L’outil THC SSL DOS a été publié ce 24 octobre par le groupe de hackers allemands « The Hacker’s Choice » (THC).
Il exploite une faille du protocole sécurisé SSL (Secure Sockets Layer, utilisé dans les pages commençant par « https:// » ) pour surcharger et rendre inutilisable un serveur en mettant à contribution une spécificité du protocole : la possibilité de renégocier le certificat en cours de session.
Le processus de connexion SSL « demande 15 fois plus de puissance de calcul pour le serveur que pour le client » expliquent les hackers. Combiné au fait que « une seule connexion TCP peut provoquer des milliers de renégociations, » l’attaque est d’une efficacité « spectaculaire. »
Très rapidement, toutes les ressources du serveur attaqué sont utilisées pour résoudre ces demandes, et il finit par ne plus pouvoir assurer le trafic légitime (et même, en général, par planter).
La particularité de THC SSL DOS est donc que, contrairement à un DDoS classique (attaque par Déni de Service Distribué), une seule machine avec une connexion Internet standard permet de faire tomber un site entier.
Si la renégociation des certificats SSL est désactivée sur le serveur, l’outil fonctionne aussi mais « demande quelques modifications et plus de ‘bots’ avant qu’un effet ne soit visible« .
Les chercheurs ont ouvert l’outil au public car il avait déjà fuité depuis deux mois, et était donc disponible aux pirates en tous genres. La disponibilité du proof-of-concept original devrait permettre de corriger ces failles.
« Nous espérons que la sécurité hasardeuse du SSL ne passe plus inaperçue« , explique un membre du THC, faisant référence aux multiples failles touchant le protocole depuis 2003.
« L’industrie devrait prendre en charge la résolution du problème afin que les citoyens soient en sécurité à nouveau. Le SSL est une méthode obsolète pour protéger des données privées. Elle est complexe, inutile et n’est pas en adéquation avec le 21ème siècle« , ajoute-t-il.
Il est temps, selon le club de hackers « white hat », de totalement changer de protocole de sécurité.
Logo : © koya79 – Fotolia.com
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…