Le spécialiste européen de la formation certifiante en informatique et management pour les entreprises

Faille HTTPS : cette fois, navigateurs et sites web doivent être mis à jour

La publication de Beast, un logiciel qui exploite la faille du protocole HTTPS, devrait convaincre l’ensemble des acteurs de basculer enfin sur la version corrigée.

Récemment, deux chercheurs annonçaient leur capacité à exploiter une faille au sein du protocole HTTPS. « Si leur méthode est nouvelle, la faille, elle, ne l’est pas », explique Stéphane Bortzmeyer, ingénieur R&D à l’Afnic, sur son blog. En effet, connue depuis près de sept ans, la vulnérabilité a été corrigée par la version 1.1 du protocole disponible depuis 2006. Pourtant, en cinq ans, aucune mise à jour ni des navigateurs, ni des serveurs web n'a été faite, chacun se renvoyant en permanence la balle quant à l’initiative. « A l’époque l’information n’avait pas fait beaucoup de bruit, ajoute Stéphane Bortzmeyer. Aujourd’hui, avec la démonstration effective de l'attaque, il y a une prise de conscience de la communauté. »

Comment fonctionne cette attaque ? Rappelons que l'attaque se place entre le navigateur et le site de destination. « La première chose que fait l'agresseur est de mettre en place un dispositif d’écoute du trafic réseau. Ce qui est assez trivial », explique Stéphane Bortzmeyer. Ensuite, il doit réussir à injecter un texte dans le navigateur du poste victime dans le cadre de la session HTTPS qu'il veut pirater. Une démarche déjà beaucoup plus complexe à réaliser. Or c’est justement ce que se propose de faire Beast, l’application développée par les chercheurs Juliano Rizzo et Thai Duong, en automatisant l’exploitation de la faille grâce une applet Java.

Comment peut-on s’en protéger ? Il faut que le navigateur mette à jour sa gestion du protocole HTTPS. Tous les regards sont désormais tournés vers Microsoft, Google, Mozilla et Apple. Les plus pressés peuvent toutefois effectuer les modifications eux-mêmes, en reprenant le code source des navigateurs libres. Mais ces compétences ne sont pas à la portée de tous.

En revanche, chacun peut se protéger en optant pour des pratiques simples : éviter les réseaux Wi-Fi ouverts, comme ceux des cafés, pour accéder à des réseaux sensibles. Penser aussi à désactiver Java, Javascript et Silverlight pour éviter l'exécution de code malveillant tel que Beast.

In fine, les deux chercheurs auront peut-être réussi à convaincre l’intégralité du marché de l’internet de mettre enfin à jour les serveurs et les navigateurs.  (Source 01 net)