DDoS : un seul PC suffit pour faire tomber un site sécurisé
Une équipe de chercheurs allemands en sécurité a publié un outil de déni de service (DoS) permettant à une seule machine de rendre inopérant un site Internet sécurisé, là où il fallait auparavant un vaste réseau d’ordinateurs zombies.
L’outil THC SSL DOS a été publié ce 24 octobre par le groupe de hackers allemands « The Hacker’s Choice » (THC).
Il exploite une faille du protocole sécurisé SSL (Secure Sockets Layer, utilisé dans les pages commençant par « https:// » ) pour surcharger et rendre inutilisable un serveur en mettant à contribution une spécificité du protocole : la possibilité de renégocier le certificat en cours de session.
Le processus de connexion SSL « demande 15 fois plus de puissance de calcul pour le serveur que pour le client » expliquent les hackers. Combiné au fait que « une seule connexion TCP peut provoquer des milliers de renégociations, » l’attaque est d’une efficacité « spectaculaire. »
Très rapidement, toutes les ressources du serveur attaqué sont utilisées pour résoudre ces demandes, et il finit par ne plus pouvoir assurer le trafic légitime (et même, en général, par planter).
La particularité de THC SSL DOS est donc que, contrairement à un DDoS classique (attaque par Déni de Service Distribué), une seule machine avec une connexion Internet standard permet de faire tomber un site entier.
Si la renégociation des certificats SSL est désactivée sur le serveur, l’outil fonctionne aussi mais « demande quelques modifications et plus de ‘bots’ avant qu’un effet ne soit visible« .
Les chercheurs ont ouvert l’outil au public car il avait déjà fuité depuis deux mois, et était donc disponible aux pirates en tous genres. La disponibilité du proof-of-concept original devrait permettre de corriger ces failles.
« Nous espérons que la sécurité hasardeuse du SSL ne passe plus inaperçue« , explique un membre du THC, faisant référence aux multiples failles touchant le protocole depuis 2003.
« L’industrie devrait prendre en charge la résolution du problème afin que les citoyens soient en sécurité à nouveau. Le SSL est une méthode obsolète pour protéger des données privées. Elle est complexe, inutile et n’est pas en adéquation avec le 21ème siècle« , ajoute-t-il.
Il est temps, selon le club de hackers « white hat », de totalement changer de protocole de sécurité.
Logo : © koya79 – Fotolia.com