Brian Jackson - Fotolia
Drown, la nouvelle menace qui pèse sur les services chiffrés
Des chercheurs viennent de mettre en évidence la menace que représente le support de SSLv2 pour la confidentialité des connexions TLS.
Drown, c’est le nom donné à cette nouvelle vulnérabilité qui menace un grand nombre de services chiffrés sur Internet. Sur une page dédiée au sujet, les chercheurs à l’origine de sa découverte, résument simplement : « Drown permet à un attaquant de déchiffrer les connexions TLS modernes entre des clients et serveurs à jour, en adressant des requêtes à un serveur SSLv2 utilisant la même clé privée ».
Dès lors, un serveur peut s’avérer vulnérable « parce qu’il autorise les connexions SSLv2, ce qui est étonnamment courant, en raison d’une mauvaise configuration ou de réglages par défaut inappropriés » ou bien parce « qu’il utilise une clé privée utilisée sur un autre serveur qui accepte les connexions SSLv2, y compris pour un autre protocole ».
Selon les chercheurs, 17 % des serveurs HTTPS acceptent encore SSLv2. La réutilisation des clients menace 16 % de serveurs HTTPS supplémentaires. Ce sont ainsi 33 % des serveurs HTTPS qui s’avèrent vulnérables.
Les animateurs du projet OpenSSL ont, en réponse, publié un guide pour protéger les serveurs utilisant cette librairie, contre la vulnérabilité Drown. Dans une déclaration, Robert Sobers, directeur marketing chez Varonis souligne le risque principal : « les entreprises pourraient être tentées de penser que ‘aucun de mes serveurs importants n’utilise SSLv2, donc je suis en sécurité’. Et pourtant, si l’entreprise ne dispose ne serait-ce que d’un seul service SSLv2 en cours d’exécution qui n’a pas été mis à jour ou désactivé », celui-ci peut compromettre les autres, utilisant TLS – dans le cas où les clés privées sont les mêmes.
Chez F5 Networks, Vincent Lavergne, directeur avant-vente, rappelle que SSLv2 est obsolète, comme sont en train de le devenir SSLv3 et les versions de TLS antérieures à la 1.2. Alors, certes, « des efforts considérables ont été fait côté éditeurs de navigateur pour ne plus autoriser l’utilisation de ces protocoles désuets », mais leur support, côté serveur, peut encore constituer une menace.