Un bogue de 20 ans rompt le cryptage Internet. Comment savoir si votre navigateur est concerné
Un nouveau bogue de cryptage est apparu récemment, ce qui pourrait constituer une menace pour la vie privée en ligne. Doublé “LogJam,” le bogue survient dans la TSL (la couche de sécurité du transport), un protocole de cryptage utilisé pour authentifier les serveurs et dissimuler le contenu de l'activité Web sécurisée (comme votre identifiant bancaire).
Ce bogue permet à un attaquant intriguant de forcer votre navigateur, ainsi que le serveur auquel il est connecté, à utiliser une forme de cryptage faible, vulnérable aux attaques par force brutale. Ceci est lié à la vulnérabilité 'FREAK' SuperFREAK: la nouvelle vulnérabilité des bogues de sécurité affecte la sécurité du bureau et du navigateur mobile SuperFREAK: la nouvelle vulnérabilité des bogues de sécurité affecte la sécurité du bureau et des navigateurs mobiles La vulnérabilité FREAK affecte votre navigateur, elle n'est pas limitée à: un navigateur, ni aucun système d'exploitation unique. Découvrez si vous êtes affecté et protégez-vous. Lire plus découvert et corrigé plus tôt cette année. Ces bugs surviennent après des problèmes de sécurité plus catastrophiques tels que Heartbleed Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite et ShellShock Worse Than Heartbleed? Découvrez ShellShock: une nouvelle menace pour la sécurité d’OS X et de Linux pire que le chaos? Découvrez ShellShock: une nouvelle menace pour la sécurité sous OS X et Linux Continuer .
Bien que des correctifs soient en préparation pour la plupart des principaux navigateurs, le correctif peut laisser des milliers de serveurs Web inaccessibles jusqu'à ce qu'ils soient mis à niveau avec du code corrigé..
Un héritage militaire
Contrairement à la plupart des vulnérabilités en matière de sécurité, causées simplement par la supervision du programmeur, 1 000 applications iOS ont un bogue SSL invalidant: comment vérifier si vous êtes concernés 1 000 applications iOS ont un bogue SSL invalidant: comment vérifier si vous êtes affecté Le bogue AFNetworking confère à l'iPhone et problèmes d'utilisateurs iPad, avec des milliers d'applications comportant une vulnérabilité entraînant une authentification correcte des certificats SSL, ce qui faciliterait le vol d'identité par le biais d'attaques de type "man-in-the-middle". En savoir plus, cette vulnérabilité est au moins partiellement intentionnelle. Au début des années 90, lorsque la révolution des ordinateurs personnels a commencé, le gouvernement fédéral craignait que l'exportation d'une technologie de cryptage puissante vers des puissances étrangères ne compromette sa capacité à espionner d'autres pays. À l’époque, la technologie de cryptage puissant était considérée, légalement, comme une forme d’armement. Cela a permis au gouvernement fédéral de limiter sa distribution.
En conséquence, lorsque SSL (Secure Socket Layer, prédécesseur de TSL) a été développé, il a été développé en deux versions: la version américaine, qui prend en charge les clés de pleine longueur 1024 bits ou plus, et la version internationale, qui a dépassé 512 -bits clés, qui sont exponentiellement plus faibles. Lorsque les deux versions différentes de SSL parlent, elles retombent sur la clé 512 bits la plus facilement cassée. Les règles d'exportation ont été modifiées en raison d'un resserrement des droits civils, mais pour des raisons de compatibilité ascendante, les versions modernes de TSL et SSL prennent toujours en charge les clés 512 bits..
Malheureusement, il existe un bogue dans la partie du protocole TSL qui détermine la longueur de clé à utiliser. Ce bug, LogJam, autorise une attaque au milieu. Qu'est-ce qu'une attaque de l'homme au milieu? Le jargon de la sécurité a expliqué Qu'est-ce qu'une attaque de type homme au milieu? Le jargon de la sécurité expliqué Si vous avez entendu parler d'attaques de type "homme au milieu" mais que vous n'êtes pas certain de ce que cela signifie, cet article est pour vous. En savoir plus attaquant pour inciter les deux clients à penser qu’ils parlent à un système existant qui souhaite utiliser une clé plus courte. Cela dégrade la force de la connexion et facilite le décryptage de la communication. Ce bogue est caché dans le protocole depuis une vingtaine d'années et n'a été découvert que récemment..
