La norme XML Encryption est utilisée par de nombreuses entreprises, dont IBM, Microsoft et Red Hat, pour sécuriser les communications entre les services Internet. L'attaque mise au point par les deux chercheurs leur a permis de décrypter des données normalement sécurisées en DES (Data Encryption Standard) ou en AES (Advanced Encryption Standard), des modalités de cryptage qui utilisent l'enchaînement des blocs ou Cipher Block Chaining (CBC). Ceux-ci ont présenté leurs résultats de manière plus détaillée au cours de la dernière conférence ACM sur la sécurité informatique et les communications (Conference on Computer and Communications Security - CCS 2011) qui a consacré une session à la Cryptographie Appliquée.
Selon Jörg Schwenk qui enseigne le génie électrique et la technologie de l'information à la RUB, tous les algorithmes de cryptage de données préconisés dans la norme XML Encryption sont concernés par cette faiblesse. L'attaque consiste à envoyer des textes chiffrés modifiés au serveur et à analyser les erreurs pour obtenir des indices sur le cryptage. La même technique avait été utilisée par les chercheurs en sécurité Rizzo Juliano et Thai Duong dans leur attaque visant le Framework ASP.NET en utilisant une faille de type Padding Oracles Everywhere (POE). Cette vulnérabilité (CVE-2010-3332) permettait « aux attaquants de déchiffrer les cookies et d'extirper les statistiques, les mots de passe et les données des utilisateurs (comme le numéro de sécurité sociale), en fait tout ce qui est chiffré avec l'API du framework. » Cette faille de chiffrement leur a valu de remporter le Pwnie Award 2011 pour le meilleur bug côté serveur.
Plus récemment, les chercheurs ont fait la démonstration d'une attaque distincte contre les implémentations SSL/TLS (Secure Sockets Layer Security Layer/Transfer) qui utilisent le mode CBC, un peu comme ici. « Tous ces algorithmes sont vulnérables aux attaques, car ils utilisent le mode CBC. Donc toutes les implémentations de la norme devraient être affectées», a déclaré Jörg Schwenk, se référant aux recommandations relatives au XML Encryption.
La sécurité du chiffrement XML compromise
0
Réaction
Selon Juraj Somorovsky et Tibor Jager, deux chercheurs de l'université allemande Ruhr-Universität Bochum (RUB), une faiblesse dans le chiffrement XML, utilisé pour sécuriser les communications entre services web, pourrait être exploitée pour décrypter des informations sensibles.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Commentaire