passe, vos numéros de carte de crédit, vos emails ou un simple cookie d’authentification.

Fonctionnant sur un principe de clé publique, SSL/TLS permet au client de s’assurer que le serveur est bien celui qu’il prêtant être et vice versa.  Lorsque la connexion sécurisée est établie, le serveur envoie son certificat SSL au client qui vérifie auprès d’une Autorité de Certification (les fameux CA) que ce certificat est bien valide.

En marge de tout cela, il y a aussi le PFS (Perfect Forward Secrecy) qui garantie que les clés de sessions utilisées dans une communication chiffrée ne sont pas compromises, même si la clé privée du serveur a été éventée. Alors comment ça fonctionne ? Et bien pour chaque session initiée par le client, une clé unique et éphémère est générée. Cette clé sera utilisée uniquement dans le cadre de cette session et ne pourra donc pas, en cas d’interception, être utilisée pour les sessions suivantes.

Évidemment, SSL/TLS est un protocole qu’on connait bien, car on le retrouve sous la forme d’un petit cadenas dans nos navigateurs, mais il est aussi utilisé par d’autres services que HTTP, comme le FTP, la VoIP, le VPN, le SMTP…etc.

Toutefois, malgré ces mesures de sécurité, SSL subit aussi son lot d’attaques, aussi bien du côté serveur que du côté client. Je vais donc vous en présenter quelques-unes ainsi que les solutions pour les éviter.

POODLE (CVE-2014-3566)

Alors celle là, vous en avez peut-être entendu parler via mon site, car j’avais fait plusieurs articles à ce sujet fin 2014. POODLE (caniche en anglais) pour « Padding Oracle On Downgraded Legacy Encryption » tire avantage du fait que SSL 3.0 est encore supporté sur de nombreuses machines, pour dégrader l’ensemble des connexions chiffrées vers la version la moins sécurisée. Ainsi, il est possible de déchiffrer simplement les cookies sécurisés envoyés au travers d’une connexion SSL.

View the Original article

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *