Une faille dans le protocole de sécurité Internet SSL
SSL, l’un des protocoles de chiffrement les plus couramment utilisés sur Internet, a été cassé par une équipe d’étudiants. Ils sont notamment parvenus à déchiffrer le mot de passe d’un utilisateur utilisant Outlook Express 6. Usurper son identité et lire son courrier électronique aurait ensuite été un jeu d’enfant. Peut-on continuer à faire confiance aux technologies de chiffrement Internet ?
Sécurisé, l’Internet ? Pas tant que ça. SSL (Secure Socket Layer), le protocole de sécurisation des échanges le plus utilisé sur le Net, a été cassé par une équipe de l’Ecole Polytechnique Fédérale de Lausanne (EPFL, Suisse). En moins d’une heure (mais les « attaquants » se trouvaient physiquement proche du serveur), le professeur Serge Vaudenay et un étudiant, Martin Vuagnoux, sont parvenus à trouver l’identifiant et le mot de passe d’un utilisateur utilisant Outlook Express 6. Une fois les paramètres de compte obtenus, ils pouvaient usurper l’identité de l’utilisateur afin de consulter son courrier électronique, passer des transactions financières ou autres.
En résumé, les chercheurs ont exploité un algorithme de chiffrement appelé cipher block chaining (CBC) et utilisé, parmi d’autres, dans le protocole SSL. Par un jeu d’aller-retour de messages d’erreurs du serveur, ils sont parvenus à décrypter le mot de passe recherché (on trouvera les détails de l’attaque sur le site de l’EPFL). Rappelons que SSL est utilisé pour chiffrer la communication entre un terminal client et un serveur. Le navigateur crypte les données à transmettre à partir du protocole SSL, lesquelles transitent alors de manière illisible sur le réseau pour arriver au serveur qui les décrypte. Dans un navigateur, le mode SSL est généralement symbolisé par un cadenas fermé, ou encore par l’adresse Web qui commence par « https://… » (S pour « Secured »).
Une nouvelle version du protocole
Faut-il pour autant cesser toute transaction en ligne et arrêter de consulter ses e-mails ? Absolument pas. Les chercheurs ont bien sûr transmis les résultats de leurs travaux aux développeurs du SSL bien avant de dévoiler publiquement, jeudi 20 février 2003, leur découverte. Une nouvelle version du protocole (OpenSSL 0.9.7a) a été élaborée afin de garantir la confidentialité des transactions chiffrées. Jusqu’à la prochaine fois.