Une faille dans les certificats SSL dévoilée

La traditionnelle conférence Black Hat, qui réunit les meilleurs experts en sécurité informatique du monde, sera l'occasion cette année de mettre au jour une faille dans le protocole de sécurisation SSL. Plus exactement, la faille ne concerne pas le chiffrement SSL en tant que tel, mais l'authentification des sites établissant la connexion chiffrée.

Pour initier une connexion SSL, un site doit en effet posséder un certificat. Or, une méthode d'obtention de ces certificats, la validation de domaine (Domain Validation) est assez aisément falsifiable. Un pirate peut donc mettre en ligne un site ressemblant à un site légitime, et authentifié aux yeux du navigateur et de l'utilisateur par un certificat délivré de manière trop laxiste par une des autorités habilitées. C'est la base de bon nombre d'attaques de phishing, ou hameçonnage en nouveau français technologisant.

Afin de remédier à ces attaques, des certificats plus sécurisés ont été mis en place. Dits EV (Extended Validation) ces certificats ne sont délivrés qu'après une enquête approfondie sur l'entité candidate, et ne peuvent donc pas être obtenus par le premier pirate venu.

Mais, même l'utilisation de certificats EV n'est pas une parade fiable. Deux chercheurs ont l'intention de montrer lors du Black Hat que lorsque l'on se connecte sur un hot spot WiFi ouvert, et donc très facilement attaquable, un pirate peut prendre contrôle du DNS du point d'accès et rediriger vers un site contrefait une fois l'authentification faite sur le site légitime. Dans ce cas, le navigateur n'y voit que du feu, et l'utilisateur également.

Moralité, comme le dit Mark Zusman, un des découvreurs de la faille, “Passez par des réseaux EVDO [l'équivalent du GSM aux États-Unis] ou d'autres services d'accès haut débit mobile qui rendent ce type d'attaque beaucoup plus difficile. Ne vous mettez pas dans des situations ou des assaillants peuvent vous atteindre."