Qui est concerné?
Le bogue affecte actuellement environ 8% des 1 000 premiers sites Web compatibles HTTPS et un grand nombre de serveurs de messagerie, qui ont tendance à exécuter du code obsolète. Tous les principaux navigateurs Web sont affectés à l’exception d’Internet Explorer. Les sites Web concernés afficheraient le verrou vert https en haut de la page, mais ne seraient pas protégés contre certains attaquants.
Les fabricants de navigateurs ont convenu que la solution la plus robuste à ce problème consiste à supprimer tout le support existant pour les clés RSA 512 bits. Malheureusement, cela rendra certaines parties d'Internet, y compris de nombreux serveurs de messagerie, indisponibles jusqu'à ce que leur microprogramme soit mis à jour. Pour vérifier si votre navigateur a été corrigé, vous pouvez visiter un site créé par les chercheurs en sécurité qui ont découvert l'attaque, à l'adresse faibledh.org..
Attaque Pratique
Alors à quel point vulnérable est une clé de 512 bits ces jours-ci, de toute façon? Pour le savoir, nous devons d’abord examiner exactement ce qui est attaqué. L'échange de clé Diffie-Hellman est un algorithme permettant à deux parties de se mettre d'accord sur une clé de chiffrement symétrique partagée, sans la partager avec un hypothétique snooper. L'algorithme Diffie-Hellman repose sur un nombre premier partagé, intégré au protocole, qui dicte sa sécurité. Les chercheurs ont été en mesure de déchiffrer le plus courant de ces nombres premiers en une semaine, leur permettant ainsi de déchiffrer environ 8% du trafic Internet crypté avec le nombre le plus faible en 512 bits..
Cela met cette attaque à portée de main pour un “attaquant de café” - Un petit voleur fouillant des sessions via le WiFi public 3 Dangers de la connexion au Wi-Fi public 3 Dangers de la connexion au Wi-Fi public Vous avez entendu dire que vous ne devriez pas ouvrir PayPal, votre compte bancaire et peut-être même votre email en utilisant le WiFi public. Mais quels sont les risques réels? Lire la suite et forcer des clés après coup pour récupérer des informations financières. L'attaque serait triviale pour des sociétés et des organisations telles que la NSA, qui pourraient déployer des efforts considérables pour constituer un attaquant d'espionnage au milieu. Quoi qu’il en soit, cela représente un risque de sécurité crédible, à la fois pour les citoyens ordinaires et pour tous ceux qui pourraient être vulnérables à l’escrime par des forces plus puissantes. Certainement, quelqu'un comme Edward Snowden devrait faire très attention à utiliser le WiFi non sécurisé dans un avenir prévisible.
De manière plus inquiétante, les chercheurs suggèrent également que les longueurs principales standard considérées comme sécurisées, comme Diffie-Hellman 1024 bits, pourraient être vulnérables aux attaques par force brute de puissantes organisations gouvernementales. Ils suggèrent de migrer vers des tailles de clé substantiellement plus grandes pour éviter ce problème.
Nos données sont-elles sécurisées??
Le bogue LogJam est un rappel malvenu des dangers de la réglementation de la cryptographie à des fins de sécurité nationale. Un effort visant à affaiblir les ennemis des États-Unis a fini par blesser tout le monde et à nous rendre moins en sécurité. Cela survient à un moment où le FBI s'efforce de forcer les entreprises de haute technologie à inclure des portes dérobées dans leurs logiciels de cryptage. Il y a de fortes chances pour que s'ils gagnent, les conséquences pour les décennies à venir soient tout aussi graves..
Qu'est-ce que tu penses? Devrait-il y avoir des restrictions sur la cryptographie forte? Votre navigateur est-il sécurisé contre LogJam? Faites le nous savoir dans les commentaires!
Crédits image: Cyberwarfare de la US Navy, clavier Hacker, HTTP, NSA Sign by Wikimedia
En savoir plus sur: cryptage, sécurité en ligne, serveur Web.