Trou SSL, pour experts uniquement

Une session SSL dont l’en-tête serait truffée de caractères ascii offrirait diverses possibilité d’attaque « man in the middle », et notamment à l’encontre de l’authentification des certificats https clients sur des serveurs web IIS et Apache. Une affirmation argumentée au fil d’un document de 8 pages publié par Marsh Ray et Steve Dispensa, de Phone Factor. Dire que c’est là une « fin du monde » de l’authentification ou un « gouffre SSL » serait un peu prématuré. La faille de conception semble complexe à exploiter et ne peut être appliquée sans le recours à d’autres vulnérabilités pouvant faciliter l’injection (tel un routeur compromis). Ajoutons que cette faille ne semble pas compromettre le chiffrement de la cession. Mais une atteinte à SSL signifie un danger potentiel pour toutes les communications utilisant ce mécanisme de protection. A commencer par les transactions sur les sites de banques en ligne, les accès OWA, les échanges de fichiers sécurisés pour ne citer que les plus évidents. Il est donc nécessaire que tous les éditeurs utilisant SSL corrigent leurs intégrations du protocole, opération complexe et généralement longue. Il y a déjà eu de nombreux « bugs de conception » qui ont frappé la sphère Internet –Bind notamment- qui ont parfois mis plus d’une année pour se faire corriger par l’ensemble des éditeurs-intégrateurs. Une période généralement assez longue pour que, d’un papier d’universitaire évoquant une faille ésotérique et complexe, l’on passe à « une faille simple à exploiter à l’aide d’un « kit malware » vendu dans toute bonne boutique des pays de l’Est ».