Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

XMCO : Plusieurs certificats exploitant la vulnérabilité des certificats SSL sont publiés sur des listes de diffusion

octobre 2009 par XMCO PARTNERS

* Forged PayPal certificate fools IE, Chrome and Safari

 Date : 07 Octobre 2009

 Plateforme : Toutes

 Description :

À la suite des travaux entrepris par les chercheurs Dan Kaminsky et Moxie Marlinspike sur une vulnérabilité découverte lors de la génération des certificats SSL, un autre chercheur vient de publier le certificat exploitant ce problème ainsi que la clef privée associée.

Petit rappel, en août dernier, lors de la Blackhat à Las Vegas, ces deux chercheurs ont prouvé qu’il était possible de générer un certificat malicieux, valide aux yeux des navigateurs pour n’importe quel domaine. Pour cela, le certificat utilise un paramètre CN (Common Name) contenant un caractère NULL et "*" (*\x00thoughtcrime.noisebridge.net).
L’utilisation de ces deux caractères signifie, aux yeux des navigateurs, que le certificat est valide pour tous les domaines (* est appelé "wildcard").

Deux problèmes ont été mis en évidence. D’un côté, certains navigateurs acceptent le caractère "*". La vulnérabilité peut donc s’avérer importante si une autorité de certification signait un certificat exploitant la vulnérabilité. Le certificat malicieux apparaîtrait valide aux yeux des navigateurs acceptant les Wildcards.
À l’heure actuelle, seuls Internet Explorer et Google Chrome n’acceptent pas les certificats contenant le caractère "*" (wildcard).

D’un autre côté, la vulnérabilité qui consiste à insérer un caractère NULL n’a pas encore été corrigée sur tous les navigateurs. Seuls Firefox et Safari semblent avoir résolu le problème.
Ainsi, la vulnérabilité est toujours exploitable si un certificat contenant le champ CN : (www.banque-en-ligne.com\x00thoughtcrime.noisebridge.net) était signé par une autorité de certification.

Il y a quelques jours, deux certificats exploitant ce bug ont été publiés sur des listes de diffusion. Ces derniers étaient signés par l’autorité ipsCA CLASEA1 (autorité intermédiaire qui n’est pas ajoutée par défaut au sein des navigateurs). Ce certificat a été révoqué depuis la publication de ces derniers.

Le premier a été publié par Jacob Applebaum sur une liste de diffusion (utilisation des caractères * et NULL).

Le second certificat publié a fait plus de bruit puisque ce dernier visait directement le site Paypal. Ce certificat valide uniquement pour le site Paypal.com utilise le CN "www.paypal.com\0ssl.secureconnection.cc".

Bien que ces deux certificats étaient signés par une autorité de certification intermédiaire qui ne figure pas dans la liste des autorités acceptées par les navigateurs, Paypal a décidé de suspendre le compte Paypal du chercheur Marlinspike (compte utilisé pour récolter des fonds pour soutenir ses logiciels SSLSnif SSLstrip).

A l’heure actuelle, deux problèmes persistent. Certains navigateurs comme Internet Explorer 7/8, Google Chrome et Safari détectent lorsque le caractère "*" est utilisé, cependant ces navigateurs sont toujours vulnérables si un domaine spécifique est ciblé avec l’utilisation du caractère NULL.

De son côté Firefox et Safari, acceptent toujours les Wildcards (caractère *) mais ont corrigé la vulnérabilité du caractère NULL.

 Référence :

http://www.theregister.co.uk/2009/10/06/paypal_banishes_ssl_hacker/

http://www.h-online.com/security/Forged-PayPal-certificate-fools-IE-Chrome-and-Safari--/news/114403

http://www.theregister.co.uk/2009/10/05/fraudulent_paypay_certificate_published/

 Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=1254907939


Voir les articles précédents

    

Voir les articles suivants