Le spécialiste européen de la formation certifiante en informatique et management pour les entreprises

Les connexions SSL de nouveau sécurisées

Par Yann Serra 01netPRO

L’IETF vient de ratifier un correctif pour SSL. Ce protocole de sécurisation des connexions souffrait d’une faille importante depuis novembre dernier.

Il ne sera plus possible de se faire pirater sa connexion sécurisée en ligne. Telle est la promesse de la nouvelle version du protocole SSL, tout juste proposée par l'IETF (Internet Engineering Task Force) et rapidement ratifiée. Désormais, aucun pirate ne devrait pouvoir s'interposer entre un utilisateur et son réseau d'entreprise, le site sécurisé de sa banque ou encore l'interface d'administration d'un centre de données. Rappelons que dans de tels scénarios, les objectifs des pirates sont multiples : soit voler les clés, les codes des cartes bancaires ou encore le mot de passe de l'utilisateur, soit le rediriger vers un autre serveur sans qu'il s'en aperçoive.

Une faille subtile : La norme SSL sert déjà à chiffrer les communications entre un client et un serveur pour éviter qu'elles soient sur écoute. Mais son évolution a été motivée par une faille découverte en novembre dernier. A l'époque, des chercheurs s'aperçoivent que le serveur ne vérifie pas qu'il converse toujours avec le même client à la suite d'une micro-interruption. Et pourtant, un pirate pourrait d'abord établir une communication sécurisée vers le serveur avec sa propre clé, puis se servir d'une micro-interruption pour s'intercaler entre le client d'un utilisateur et le serveur.

Cette attaque est assez subtile, car la communication entre le serveur et le client s'effectue à pleine vitesse, sans que personne ne remarque que le flux d'informations est détourné. Et il l'est, puisque toutes les informations transitent dès lors par la machine du pirate. Celui-ci étant à l'initiative de la création de la clé, il lui est ensuite simple de décoder les informations qu'il détourne.

Suite à la découverte de cette faille, un étudiant turc l'exploitait pour détourner des comptes Twitter. Dès lors, de nombreux sites ont interdit la procédure de renégociation, laquelle sert à reconnecter un client après une micro-interruption.

Pour plus d’informations, consulter : http://pro.01net.com/editorial/510916/les-connexions-ssl-de-nouveau-securisees/.