ALPACA : une faiblesse de TLS permet de s'insérer dans des connexions HTTPSCrédits : zmeel/iStock

Des chercheurs ont montré qu’il était possible de profiter d’une faiblesse de TLS quand il s’agit de protéger la connexion TCP.

En temps normal, visiter un site HTTPS provoque l’ouverture d’une connexion TLS après vérification que le certificat du site est valide. L’objectif est d’empêcher un tiers de s’insérer entre le client et le serveur, pour lire ou modifier les données en transit.

Les chercheurs ont prouvé que l’on pouvait déclencher une attaque de type MitM (homme du milieu) en réorientant le navigateur vers un serveur SMTP, IMAP, POP3, FTP ou un autre protocole de communication.

Il suffit pour cela que le nom de domaine du site corresponde à celui du serveur mail ou FTP. Si les conditions sont réunies, le certificat est considéré comme valide et les pirates se retrouvent en position de pouvoir envoyer par exemple un cookie déchiffré d’authentification ou de déclencher l’exécution d’un code arbitraire.

Selon les chercheurs – qui ont nommé cette attaque ALPACA (application layer protocols allowing cross-protocol attacks) – 14,4 millions de serveurs web se servent d’un nom de domaine compatible avec les identifiants cryptographiques d’un serveur mail ou FTP appartenant à la même structure. 

Sur cet ensemble, 114 000 sont considérés comme directement vulnérables à cette attaque car le serveur mail ou FTP utilise des versions de logiciels connues pour leurs failles. Les chercheurs ont même trois variantes de l’attaque (Upload, Download et Reflection). Dans tous les cas, le problème est le même : le trafic peut être réorienté car TLS ne protège ni l’adresse IP ni le port réseau.

Ils recommandent l’utilisation stricte de deux extensions de TLS : ALPN (application layer protocol negotiation) et SNI (server name indication). La première doit être utilisée en suivant toutes les recommandations d’implémentation, la seconde en la configurant pour fermer la connexion quand l’hôte cherché n’est pas trouvé.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !