Nouvelle version de POODLE : exploitation d’un problème d’abaissement du protocole jusque la version SSL 3.0

La nouvelle attaque contre le protocole SSLv3, dévoilée mardi, exploite une vulnérabilité qui permet à l’attaquant d’intercepter le trafic de la victime en clair. Sur la base de la complexité de l’exécution, cette attaque est jugée plus élémentaire que les attaques antérieures contre les protocoles SSL/TLS comme BEAST et CRIME et pourrait permettre à l’attaquant d’obtenir les cookies prétendument protégés pour ce site.

L’attaque connue sous le nom de POODLE a été développée par quelques chercheurs de Google, dont Thai-Duong, qui a fait partie du duo à l’origine des attaques BEAT et CRIME il y a quelques années. L’attaque repose sur le fait qu’en cas d’échec de l’établissement d’une connexion sécurisée, le serveur se rabat sur d’anciens protocoles, comme SSLv3, afin de parvenir malgré tout à établir une connexion sécurisée avec un client distant. L’individu malintentionné qui est en mesure de provoquer un échec de la connexion peut forcer le serveur à utiliser SSLv3 et tenter de réaliser une attaque d’un nouveau genre.

"Afin de pouvoir fonctionner avec des serveurs dépassés, de nombreux clients TLS introduisent une procédure de retour à l’état antérieur : lors de la première tentative de handshake, c’est le protocole le plus récent pris en charge par le client qui est utilisé ; en cas d’échec de ce handshake, une nouvelle tentative a lieu (parfois, à plusieurs reprises) avec une version plus ancienne du protocole. A la différence de la sélection normale du protocole (si le client propose TLS 1.2, le serveur peut proposer par exemple TLS 1.0), ce retour à l’état antérieur peut être provoqué par des problèmes de réseau ou par des actions des individus malintentionnés. Donc, si l’attaquant qui contrôle le réseau entre le client et le serveur, intervient dans la tentative de handshake selon le protocole TLS 1.0 ou ultérieur, ces clients passeront facilement à SSL 3.0" peut on lire dans la communication relative à l’attaque diffusée par les chercheurs Bodo Möller, Thai Duong et Krzysztof Kotowicz.

Pour réaliser l’attaque, l’adversaire devra prendre les commandes de la connexion Internet de la victime et être en mesure d’exécuter Javascript dans le navigateur de la victime.

"Si ces conditions sont remplies, il faudra compter environ 256 requêtes Internet pour obtenir chaque octet du fichier cookie. Par exemple, s’il est possible de réaliser deux douzaines de connexions, il faudra compter, dans le pire des cas, 10 minutes par octet. Autrement dit, cela prend du temps" explique Matthew Green, spécialiste en cryptographie et professeur assistant à l’université John Hopkins.

La nouvelle attaque donne des résultats similaires à ceux de l’attaque BEAST développée par Duong et Juliano Rizzo en 2011 : déchiffrement du contenu protégé. L’utilisation de l’attaque BEAST requiert certaines conditions spéciales et, dans l’ensemble, son exécution est plus lente que POODLE. Matthew Green indique que les conditions à remplir pour l’exécution de l’attaque POODLE sont moins lourdes.

"Deux éléments rendent cette attaque plus dangereuse que BEAST. Tout d’abord, sa correction sur TLS n’est pas aussi simple que celle de BEAST. Deuxièmement, à la différence de BEAST, elle ne nécessite pas le lancement d’un applet Java. Il est possible de lancer l’attaque à l’aide de JavaScript" explique Matthew Green.

La méthode la plus simple pour se protéger contre la nouvelle attaque consiste à désactiver SSLv3, mais cela a un impact sur la compatibilité avec les navigateurs, surtout les plus anciens. Cela pourrait créer des problèmes pour les administrateurs de sites qui préfèrent normalement prendre en charge un large éventail de protocoles pour pouvoir servir un large éventail d’utilisateurs. Pour résoudre ce problème, Möller et Adam Langley, un chercheur en sécurité de chez Google, ont développé un mécanisme baptisé TLS_FALLBACK_SCSV qui empêche l’attaque par retour à l’état antérieur.

"La désactivation de la prise en charge de SSL 3.0 ou des chiffres du mode CBC dans SSL3 suffira à repousser l’attaque, mais même de nos jours, cela créera de gros problèmes au niveau de la compatibilité. C’est pourquoi nous recommandons la prise en charge de TLS_FALLBACK_SCSV. Ce mécanisme, qui élimine le problème provoqué par les tentatives répétées de connexion après un échec et qui prive ainsi les individus malintentionnés de provoquer l’utilisation de SSL 3.0 par les navigateurs. Il empêche également le passage de TLS 1.2 à 1.1 ou 1.0 et peut offrir une protection contre d’éventuels attaques à venir" écrit Möller dans un blog.

La nouvelle attaque touche un large éventail d’applications, dont OpenSSL, qui a déjà connu de gros problèmes au cours de ces derniers mois. Möller a publié mardi un correctif pour la version 1.0.1 d’OpenSSL qui ajoute la prise en charge du mécanisme TLS_FALLBACK_SCSV.

Matthew Green affirme que la mort de SSLv3, qui a déjà 15 ans, est attendue depuis longtemps et la découverte de l’attaque POODLE devrait accélérer le processus.

"La seule solution fiable consiste à désactiver complètement SSLv3 sur les serveurs et sur les clients. Cela aurait du être fait il y a bien longtemps, mais si nous agissons ainsi, nous allons casser Internet. Il faut donc penser à ce que les sites et les éditeurs de navigateurs doivent faire" a-t-il ajouté.

Source :        Threatpost
Lien :        Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *