Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Un grand trou pour le petit cadenas de votre navigateur

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Un grand trou pour le petit cadenas de votre navigateur

Internet Explorer, Opera et Konqueror souffrent d’une faille bien embarrassante : ils permettent à n’importe qui de se faire passer pour n’importe quel site web durant une transaction protégée par SSL. Opera et Konqueror ont résolu le problème, Microsoft y travaille toujours. 
La faille découverte par Mike Benham frappe SSL, le protocole de chiffrement utilisé pour protéger les connexions web. Symbolisé dans la plupart des navigateurs par l’apparition d’un petit cadenas rassurant, SSL est un protocole solide. Encore faut-il qu’il soit correctement implémenté. Hélas, la mise en oeuvre de SSL dans plusieurs navigateurs est plutôt laxiste, et permet à n’importe quel site web de se faire passer pour un autre, afin d’accepter les connexions sécurisées qui lui sont destinées.Dans le cadre d’un fonctionnement normal, avant de créer un tunnel chiffré par SSL, le navigateur vérifie l’identité du serveur auquel il s’apprête à se connecter. Ce contrôle se base sur un certificat serveur. Il s’agit d’un « passeport » qui atteste de l’identité du site, et qui est garanti par la signature d’une tierce partie de confiance (Verisign est le plus répandu de ces cyber-huissiers). Dans la pratique cependant, Verisign ne peut signer directement les millions de certificats en circulation, et peut donc déléguer la signature à une seconde entité (Thwate , par exemple). Dans ce cas, le navigateur qui vérifie le certificat d’un site web doit remonter toute la chaîne des signataires intermédiaires, afin de s’assurer qu’ils sont non seulement valides, mais surtout bien autorisés à signer d’autres certificats, contrairement à ceux destinés à un utilisateur final.Les navigateurs Internet Explorer, Opera et Konqueror ne sont pas aussi scrupuleux. Et si un pirate, déjà client de Verisign, tente de fabriquer un nouveau sésame au nom d’une banque ou d’un site de commerce, par exemple, il pourra le signer avec son propre certificat. Puisque ce dernier fait partie d’une chaîne de signatures valides qui remonte jusqu’à une autorité de signature reconnue par le navigateur, il sera accepté.Cela ne se produirait pas si les navigateurs appliquaient des contrôles plus stricts, refusant les sésames signés par un certificat final.En l’état, cependant, un pirate peut imiter n’importe quel certificat, pour n’importe quel site connu. En piégeant les internautes pour qu’ils se rendent sur la fausse version du site, il sera capable de soutirer toutes les informations confidentielles qu’il souhaite… puisqu’il en sera le destinataire !Les utilisateurs des navigateurs Opera et Konqueror sont encouragés à mettre leur navigateur à jour, car les correctifs étaient disponibles quelques heures après la découverte de la faille.Mise à jour du 15/08/02Pour les utilisateurs d’Internet Explorer, Microsoft a enfin reconnu la faille , et promet un correctif, sans plus de précision. Dans un courrier adressé à « Les Nouvelles.net », Bernard Ourghanlian, Directeur Technique de Microsoft France, résume la position de l’éditeur : « Nous pensons que le scénario d’attaque dont il est question est difficile à réaliser ; néanmoins il est, bien entendu, de notre devoir d’apporter une correction à ce problème dans les plus brefs délais« . Ajoutons que, dans le texte original de Mike Benham, ce dernier reconnaissait ne pas avoir prévenu l’éditeur, dégoûté par la manière dont Microsoft venait de traiter la découverte, peu avant, d’une autre faille. Selon l’éditeur, en outre, la faille se situe dans Windows, et non Internet Explorer, ce qui oblige à fournir non pas un mais une multitude de correctifs, pour chaque version du système d’exploitation. Cela explique peut-être, en partie, le retard dans la fourniture de ce correctif.Source : SecurityFocus.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.