Passer au contenu

Facebook et Paypal étaient vulnérables à une faille datant de… 1998

Un bug cryptographique permet de récupérer la clé qui chiffre les flux d’une session TLS/SSL et donc d’espionner les échanges. Il s’agit là d’une légère variante d’une attaque trouvée il y a 19 ans.

En sécurité comme en cuisine, c’est dans les vieux pots qu’on fait parfois les meilleures soupes. Les chercheurs en sécurité Hanno Böck, Juraj Somorovsky et Craig Young viennent de déterrer une faille cryptographique datant de 1998 qui – surprise – est encore terriblement d’actualité. Découverte par le cryptographe Daniel Bleichenbacher, cette faille était basée sur un bug dans un protocole d’échanges de clés SSL/TLS basé sur RSA, un algorithme de chiffrement asymétrique. Elle permettait à un attaquant de retrouver la clé de session d’un échange TLS/SSL et de le déchiffrer.

A l’époque, cette faille avait été patchée mais les correctifs ont été mal implémentés. Les trois chercheurs ont pris un angle d’attaque légèrement différent de celui de Daniel Bleichenbacher, mais au final ils ont réussi à récupérer la clé de session du même protocole d’échange. Ils ont appelé leur attaque « Return Of Bleichenbacher’s Oracle Attack » (ROBOT). « Nous avons utilisé des variations mineures de l’attaque originelle et nous avons réussi. Ce problème était évident », soulignent les chercheurs dans une note de blog. Il est donc fort possible que d’autres aient eu l’idée avant eux durant les 19 dernières années.

Faites le test en ligne

Le nombre de serveurs web impactés est loin d’être négligeable. En effectuant leurs tests, les chercheurs ont trouvé 27 sites vulnérables parmi les 100 plus gros sites de la Toile. Parmi ces sites figuraient notamment Facebook et Paypal qui, depuis, ont colmaté cette brèche. Un test est disponible en ligne pour savoir les sites que vous fréquentez sont également vulnérables. En revanche, les chercheurs n’ont pas encore publié de code d’attaque, histoire de laisser le temps aux administrateurs web de procéder à des mises à jour.  

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN