Patrick Daxenbichler - Fotolia
Le retour de Bleichenbacher : une mauvaise nouvelle pour TLS
Des chercheurs ont découvert que de nombreuses implémentations de TLS sont vulnérables à une attaque connue depuis 19 ans.
Les implémentations de TLS de huit fournisseurs majeurs et d’un projet Open Source sont vulnérables à l’attaque dite de Bleichenbacher, du nom de celui qui l’a décrite pour la première fois en 1998. Ce chercheur suisse, qui travaillait à l’époque pour les laboratoires Bell, avait trouvé le moyen de déchiffrer un message chiffré avec l’algorithme asymétrique RSA, à condition qu’un oracle indique si le padding d’un cryptogramme est correct ou non.
Suite à cette découverte, cette attaque a fait l’objet de mentions dans toutes les spécifications de TLS, et cela dès sa version 1.0 en 1999. Jusqu’à la version 1.2, définie en 2008, des avertissements ont été intégrés à l’intention des équipes de développement en charge de l’implémentation du protocole. La version 1.3 est actuellement à l’état de brouillon.
Il faut dire que le risque n’est pas négligeable : « un attaquant peut passivement enregistrer le trafic pour le déchiffrer par la suite ». Et c’est sans compter le risque d’usurpation d’identité de serveur.
Les chercheurs qui ont découvert des implémentations de TLS vulnérables parlent donc de « retour » de la menace, et utilisent l’acronyme Robot pour l’évoquer. Ils proposent un site Web pour tester son site Web et voir s’il est concerné. Là, ils fournissent également la liste des implémentations de TLS affectées ainsi que des conseils aux exploitants de services en ligne. Et le premier d’entre eux consiste à désactiver le support de l’algorithme RSA pour TLS.
Dans un billet de blog, Trend Micro souligne que des sites Web majeurs tels que Facebook et Paypal sont concernés. En fait, selon les chercheurs à l’origine de la découverte de Robot, près d’un tiers des cents sites Web les plus fréquentés au monde sont vulnérables.
Et justement, simple hasard ou pas, BGPMon faisait état hier de brefs détournements du trafic destiné à Google, Apple, et autre Facebook, ce mardi 12 décembre, vers la Russie. Et cela par un système autonome n’étant utilisé que de manière très sporadique. De quoi en faire un incident « suspect ». Sur Twitter, certains n’ont pas manqué de se demander s’il ne fallait pas y voir un effort pour collecter du trafic destiné à des sites vulnérables. Mais BGPMon s’est refusé à avancer la moindre hypothèse.