Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 
Les événements

30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

    











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vulnérabilités

Vigil@nce : SSL, création de fausse autorité de certification

janvier 2009 par Vigil@nce

Un attaquant, disposant de ressources importantes, peut créer une
fausse autorité de certification intermédiaire utilisant un
hachage MD5.

 Gravité : 1/4
 Conséquences : transit de données
 Provenance : serveur internet
 Moyen d’attaque : aucun démonstrateur, aucune attaque
 Compétence de l’attaquant : expert (4/4)
 Confiance : confirmé par l’éditeur (5/5)
 Diffusion de la configuration vulnérable : faible (1/3)
 Date création : 16/01/2009

PRODUITS CONCERNÉS

 Cisco IOS
 Cisco PIX/ASA Software
 Lotus Notes
 Maxthon
 Microsoft Internet Explorer
 Microsoft Windows - plateforme
 Mozilla Firefox
 Mozilla SeaMonkey
 Mozilla Suite
 Netscape Browser
 Netscape Communicator
 Netscape Navigator
 Opera
 Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Fin 2008 (VIGILANCE-ACTU-1377), en utilisant un cluster de 200
consoles de jeux, des chercheurs ont utilisé une collision sur
MD5, afin de créer une fausse autorité de certification, reconnue
par tous les navigateurs web.

Voici le principe de fonctionnement de cette attaque :
 L’attaquant choisit une Autorité de Certification (AC)
utilisant des signatures MD5 (RapidSSL, FreeSSL, TC TrustCenter
AG, RSA Data Security, Thawte, verisign.co.jp).
 L’attaquant demande un certificat pour site web à cette AC. Ce
certificat d’origine est donc signé par MD5.
 L’attaquant modifie ce certificat pour le transformer en
Autorité de Certification Intermédiaire (ACI), puis utilise une
collision MD5 afin que ce faux certificat ait la même signature
MD5 que le certificat d’origine.
 L’attaquant utilise l’ACI pour générer un certificat de Site
Web (SW).
 L’attaquant met en place un site web illicite, proposant les
certificats du SW et de l’ACI.
 La victime se connecte sur ce site web. Son navigateur web
contient le certificat racine de l’AC, qui authentifie l’ACI et
ensuite le SW.

Aucun message d’erreur ne s’affiche dans le navigateur de la
victime, qui peut alors faire confiance au site de l’attaquant.

CARACTÉRISTIQUES

 Références : 17341, BID-33065, CSCsw88068, CSCsw90626,
CVE-2004-2761, VIGILANCE-VUL-8401, VU#836068
 Url : http://vigilance.fr/vulnerabilite/SSL-creation-de-fausse-autorite-de-certification-8401


Voir les articles précédents

    

Voir les articles suivants

Les événements

23 avril Paris 9h à 13h : Conférence Appian, Cap Gemini sur le thème Financial Services et Assurances

    

Voir tous les évènements











Ecole de cybersecurite a Lyon et Paris
Ecole de cybersecurite a Lyon et Paris


Vulnérabilités

All our news in english

Alle unsere News auf deutsch

 
Actu Dossiers Cyber Securité RGPD Vulnérabilités Malwares Agenda CARTOGRAPHIE DES DC NEUTRES Carrière GS Days Guide THEMA Agences Presse CONTACTS Contact A propos Mentions légales identifier ADMIN

Global Security Mag Copyright 2011