Black Hat Europe 2009, Amsterdam. Moxie Marlinspike, auteur de l’outil SSLstrip, a montré comment contourner la protection offerte par SSL dans le cadre d’une connexion web censée être sécurisée.

L’attaque repose sur une observation : personne, ou presque, n’entre désormais directement le préfixe https pour accéder à une page sécurisée. L’accès à SSL se fait désormais au moment de l’authentification depuis une page d’accueil non sécurisée, soit en cliquant sur un lien, soit à l’aide d’une redirection de type 302 imposée par le site.

L’idée de Moxie Marlinspike est alors d’exploiter une faiblesse toute humaine : l’étourderie. Peu d’utilisateurs, en effet, contrôleront être réellement sur une page sécurisée dans le cadre d’un processus de login. En exploitant SSLstrip dans une configuration man-in-the-middle, un attaquant peut alors silencieusement débarrasser les requêtes HTTPS de leur ‘S’ bien encombrant, tout en gardant une table des nettoyages ainsi réalisés.

Cela permet alors, de l’autre côté, d’initier une connexion SSL à partir de la machine de l’attaquant, afin que le serveur ne se plaigne pas. L’attaquant communique donc en clair avec sa victime et en SSL avec le serveur.

Et SSLstrip pousse le vice jusqu’à remplacer dynamiquement l’image favicon des sites visités par celle d’un petit cadenas du meilleur effet, histoire de rassurer un peu plus l’utilisateur lorsqu’il pense être sur une page sécurisée.

Moxie Marlinspike affirme avoir ainsi glané un nombre respectable de login / mots de passe en se positionnant en tant que noeud de sortie sur le réseau TOR, ainsi qu’en sniffant le trafic aux alentours de la Black Hat (qui, comme le veut la tradition, ont étés présentés à tous).

Cette présentation n’était cependant pas une nouveauté, Moxie Marlinspike l’ayant déjà déroulée au mois de février dernier à l’édition américaine de la conférence Black Hat.