Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : des chercheurs proposent une nouvelle norme afin de rendre plus sûr l’écosystème SSL/TLS

mai 2012 par CERT-XMCO

- Date : 24 Mai 2012

- Criticité : Élevée

- Description : Moxie Marlinspike et Trevor Perrin, deux chercheurs réputés pour leurs travaux en matière de cryptographie viennent de publier auprès de l’IETF une nouvelle proposition de norme afin de faire évoluer l’écosystème SSL/TLS.

En effet, l’année 2011 a mis en avant, entre autres suite aux affaires Diginotar et Comodo, nombre de problèmes inhérents au modèle actuel de confiance sur Internet qui repose sur les très nombreuses autorités de certification. Plusieurs grands noms de l’Internet, tels que Google, ont d’ailleurs pris note des problèmes soulevés, et proposé des solutions d’urgence pour y remédier. Mais jusqu’ici, aucune des solutions proposées n’est déployable à grande échelle, ou en tout cas adoptée massivement.

Marlinspike, qui en est déjà à sa deuxième proposition dévolution en la matière (voir CXA-2011-2109), propose dans un document intitulé "Trust Assertions for Certificate Keys" rédigé avec l’aide de plusieurs autres spécialistes une nouvelle solution pour rééquilibrer le modèle de confiance qui ne repose actuellement que sur la bonne volonté des autorités de certification.

Pour cela, TACKS qui est une extension TLS permet au détenteur d’un certificat SSL de signer la clef publique présente au sein de celui-ci à l’aide d’une clef TACK dédiée. L’idée associée à cette première opération réalisée du côté du serveur Web est de rendre les navigateurs utilisés par les internautes capables de mémoriser la signature associée au certificat, aux serveurs web, et donc au site visité. Ainsi, après plusieurs visites, le navigateur ayant mémorisé l’empreinte du certificat déclaré comme étant valide par le serveur visité lui-même sera en mesure d’identifier les certificats frauduleux utilisés pour usurper l’identité du site et donc pour intercepter les communications avec ce dernier.

En mettant en place un tel mécanisme, Moxie Marlinspike et Trevor Perrin réduisent ainsi l’importance du rôle attribué aux autorités de certifications. En effet, jusqu’à présent, les certificats délivrés par ces dernières étaient utilisés pour authentifier l’identité du site visité à chaque connexion. Avec TACKS, ce rôle est désormais réduit à authentifier l’identité du site visité uniquement lors de la première connexion effectuée. Cette dernière tâche réduit donc logiquement le rôle des autorités de certification, puisque chaque serveur est en mesure d’identifier le certificat SSL/TLS lui correspondant.

Ce mécanisme est très proche de celui mis en place par Google au sein de son navigateur Chrome (voir CXA-2011-0522). Cependant, ce dernier n’était en aucun cas déployable à grande échelle. En effet, l’option de Google consistait à vérifier l’empreinte des certificats des sites web visités à une empreinte présente au sein même du navigateur. Différents problèmes liés à cette option choisie dans l’urgence pouvaient donc être identifiés :
 mis à part Google Chrome qui était ainsi protégé contre l’utilisation de certificat frauduleux, aucun autre logiciel reposant sur SSL/TLS ne l’était, et notamment pas les autres navigateurs web ;
 Google n’était en mesure d’intégrer que les empreintes uniquement de quelques certificats, et pas de l’ensemble de sites reposant sur HTTPS ;
 dès lors qu’un certificat changeait (fin de validité ou révocation), Google devait dès lors publier une mise à jour de son logiciel.

La voie prise par ces deux projets est cependant efficace. En effet, c’est grâce au mécanisme mis en place par Google au sein de son navigateur qu’avait pu être découvert le premier certificat frauduleux utilisé pour usurper l’identité du géant de la recherche et ainsi intercepter les communications des internautes iraniens au cours de l’année 2011 (voir CXA-2011-1447).

Les nombreux points communs entre les deux propositions faites à l’IETF, la simplicité de TACKS et les problèmes de passage à l’échelle des millions de sites Internet identifiés au sein de la proposition de Google devraient largement avantager cette nouvelle proposition. Si cette dernière venait à être normalisée, ce serait probablement une avancée majeure en matière de sécurité sur Internet, comme il n’y en pas eu depuis de nombreuses années.

Enfin, TACKS est rétrocompatible avec les anciennes versions de SSL/TLS, son support optionnel est laissé au choix de l’administrateur du serveur SSL/TLS, des développeurs de clients SSL/TLS (navigateur web, mais aussi client de messagerie et autres) ainsi que des utilisateurs qui peuvent activer ou non son support. Bref, les nombreux avantages de cette proposition pourraient grandement faire avancer la sécurité sur Internet.

- Référence :

http://tack.io/

http://arstechnica.com/security/2012/05/ssl-fix-flags-forged-certificates-before-theyre-accepted-by-browsers/

https://datatracker.ietf.org/doc/draft-ietf-websec-key-pinning/

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2109

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0522

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-1447

- Lien extranet XMCO :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0886


Voir les articles précédents

    

Voir les articles suivants