Deux informaticiens ont obtenu un bon succès médiatique avec la démonstration qu’il est possible, en y mettant beaucoup de moyens, de pirater des échanges entre un ordinateur et un site sécurisé, en exploitant une faille connue de TSL 1.0. Mais le risque est très faible et disparaît avec TSL 1.1 et 1.2. Problème : ces deux versions tardent à être adoptées.

au sommaire


    Beast (la Bête) mettra le paiement par carte bancaire sur la touche ? Sans doute pas. © Futura-Sciences

    Beast (la Bête) mettra le paiement par carte bancaire sur la touche ? Sans doute pas. © Futura-Sciences

    Juliano Rizzo et Thai Duong, deux informaticiens spécialisés dans la sécurité, avaient prévenu tout le monde : lors de la conférence Ekoparty, qui avait lieu à Buenos Aires la semaine dernière, ils présenteraient un exploit permettant de pirater une liaison sécurisée à l'aide du protocole SSLSSL/TLS 1.0. Ses auteurs l'ont baptisé Beast (« la bête »), pour Browser Exploit Against SSL/TLS.

    Et ils l'ont fait. Sous le titre Here come the Ninjas, un article complet détaille la méthode. Pourtant, leur technique exploite une faille connue depuis 2001... et corrigée depuis. Une procédure de contournement a été intégrée à la bibliothèque de fonctions de cryptographie OpenSSL puis la faille a été comblée dans TSL 1.1 et n'a pas été réouverte dans TSL 1.2. Mais leur exploit demeure d'actualité puisque, dans les navigateurs comme sur les serveurs des sites Web, TSL 1.0 reste le protocole le plus utilisé aujourd'hui et que la bibliothèque NSS est préférée à OpenSSL, et ce pour des raisons de compatibilité.

    Une attaque complexe

    Pour autant, il ne semble y avoir péril en la demeure. La méthode de piratage démontrée par les deux informaticiens est vraiment complexe et, surtout, exige un accès à l'ordinateur connecté au site, via le réseau localréseau local. Le pirate doit intercepter les communications entre l'ordinateurordinateur et le site et envoyer lui-même un fichier pour parvenir à décrypter l'échange. C'est le principe dit « man-in-the-middle » qui permet de déjouer les systèmes de cryptographie à clés publiquesclés publiques, en envoyant un texte et en analysant ensuite comment il a été codé.

    Conclusion : dans un réseau Wi-FiWi-Fi bien sécurisé ou en dehors de tout réseau local, on ne risque rien. Peut-être faut-il éviter d'effectuer des paiements par carte bancaire depuis un cybercafé...