L’outil THC SSL DOS a été publié ce 24 octobre par le groupe de hackers allemands « The Hacker’s Choice » (THC).
Il exploite une faille du protocole sécurisé SSL (Secure Sockets Layer, utilisé dans les pages commençant par « https:// » ) pour surcharger et rendre inutilisable un serveur en mettant à contribution une spécificité du protocole : la possibilité de renégocier le certificat en cours de session.
Le processus de connexion SSL « demande 15 fois plus de puissance de calcul pour le serveur que pour le client » expliquent les hackers. Combiné au fait que « une seule connexion TCP peut provoquer des milliers de renégociations, » l’attaque est d’une efficacité « spectaculaire. »
Très rapidement, toutes les ressources du serveur attaqué sont utilisées pour résoudre ces demandes, et il finit par ne plus pouvoir assurer le trafic légitime (et même, en général, par planter).
La particularité de THC SSL DOS est donc que, contrairement à un DDoS classique (attaque par Déni de Service Distribué), une seule machine avec une connexion Internet standard permet de faire tomber un site entier.
Si la renégociation des certificats SSL est désactivée sur le serveur, l’outil fonctionne aussi mais « demande quelques modifications et plus de ‘bots’ avant qu’un effet ne soit visible« .
Les chercheurs ont ouvert l’outil au public car il avait déjà fuité depuis deux mois, et était donc disponible aux pirates en tous genres. La disponibilité du proof-of-concept original devrait permettre de corriger ces failles.
« Nous espérons que la sécurité hasardeuse du SSL ne passe plus inaperçue« , explique un membre du THC, faisant référence aux multiples failles touchant le protocole depuis 2003.
« L’industrie devrait prendre en charge la résolution du problème afin que les citoyens soient en sécurité à nouveau. Le SSL est une méthode obsolète pour protéger des données privées. Elle est complexe, inutile et n’est pas en adéquation avec le 21ème siècle« , ajoute-t-il.
Il est temps, selon le club de hackers « white hat », de totalement changer de protocole de sécurité.
Logo : © koya79 – Fotolia.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…