Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Attaque SSL : désactivez la renégociation

auteur de l'article Jerome Saiz , dans la rubrique Menaces

THC-SSL-DOS, un nouvel outil destiné à faire tomber les serveurs web mal via HTTPS, semble faire des miracles : il serait capable de neutraliser un serveur web à l’aide d’une simple connexion ADSL, rappelant en cela l’outil Slow Loris. Et il suffirait d’une vingtaine de portables standards et d’une connexion à 120kbs pour neutraliser une ferme de serveurs derrière un système de partage de charge. Autant dire qu’il s’agit de l’équivalent d’une bombe sale logique !

L’outil exploite le fait – bien connu – qu’une négociation de session SSL demande quinze fois plus de puissance au serveur qu’au client. Il utilise cette asymétrie à son avantage, ainsi que la capacité à renégocier une session SSL à la demande, afin de lancer plusieurs milliers de renégociations via une simple connexion TCP.

Par défaut l’outil THC-SSL-DOS exploite la re-négociation SSL. Mais ses concepteurs indiquent qu’il peut être modifié afin de ne pas avoir besoin de cette fonctionnalité sur le serveur cible. Il ne s’agit donc pas d’un bug lié à la renégociation SSL. Les auteurs assurent toutefois qu’ils ne publieront pas la version générique de leur outil.

Il est donc encore possible de se protéger en désactivant (si ce n’est déjà fait !) la renégociation SSL sur vos serveurs. Il s’agit après tout d’une fonctionnalité destinée notamment aux VPN SSL et peu utile aux serveurs web.

Mais les auteurs sont clairs : il n’existe réellement aucune panacée à cette attaque, seulement des solutions de mitigation. Désactiver la renégociation SSL ne protégera que contre la version publique de l’outil actuel. Rien n’indique qu’une tierce partie ne soit en mesure de le modifier ultérieurement pour ne plus reposer sur cette fonctionnalité (le code source Linux est disponible). Pire : les auteurs indiquent que la même approche est possible avec le bon vieux OpenSSL…

SSL Labs | Qualys

De mauvais résultats pour ce site - SSL Labs | Qualys

En attendant, nous ne saurions que vous conseiller de tester votre serveur web avec l’outil gratuit en ligne de SSL Labs (Qualys). Vous saurez immédiatement si la renégociation SSL est activée (voir ci-dessous l’exemple d’un serveur mal configuré). Et même si cela ne règle pas fondamentalement le problème, il est toujours bon de désactiver cette fonctionnalité sur vos serveurs désormais qu’un outil aussi simple et efficace est dans la nature.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Une réponse à Attaque SSL : désactivez la renégociation

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.