Le moyen le plus couramment utilisé pour sécuriser des transactions et des échanges de données personnelles (coordonnées, numéro de carte bancaire) sur le web est la sécurisation par le protocole SSL. L’internaute sait qu’il est sur un site sécurisé par un certificat SSL quand sa connexion passe en « https », et qu’un cadenas s’affiche dans la fenêtre de son navigateur.
A la session de conférence Black Hat 2009 [1], une présentation (Moxie Marlinspike, « More Tricks For Defeating SSL ») a exposé une faille de sécurité dans l’implémentation du protocole SSL. Voici un point sur la question :
Les faits Une première faille (rappelée par Dan Kaminsky) met en cause l’utilisation encore récente chez certaines grandes AC de l’algorithme de signature MD2, jugé pourtant trop faible depuis longtemps.
La seconde met en cause le fonctionnement de l’implémentation du protocole SSL dans certains logiciels. Des autorités de certification autorisent la délivrance de certificats électroniques comprenant le caractère « null » (\0). Or, ce caractère indique la fin d’une chaîne de caractères, et peut être lu par des navigateurs comme marquant la fin d’un nom de domaine. Concrètement, les navigateurs peuvent alors interpréter un certificat émis pour www.mabanque.com\0.sitepirate.com comme un certificat émis pour www.mabanque.com. Le pirate peut alors se glisser dans la « conversation » entre le vrai www.mabanque.com et l’internaute (attaque de type Man In the Middle [2]), puis présenter une connexion sécurisée par un certificat SSL sur lequel il n’y aurait aucune alerte de sécurité. L’internaute croit ainsi se trouver sur le bon site, et saisit alors en toute confiance, par exemple, ses mots de passe, données personnelles, numéro de carte bancaire…
Les certificats émis par CertiNomis sont-ils concernés ? Les certificats racine et certificats électroniques de CertiNomis ou émis par CertiNomis utilisent l’algorithme SHA1 ( pour « SHA 160 »), plus sûr que le MD2.
Pour la seconde faille, les procédures en place chez Certinomis empêchent la délivrance de certificats SSL contenant le caractère « null » dans un nom de domaine.
Comment contrer ces failles de sécurité ? En tant qu’internaute, il est important de rester vigilant.
Pour le caractère « null », le mieux est encore de faire systématiquement afficher le certificat du site sur lequel vous vous trouvez (double clic sur le cadenas ou la clé qui symbolisent le passage au SSL) et de vérifier que le nom de domaine correspond bien à celui du site où vous vous trouvez. Si jamais celui-ci ne correspond pas, n’accordez pas votre confiance au site !
Notes [1] Depuis 1997, Black Hat organise des séries de conférences sur la sécurité informatique. Ses intervenants et auditeurs comprennent des organismes gouvernementaux, des chercheurs en sécurité, et des hackers (« underground researchers » en anglais dans le texte).
[2] « Man In The Middle »: l’homme du milieu. Ces attaques consistent à se placer en intermédiaire entre un ordinateur et le serveur sur lequel il se connecte. Elles visent à espionner les échanges, ou se faire passer pour le serveur sur lequel l’internaute voulait se connecter.
