Infos

Démonstration d’une nouvelle attaque contre SSL/TLS lors de Black Hat Asia

DARKReading signale que des experts en sécurité réunis à l’occasion de la conférence Black Hat Asia, organisée à Singapour, ont démontré comment des individus malintentionnés pouvaient exploiter un algorithme de chiffrement faible dans le but de voler les informations d’authentification et d’autres informations importantes sur des canaux chiffrés.

Il s’agit une fois de plus d’un cas d’attaque menée via une fonction dépassée, mais toujours prise en charge. Cette fois-ci, c’est l’algorithme de chiffrement faible RC4, toujours pris en charge par de nombreux navigateurs et serveurs, qui est visé.

Itsik Mantin, directeur du service d’étude de la sécurité des informations chez Imperva, a expliqué aux délégués de la conférence comment un individu malintentionné pourrait intercepter les données d’authentification et d’autres informations lors d’une session SSL en exploitant la faiblesse d’un algorithme vieux de 13 ans pour organiser une attaque qui a été baptisée "Bar Mitzvah". Comme l’explique Itsik Mantin, "l’attaque démontre clairement qu’il est temps d’abonner une fois pour toute l’algorithme RC4 dont la faiblesse est connue depuis longtemps".

L’attaque exploite les clés faibles utilisées par l’algorithme RC4 et permet à l’individu malintentionné d’extraire les informations du flux chiffré de données. A la différence des attaques antérieures contre le protocole SSL, celle-ci ne repose pas sur la technique de l’homme du milieu. Il suffit simplement de renifler ou d’écouter les connexions chiffrées sur le protocole SSL/TLS. Itsik Mantin a toutefois signalé qu’il était possible d’organiser une attaque de l’homme du milieu pour détourner la session.

L’individu malintentionné peut utiliser un renifleur afin d’espionner passivement les sessions SSL de l’organisation ciblée. Il peut obtenir les clés utilisées dans la session chiffrée, lorsque l’utilisateur accède à son compte Facebook ou lorsqu’il réalise un achat. L’individu malintentionné voit une "des parties du message chiffré" qui peuvent être exploitées dans l’organisation d’une attaque. "Il peut restaurer une partie d’une clé aléatoire conservée dans du texte en clair ou restaurer une partie d’un texte non chiffré" avant qu’il ne soit chiffré. "Lorsqu’une clé faible est utilisée, il est possible de restaurer une partie du texte d’origine au départ du texte chiffré" a expliqué Itsik Mantin.

D’après Itsik Mantin, la majorité des navigateurs et plus de la moitié des serveurs prennent toujours en charge RC. Il estime à environ 30% le nombre de sessions TLS qui utilisent RC4, remplacé il y a plus de dix ans déjà par un successeur plus robuste, à savoir l’algorithme AES. Les clients et les serveurs qui communiquent via le protocole SSL/TLS se mettent d’accord sur l’algorithme utilisé pour chiffrer la session. "De nos jours, il existe encore de nombreux clients et serveurs qui prennent en charge l’algorithme RC4 dans ce processus. Et dans certains cas, c’est le protocole RC4 qui est choisi pour des raisons de performances" a déclaré Itsik Mantin.

Résultats : si RC4 est accessible et qu’il a été choisi, l’individu malintentionné peut organiser l’attaque Bar Mitzvah.

Itsik Mantin affirme toutefois qu’il n’y a pas de menace directe et que le problème peut être facilement résolu en annulant la prise en charge de l’algorithme RC4.

Bar Mitzvah n’est pas la première attaque inventée pour justifier l’abandon de RC4 : en 2013, les chercheurs Nadhem AlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering et Jacob Schuldt avaient démontré que RC4 était pratiquement compromis. Itsik Mantin a déclaré : "Cela fait plusieurs années que la faiblesse de RC4 est connue". Il souligne que la principale différence entre son attaque et les études antérieures réalisées sur RC4, c’est l’utilisation qu’il a fait d’une catégorie de clés faibles utilisées par RC4.

Il indique également que la tendance au rejet généralisé de RC4 s’est un peu ralentie. Cela fait longtemps que les problèmes de RC4 sont connus et c’est ce qui rend la situation assez décevante. "Je trouve très étrange que les spécialistes du chiffrement connaissent cette faiblesse depuis une dizaine d’années mais que celle-ci a été d’une certaine manière ignorée par le secteur de la sécurité des informations" a conclu Itsik Mantin.

Lien :        Threatpost

Démonstration d’une nouvelle attaque contre SSL/TLS lors de Black Hat Asia

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception