Nogotofail : l’outil de Google pour vérifier les failles SSL/TLS

Lors de la dernière conférence Google I/O en juin dernier, Google a fait du « HTTPS partout » son mot d’ordre. Mais la firme de Mountain View a bien conscience qu’il n’est pas infaillible et met donc à disposition de la communauté open source un outil de test baptisé « nogotofail ».

Cette année notamment, le protocole HTTPS (Hypertext Transfer Protocol Secure) a fait l’objet d’attaques exploitant des vulnérabilités dans la couche de sécurisation SSL/TLS (Secure Sockets Layer/Transport Layer Security).

Le 14 octobre dernier, Google rendait ainsi public Poodle, une vulnérabilité logicielle trouvée au coeur du protocole SSL 3.0 (patché avec Chrome 38, il disparaitra de Chrome 39). Comment ne pas parler de Heartbleed qui a fait trembler le web en avril 2014 ? Présente dans le protocole OpenSSL, cette faille a fait peser une menace sans précédent sur les échanges internet.

En février 2014, il y a eu également la faille « Goto fail » découverte dans le code source de la librairie SecureTransport d’Apple affectant la prise en charge du protocole SSL/TLS sur iOS et Mac OS X. L’outil rendu public par Google tire d’ailleurs son nom de cette dernière faille.

Dans tous les cas, ces failles font peser la menace d’attaques dites de « l’homme du milieu » (« MITM » pour « Man in the middle attack » en anglais). Dans ce cas de figure, la vulnérabilité est exploitée pour intercepter les communications entre les deux parties.

Il est déjà possible d’effectuer des tests en ligne d’un site web utilisant le protocole HTTPS avec Qualys Lab Tool. Mais « Nogotofail » est présenté comme plus complet et permettant de tester toutes les failles découvertes à ce jour.

Les attaques résultent souvent de mauvaises configurations clients ou de l’absence de patchs pour les vulnérabilités pourtant connues dans les librairies utilisées par les développeurs. L’outil de Google va simuler une attaque de type MITM et peut être déployé en tant que routeur, VPN ou proxy.

Nogotofail est diffusé sous forme de projet open source sur Github, ce qui signifie qu’il est ouvert aux contributions extérieures. Il fonctionne avec Android, iOS, Linux, Windows, Chrome OS, OS X et « en fait n’importe quel appareil permettant de se connecter à internet », précise Google dans une contribution de blog.

En juillet dernier, Google annonçait le Projet Zero (« Project Zero »), dont l’objectif est de découvrir les failles zero day des logiciels. Google fait ainsi de la sécurité une top priorité. En témoigne donc l’utilisation du protocole HTTPS (Hypertext Transfer Protocol Secure) utilisé automatiquement par Google pour les services de Google Apps si le protocole SSL (Secure Sockets Layer) est activé.

L’outil « nogotofail » a pour but d’éradiquer les vulnérabilités aux failles connues et d’en faire un havre de sécurité sur le net. Google est aussi à pied d’œuvre sur le chiffrement bout en bout des courriels avec, récemment, l’annonce de l’extension End-to-End pour Chrome basée sur OpenPGP qui permet de chiffrer tous les courriels issus de webmails. Le code open source est d’ailleurs accessible sur code.google.com.

Si Google clame sa volonté altruiste d’éradiquer les failles dans le protocole SSL/TLS, il s’agit également d’instaurer (ou de restaurer) un climat de confiance sur Internet avec tout de même comme leitmotiv : ce qui bénéficie à Internet bénéficie à Google.

Il s’agit également de faire la nique à la NSA, qui aurait notamment exploité des failles telles que Heartbleed pour mener ses activités d’écoute à grande échelle.

Crédit photo : Maksim Kabakou – Shutterstock.com