L’outil THC SSL DOS a été publié ce 24 octobre par le groupe de hackers allemands « The Hacker’s Choice » (THC).
Il exploite une faille du protocole sécurisé SSL (Secure Sockets Layer, utilisé dans les pages commençant par « https:// » ) pour surcharger et rendre inutilisable un serveur en mettant à contribution une spécificité du protocole : la possibilité de renégocier le certificat en cours de session.
Le processus de connexion SSL « demande 15 fois plus de puissance de calcul pour le serveur que pour le client » expliquent les hackers. Combiné au fait que « une seule connexion TCP peut provoquer des milliers de renégociations, » l’attaque est d’une efficacité « spectaculaire. »
Très rapidement, toutes les ressources du serveur attaqué sont utilisées pour résoudre ces demandes, et il finit par ne plus pouvoir assurer le trafic légitime (et même, en général, par planter).
La particularité de THC SSL DOS est donc que, contrairement à un DDoS classique (attaque par Déni de Service Distribué), une seule machine avec une connexion Internet standard permet de faire tomber un site entier.
Si la renégociation des certificats SSL est désactivée sur le serveur, l’outil fonctionne aussi mais « demande quelques modifications et plus de ‘bots’ avant qu’un effet ne soit visible« .
Les chercheurs ont ouvert l’outil au public car il avait déjà fuité depuis deux mois, et était donc disponible aux pirates en tous genres. La disponibilité du proof-of-concept original devrait permettre de corriger ces failles.
« Nous espérons que la sécurité hasardeuse du SSL ne passe plus inaperçue« , explique un membre du THC, faisant référence aux multiples failles touchant le protocole depuis 2003.
« L’industrie devrait prendre en charge la résolution du problème afin que les citoyens soient en sécurité à nouveau. Le SSL est une méthode obsolète pour protéger des données privées. Elle est complexe, inutile et n’est pas en adéquation avec le 21ème siècle« , ajoute-t-il.
Il est temps, selon le club de hackers « white hat », de totalement changer de protocole de sécurité.
Logo : © koya79 – Fotolia.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…