vlan.org

Webzine des anciens étudiants de l’IUT Serecom St-Raphaël

Accueil > Actu > Une faille dans le protocole SSL ?

Une faille dans le protocole SSL ?

dimanche 23 février 2003

SSL, l’un des protocoles de chiffrement les plus couramment utilisés sur Internet, a été cassé par une équipe d’étudiants. Ils sont notamment parvenus à déchiffrer le mot de passe d’un utilisateur utilisant Outlook Express 6. Usurper son identité et lire son courrier électronique aurait ensuite été un jeu d’enfant. Peut-on continuer à faire confiance aux technologies de chiffrement Internet ?

Serge Vaudenay, enseignant au laboratoire de sécurité et de cryptographie (LASEC)Sécurisé, l’Internet ? Pas tant que ça. SSL (Secure Socket Layer) [1], le protocole de sécurisation des échanges le plus utilisé sur le Net, a été cassé par une équipe de l’Ecole Polytechnique Fédérale de Lausanne (EPFL, Suisse). En moins d’une heure (mais les "attaquants" se trouvaient physiquement proche du serveur), le professeur Serge Vaudenay et un étudiant, Martin Vuagnoux, sont parvenus à trouver l’identifiant et le mot de passe d’un utilisateur utilisant Outlook Express 6. Une fois les paramètres de compte obtenus, ils pouvaient usurper l’identité de l’utilisateur afin de consulter son courrier électronique, passer des transactions financières ou autres.

En résumé, les chercheurs ont exploité un algorithme de chiffrement appelé cipher block chaining (CBC) et utilisé, parmi d’autres, dans le protocole SSL. Par un jeu d’aller-retour de messages d’erreurs du serveur, ils sont parvenus à décrypter le mot de passe recherché (on trouvera les détails de l’attaque sur le site de l’EPFL). Rappelons que SSL est utilisé pour chiffrer la communication entre un terminal client et un serveur. Le navigateur crypte les données à transmettre à partir du protocole SSL, lesquelles transitent alors de manière illisible sur le réseau pour arriver au serveur qui les décrypte. Dans un navigateur, le mode SSL est généralement symbolisé par un cadenas fermé, ou encore par l’adresse Web qui commence par "https://..." pour "Secured HTTP".

Une nouvelle version du protocole

Faut-il pour autant cesser toute transaction en ligne et arrêter de consulter ses e-mails ? Absolument pas. Les chercheurs ont bien sûr transmis les résultats de leurs travaux aux développeurs du SSL bien avant de dévoiler publiquement, jeudi 20 février 2003, leur découverte. Une nouvelle version du protocole (OpenSSL 0.9.7a) a été élaborée afin de garantir la confidentialité des transactions chiffrées. Jusqu’à la prochaine fois.

Christophe Lagane


Communiqué de Presse de l’Ecole Polytechnique Fédérale de Lausanne


Voir en ligne : Article de VNUNet - 21/02/2003


[1SSL (Secure Socket Layer) : Protocole de chiffrement qui, en France, atteint 128 bits et 56 bits vers l’international. SSL permet de garantir la confidentialité des données comme le requiert entre autres les paiements sécurisés en ligne.

Un message, un commentaire ?

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.