in Sécurité

Imperva dévoile son dernier rapport “Hacker Intelligence Initiative” : « Attaquer le SSL en utilisant RC4 »

Le rapport explique comment casser le SSL grâce à une faille de RC4, vieille de 13 ans.

Imperva, Inc., dédié à la protection des données des entreprises et des applications critiques sur site et dans le cloud, publie son dernier rapport “Hacker Intelligence Initiative” (HII), “Attaquer le SSL en utilisant RC4 : casser le SSL grâce à une faille de RC4 vieille de 13 ans”.  Réalisé par l’Application Defense Center (ADC), cellule de recherche d’Imperva, le rapport révèle de nouvelles vulnérabilités d’attaque sur le célèbre protocole Transport Layer Security (TLS/SSL), actuellement utilisé pour protéger 30% des transactions SSL. Un chiffre qui représente des milliards de transactions quotidiennes contenant des données sensibles d’utilisateurs.

L’impact de cette menace

SSL est aujourd’hui le protocole de communication sécurisé le plus utilisé sur Internet.  Il a pour vocation de sécuriser les différents niveaux de trafic des applications. Pierre angulaire de sécurisation de la navigation sur le web, le protocole HTTPS, est utilisé conjointement avec IMAP ou SMTP pour chiffrer et protéger le trafic emails mais également la communication avec les systèmes embarqués, les appareils mobiles ou encore les systèmes de paiement. 

Compte tenu de sa large présence dans les connexions Internet, il serait logique que le protocole SSL soit entièrement sécurisé.  Pourtant, plusieurs vulnérabilités importantes ont été identifiées au cours des dernières années. L’équipe de recherche d’Imperva a découvert qu’utiliser l’algorithme RC4, bien connu pour son piètre cryptage, exposait des milliards de données sensibles d’utilisateurs.

Le rapport s’intéresse aux spécificités des différents types d’attaques :

  • La nouvelle attaque peut provoquer une fuite de données protégées par SSL de l’ordre de 1 pour 16 millions de cryptages RC4, se résumant à des milliers de messages sécurisés potentiellement compromis chaque jour.
  • Une nouvelle attaque “Man-in-the-middle”, similaire à la vulnérabilité BEAST découverte pour la première fois en 2011, sur SSL avec RC4. Cette attaque permet au pirate d’extraire des informations partielles à partir de données protégées. L’enquête d’Imperva démontre toute l’importance de cette fuite, qui permet de mener des attaques par force brute plus rapidement sur des mots de passe, des numéros de carte de crédit, et des cookies.
  • La nouvelle attaque est plus “stable” que celles précédemment publiées sur SSL et fonctionne selon plusieurs scénarii, par exemple, lorsqu’un pirate tente de voler les cookies d’une session de courte durée.
  • Une variante passive de l’attaque (que l’on croit être la première attaque passive sur SSL) est à l’origine d’une fuite d’informations secrètes d’une victime aléatoire.
  • Chaque fois qu’une personne utilise SSL avec RC4 pour protéger ses données, celle-ci a une petite, mais non négligeable, chance que ses données soient compromises.

« L’équipe de recherche, qui compose l’Application Defense Center, met en permanence à jour ses travaux existants, en explorant de nouvelles vulnérabilités et en publiant des rapports qui délivrent des analyses et des conseils sur les dernières menaces », explique Itsik Mantin, Directeur de la recherche chez Imperva. « Cette dernière étude sur les vulnérabilités du protocole SSL, une connexion qui affecte littéralement des milliards d’utilisateurs chaque jour, illustre la manière dont nous aidons et alertons les utilisateurs sur les menaces du web. En ce sens, nous délivrons des conseils sur la façon dont les professionnels de la sécurité peuvent aujourd’hui protéger leur organisation contre les nouvelles menaces. »

Comment se protéger ?

Imperva encourage les administrateurs à désactiver RC4 dans leur configuration SSL; les internautes à désactiver RC4 dans la configuration de leur navigateur SSL; et les fournisseurs de navigateur à supprimer RC4 de leur liste de chiffrement SSL.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.