Fin 2011, Thai Duong et Juliano RizzoDes, deux chercheurs en sécurité informatique ont présenté à la conférence de sécurité Black Hat Ekoparty un proof of concept d’attaque contre le protocole TLS (anciennement nommé SSL) utilisé pour le chiffrement des échanges sur Internet.
L’attaque batisée BEAST (Browser Exploit Against SSL/TLS) affecte en particulier les version 1.0 et plus anciennes du protocole TLS, en fait, elle repose sur une faiblesse (au niveau de l’utilisation d’un chiffrement par bloc) déjà connue et corrigée dans les versions 1.1 et 1.2 de TLS. Malheureusement ces dernières versions ne sont pas supportées par l’ensemble des navigateurs web.
Au moment où je rédige cet article, il y a encore de très fortes chances pour que votre serveur web (Apache, Nginx ou autre) exploite le protocole TLS 1.0, vous exposant ainsi aux attaques BEAST, il est d’ailleurs possible de vérifier cela via cet outil en ligne : https://www.ssllabs.com/ssltest/analyze.html
Pour mitiger les risques de telles attaques sans avoir à passer à TLS 1.1 ou 1.2, il faut configurer le serveur web pour privilégier un algorithme de chiffrement par flot : RC4.
Plus concrètement, voici ce qu’il faut ajouter à votre fichier de configuration :
|
1 2 3 4 5 6 7 |
# Pour un serveur Apache SSLCipherSuite RC4:HIGH:!aNULL:!MD5; SSLHonorCipherOrder on; # Pour un serveur Nginx ssl_ciphers RC4:HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; |
Voilà, n’oubliez pas de reloader votre serveur web pour appliquer les changements apportés.
Hum..intéréssant !
J’aurais aimé avoir plus de détailles/sources, je reste sur ma faim car j’utilise moi même TLS/SSL pour mes sites/serveurs et c’est toujours intéréssant de savoir ce qu’on fait faux.
Si cette faille existe alors le chiffrage est cassable ? Et n’importe qui pourra sniffer et lire les contenus des données ?
Mon site à l’air d’être vulnérable tout comme…Paypal et autre gros sites, je me demande si cette faille et aussi importante que ça.
Comme je l’ai expliqué dans l’article, seules certaines implémentations du protocole TLS/SSL peuvent s’avérer vulnérables.
Je ne sais pas comme tu as vérifié les certificats des sites dont tu parles mais en tout cas, le gros acteurs comme : Google, Twitter et même Paypal semblent êtres protégés en ayant adapté la même méthode que j’ai cité dans l’article (ils exploitent l’algorithme RC4 de gestion par flot plutôt qu’un algo par bloc).