Actu
Imperva dévoile son dernier rapport “Hacker Intelligence Initiative” : « Attaquer le SSL en utilisant RC4 »
mars 2015 par Imperva
Imperva, Inc., dédié à la protection des données des entreprises et des applications critiques sur site et dans le cloud, publie son dernier rapport “Hacker Intelligence Initiative” (HII), “Attaquer le SSL en utilisant RC4 : casser le SSL grâce à une faille de RC4 vieille de 13 ans”. Réalisé par l’Application Defense Center (ADC), cellule de recherche d’Imperva, le rapport révèle de nouvelles vulnérabilités d’attaque sur le célèbre protocole Transport Layer Security (TLS/SSL), actuellement utilisé pour protéger 30% des transactions SSL. Un chiffre qui représente des milliards de transactions quotidiennes contenant des données sensibles d’utilisateurs.
L’impact de cette menace
SSL est aujourd’hui le protocole de communication sécurisé le plus utilisé sur Internet. Il a pour vocation de sécuriser les différents niveaux de trafic des applications. Pierre angulaire de sécurisation de la navigation sur le web, le protocole HTTPS, est utilisé conjointement avec IMAP ou SMTP pour chiffrer et protéger le trafic emails mais également la communication avec les systèmes embarqués, les appareils mobiles ou encore les systèmes de paiement.
Compte tenu de sa large présence dans les connexions Internet, il serait logique que le protocole SSL soit entièrement sécurisé. Pourtant, plusieurs vulnérabilités importantes ont été identifiées au cours des dernières années. L’équipe de recherche d’Imperva a découvert qu’utiliser l’algorithme RC4, bien connu pour son piètre cryptage, exposait des milliards de données sensibles d’utilisateurs.
Le rapport s’intéresse aux spécificités des différents types d’attaques :
• La nouvelle attaque peut provoquer une fuite de données protégées par SSL de l’ordre de 1 pour 16 millions de cryptages RC4, se résumant à des milliers de messages sécurisés potentiellement compromis chaque jour.
• Une nouvelle attaque “Man-in-the-middle”, similaire à la vulnérabilité BEAST découverte pour la première fois en 2011, sur SSL avec RC4. Cette attaque permet au pirate d’extraire des informations partielles à partir de données protégées. L’enquête d’Imperva démontre toute l’importance de cette fuite, qui permet de mener des attaques par force brute plus rapidement sur des mots de passe, des numéros de carte de crédit, et des cookies.
• La nouvelle attaque est plus “stable” que celles précédemment publiées sur SSL et fonctionne selon plusieurs scénarii, par exemple, lorsqu’un pirate tente de voler les cookies d’une session de courte durée.
• Une variante passive de l’attaque (que l’on croit être la première attaque passive sur SSL) est à l’origine d’une fuite d’informations secrètes d’une victime aléatoire.
• Chaque fois qu’une personne utilise SSL avec RC4 pour protéger ses données, celle-ci a une petite, mais non négligeable, chance que ses données soient compromises.
« L’équipe de recherche, qui compose l’Application Defense Center, met en permanence à jour ses travaux existants, en explorant de nouvelles vulnérabilités et en publiant des rapports qui délivrent des analyses et des conseils sur les dernières menaces », explique Itsik Mantin, Directeur de la recherche chez Imperva. « Cette dernière étude sur les vulnérabilités du protocole SSL, une connexion qui affecte littéralement des milliards d’utilisateurs chaque jour, illustre la manière dont nous aidons et alertons les utilisateurs sur les menaces du web. En ce sens, nous délivrons des conseils sur la façon dont les professionnels de la sécurité peuvent aujourd’hui protéger leur organisation contre les nouvelles menaces. »
Comment se protéger ?
Imperva encourage les administrateurs à désactiver RC4 dans leur configuration SSL ; les internautes à désactiver RC4 dans la configuration de leur navigateur SSL ; et les fournisseurs de navigateur à supprimer RC4 de leur liste de chiffrement SSL.
