Les virus informatiques, tout comme les virus dans la vie, ont la peau dure et il n’est pas simple de s’en débarrasser. C’est le cas d’un bug cryptographique permettant de récupérer la clé qui chiffre les flux d’une session TLS/SSL et donc d’espionner les échanges.
S’il s’agissait d’une personne, cette faille cryptographique serait en âge légal de voter car elle est âgée actuellement de 19 ans. Datant de 1998, cette faille a été déterrée par les chercheurs en sécurité Hanno Böck, Juraj Somorovsky et Craig Young. En plus d’avoir 19 ans, il est surprenant de découvrir que ce bug est encore terriblement d’actualité. Cette faille, découverte pour la première fois par Daniel Bleichenbacher, était basée sur un bug dans un protocole d’échanges de clés SSL/TLS basé sur RSA, un algorithme de chiffrement asymétrique. Elle permettait à un attaquant de retrouver la clé de session d’un échange TLS/SSL et de le déchiffrer. Bien qu’elle ait été patchée au moment de sa découverte en 1998, les correctifs ont été mal implémentés. Afin de prouver l’efficacité de ce virus, les trois chercheurs ont pris un angle d’attaque légèrement différent de celui de Daniel Bleichenbacher, mais au final ils ont réussi à récupérer la clé de session du même protocole d’échange. Ils ont appelé leur attaque «Return Of Bleichenbacher’s Oracle Attack» (Robot).
«Nous avons utilisé des variations mineures de l’attaque originelle et nous avons réussi. Ce problème était évident», soulignent les chercheurs dans une note de blog. Il est donc fort possible que d’autres aient eu l’idée avant eux durant les 19 dernières années. Mais qui est en danger et à quel point ? Les personnes les plus vulnérables sont celles qui ne supportent que le chiffrement RSA et c’est assez mauvais. Une fois dépassé le cryptage RSA, le pirate informatique peut enregistrer tous les échanges et par la suite les décrypter. Le nombre de serveurs web impactés est loin d’être négligeable. En effectuant leurs tests, les chercheurs ont trouvé 27 sites vulnérables parmi les 100 plus gros sites de la Toile. Parmi ces sites figuraient notamment Facebook et Paypal qui, depuis, ont colmaté cette brèche. Un test est disponible en ligne pour savoir les sites que vous fréquentez sont également vulnérables. En revanche, les chercheurs n’ont pas encore publié de code d’attaque, histoire de laisser le temps aux administrateurs web de procéder à des mises à jour.
