Actu
Philip Hoyer, ActivIdentity : Comment les Hackers brisent le cryptage SSL utilisé par des millions de sites ?
septembre 2011 par Philip Hoyer, directeur des solutions stratégiques chez ActivIdentity
« Si le protocole SSL, fondement de la sécurité sur Internet, est en passe de s’effondrer, il vaut mieux attacher nos ceintures, car nous allons être secoués ! Si l’attaque présumée visant le protocole SSL (en particulier le protocole TLS V1.0) présentée par Thai Duong et Juliano Rizzo à l’occasion de la conférence Ekoparty Security est avérée, il faut marquer cette date comme une journée noire dans l’histoire d’Internet. » annonce Philip Hoyer.
« Pour comprendre les conséquences possibles, imaginez que la plupart des hommes portent des kilts et la plupart des femmes des jupes : tout à coup, ils se rendent compte que tous les escaliers qu’ils doivent absolument emprunter sont en verre... Ou bien, pour donner un autre exemple, imaginez que les lunettes à vision X sont soudainement mises à la disposition de tous par Oakley. »
« Ce scénario a un profond impact en soi, sans même envisager les effets qu’il aurait sur la confidentialité et le respect de notre vie privée. Dans le cas présent, l’essentiel repose sur la lecture de vos mots de passe et du vol de votre session de navigation par n’importe qui. La technologie censée protéger votre mot de passe des regards indiscrets ne fonctionne plus et laisse donc toute latitude aux pirates équipés de lunettes à vision X qui utilisent l’outil BEAST de visualiser toutes vos actions de façon transparente. » ajoute Philip Hoyer.
« Pour dire les choses clairement, la confidentialité des transactions fondée sur le protocole SSL TLS V1.0 (le plus utilisé encore aujourd’hui) est morte ! »
Que pouvons-nous faire désormais pour protéger nos transactions ? « Tout d’abord, l’authentification doit reposer sur un mot de passe à usage unique : ce dernier changeant constamment, il ne peut pas être réutilisé en cas de piratage et il est impossible de deviner le nouveau mot de passe lors de la prochaine authentification. Diverses techniques peuvent être utilisées à cette fin en ayant recours à la fois aux jetons OTP et à l’ICP avec réponse d’identification. »
« Mais cela n’est pas suffisant, car le pirate peut alors simplement lire et détourner votre session. Par conséquent, la seule véritable défense contre les transactions frauduleuses consiste à signer tout ou partie des données de la transaction afin que le pirate ne puisse pas injecter de faux contenu. »
« Concrètement, il s’agit d’utiliser un jeton avec clavier d’identification personnelle (logiciel installé sur un téléphone ou jeton matériel dédié) pour saisir les détails de la transaction ou de signer la transaction à l’aide d’un certificat ICP. La signature cryptographique ainsi obtenue ne peut pas être contrefaite par le pirate et est intrinsèquement liée aux données de la transaction (par exemple, montant et numéro du compte destinataire d’un virement bancaire), lesquelles sont indépendantes de la sécurité du transfert et ne peuvent pas être falsifiées par le pirate. »
« C’est le seul moyen de préserver la sécurité jusqu’à la mise à niveau de l’infrastructure depuis le protocole TLS V1.0. » conclut Philip Hoyer.
