Passer au contenu

Une faille dans Explorer menace le commerce électronique

Le 5 août dernier une mauvaise implémentation de SSL dans Internet Explorer a été découverte. Traitée à la légère par Microsoft, la faille est jugée critique mais est restée sans correctif pour l’ensemble des plates-formes touchées. Pour les experts en sécurité d’Althes, ce sont des pans majeurs de la sécurité du commerce électronique qui ont été mis en cause.

Le 5 août dernier, Mike Benham, jeune développeur de San Francisco envoie à une liste de diffusion dédiée à la sécurité, une description d’une faille d’Internet Explorer (IE) liée à une mauvaise implémentation de SSL (Secure Sockets Layer). SSL est l’un des protocoles de sécurité les plus usités dans le monde du commerce électronique.La conséquence de cette faille est que presque n’importe qui peut se glisser dans une session sécurisée SSL, donc sur un serveur de commerce électronique. Les utilisateurs du navigateur de Microsoft ?” soit 90 % des internautes ?” ont ainsi pu être piraté à leur insu, et se voir dérober leurs codes d’accès ou numéro de carte bancaire. D’autant que Microsoft a mis un mois à fournir les premiers correctifs.Le jeune développeur démontre, dans son rapport et sur son site, un problème majeur de sécurité lié à la chaîne de validation de certificats par le navigateur de Microsoft, ce qui rend IE victime de l’attaque de l'” Intercepteur “, plus connu sous le nom ” The Man in the Middle “.

Explorer, une véritable passoire

Ainsi, IE (5, 5.5 et 6) accepte à tort une chaîne de certificats, même lorsque le certificat intermédiaire ne dispose pas d’une contrainte de base valide. Or, c’est la contrainte de base qui authentifie le certificat comme étant celui du détenteur de l’URL du site sécurisé. Le navigateur de Microsoft omet tout simplement de vérifier si ce certificat détient ou non une contrainte de base.Le pirate se glisse dans la session sécurisée entre le serveur de commerce électronique et le client, et recrée deux sessions indépendantes de telle sorte que sa présence passe inaperçue. Il peut se contenter de saisir les données qui sont échangées ou bien modifier, au cours d’une autre session, les données personnelles du client (faire un transfert de la banque du piraté vers son compte bancaire, par exemple).Comme l’explique Vincent Royer, directeur technique chez Althès :
Verisign délivre des certificats serveur SSL qui ne contiennent pas nécessairement de contraintes de base “. Et d’ajouter : “Les versions 5.0 et 5.5 de IE valident à tort une chaîne de certificats, y compris celles contenant un certificat intermédiaire dont la contrainte de base est notée comme fausse [Ndlr : ne correspondant pas à l’URL du serveur]. Un pirate peu donc utiliser n’importe quel certificat serveur SSL acheté auprès d’une autorité de certification commerciale reconnue par IE [Entrust,Thwate, etc.], pour fabriquer un faux certificat de serveur SSL.”

La sécurité des transactions mise à mal


Concrètement, vous pouvez, depuis votre bureau, récupérer un mot de passe et un numéro de carte bancaire d’un collègue qui se connecte à sa banque en ligne au travers d’une session SSL. Sur le site Thoughtcrime.com, la description de l’attaque est complète.” Notre équipe technique a reproduit cette attaque, qui contrairement aux premières assertions de Microsoft, est très simple à mettre en ?”uvre
 “, note Gilles Abouy, PDG d’Althès.Si la seule contrainte consiste pour le pirate à se brancher sur le commutateur par lequel transite la session SSL), Vincent Ro
yer note que
l’attaque peut être aussi mise en ?”uvre par du spoofing DNS,
même si cela est plus compliqué “. Le spoofing DNS consiste à rediriger les internautes à leur insu vers des sites pirates.Pour Vincent Royer ” la signature électronique S/MIME est aussi falsifiable, ainsi que la signature Authenticode pour codes mobiles ActiveX “.” Puisqu’aucun avertissement ne prévient l’utilisateur du danger, la confiance apportée par les infrastructures de clefs publiques [PKI], destinées à protéger le commerce électronique contre ce type d’attaque, s’effrite sérieusement
 “, affirme Vincent Royer.Aujourd’hui, 6 septembre, beaucoup de mises à jour dans de nombreuses langues sont désormais disponibles, y compris en français. Reste à les appliquer sur l’ensemble serveurs et postes clients.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Olivier Ménager