Les développeurs de nombreuses librairies SSL vont publier un correctif sur une faille qui pourrait être exploitée pour récupérer, depuis des communications chiffrées, des informations comme les cookies d'authentification des navigateurs.

Ce correctif fait suite à la découverte d'une nouvelle façon d'attaquer les librairies SSL, TLS et DTLS, qui utilisent CBC (Cipher Block Chaining) comme mode de chiffrement. Ce piratage a été développé par les chercheurs Nadhem Alfardan J. et Kenneth G. Paterson du Collège Royal Holloway à Londres. Cette attaque a été baptisée Lucky Thirteen par les scientifiques, qui ont présenté leur méthode sur un site web. Ils ont travaillé avec plusieurs fournisseurs de bibliothèques SSL, ainsi qu'avec le groupe de travail de l'IETF (Internet Engineering Task Force) pour résoudre le problème.

Le protocole TLS (Transport Layer Security) et son prédécesseur, le protocole SSL (Secure Sockets Layer), sont des éléments essentiels du protocole HTTPS (Hypertext Transfer Protocol Secure), la principale méthode de sécurisation des communications sur le web. Le DTLS (Datagram Transport Layer Security) est un protocole basé sur TLS et utilisé pour chiffrer les connexions entre les applications qui dialoguent via UDP (User Datagram Protocol). Les chercheurs ont indiqué sur le site web que « OpenSSL, NSS, GnuTLS, yaSSL, PolarSSL, Opera et BouncyCastle se préparent à appliquer les patchs pour protéger TLS en mode CBC contre nos attaques ».

Une attaque avec des conditions particulières


Cette découverte signifie que les internautes pourront théoriquement être vulnérables aux pirates quand ils visitent des sites web HTTPS qui n'ont pas appliqué les patchs. Néanmoins plusieurs spécialistes de la sécurité estiment que cette faille est très difficile à exploiter et qu'il n'y a pas de raison de s'alarmer. Les chercheurs estiment que ces exploits concernent les versions 1.1 ou 1.2 de TLS ou 1.0 ou 1.2 de DTLS qui sont les plus récentes. Ils s'appliquent aussi à SSL 3.0 et TLS 1.0 qui intègrent des contre-mesures contre des attaques de type « paddling oracle » (par déni de service).

La bonne nouvelle est que l'exécution de ces attaques est très difficile, car elle nécessite des conditions particulières côté serveur et côté client. Par exemple, l'attaquant doit être très proche du serveur cible, sur le même réseau local. L'attaque de type « padding oracle »  analyse les différences temporelles qui surviennent pendant le processus de décryptage et récupère le texte brut à partir de communications cryptées, notamment les cookies d'authentification des navigateurs. Les concepteurs TLS ont tenté de bloquer ces attaques dans la version 1.2, en réduisant les variations de synchronisation à un niveau qu'il pensait relativement faible pour être exploitable.

[[page]]

Cependant, avec Lucky Thirteen, Alfardan et Paterson montrent que cette modification n'empêche pas les attaques. Matthew Green, professeur en chiffrement de l'Université John Hopkins de Baltimore dans le Maryland a expliqué dans un billet de blog, « cette méthode montre qu'il est effectivement possible d'accéder à cette minuscule différence de temps à une distance relativement proche, par exemple sur un LAN ». Il ajoute que « cette réussite est due en partie à l'évolution du matériel informatique, la plupart des récents ordinateurs sont maintenant livrés avec un compteur de cycle CPU facilement accessible. Par ailleurs, les techniques statistiques sont utilisées pour diminuer la latence et le bruit d'une connexion réseau ».

Une évolution vers la dernière version TLS


Pour autant, si la proximité est une chose, Lucky Thirteen exigerait aussi des millions de tentatives pour récupérer suffisamment de données pour effectuer une analyse statistique pertinente des écarts temporaires et surmonter les bruits du réseau. Pour atteindre cet objectif, les pirates devront trouver le moyen de forcer le navigateur de l'internaute à réaliser un très grand nombre de connexion HTTPS.  Cela peut être fait en plaçant un bout de code JavaScript malveillant sur un site visité par la victime.

Si les experts en sécurité se veulent rassurant, Matthew Green estime qu'il s'agit d'une « première étape, que l'attaque peut s'améliorer dans le temps et que d'autres attaques peuvent être découvertes ». Pour Ivan Ristic, directeur de l'ingénierie chez Qualys, la réponse est peut-être à trouver dans RC4, un chiffrement des flux qui date de 1987. « Le RC4 n'est pas très aimé, mais cela semble la solution la plus forte actuellement », souligne le responsable. Le passage au TLS 1.2 est aussi avancé par Ivan Ristic, mais selon les données de Pulse SSL de Qualys, « seuls 11% des 177 000 sites en HTTPS supportaient TLS 1.2 ».  Cette attaque peut selon lui accélérer le déploiement de la dernière version de TLS.