Malheureusement, après Heartbleed, OpenSSL est à nouveau touchée par une faille qui relève purement de l'implémentation : l'attaque par injection de "ChangeCipherSpec", a.k.a CVE-2014-0224.
Elle permet à un attaquant actif - qui peut écouter et modifier les trames réseaux à la volée - d'avoir un contrôle total et transparent sur la connexion chiffrée.
Rappel sur TLS
Lorsque deux machines se mettent en relation avec le protocole TLS, il y a toujours une phase d'initialisation, le Handshake. Dans cette phase, les machines se mettent d'accord sur les algorithmes cryptographiques à utiliser, les clés secrètes, et effectuent la vérification des certificats numériques.
La première partie de cette initialisation consiste en deux messages, ClientHello et ServerHello. Ils établissent les clés secrètes, les certificats, et proposent leurs "cipher suites".
Pour une raison quelconque, le client ou le serveur peut décider de demander à changer les algorithmes utilisés. Il peut alors envoyer un message "ChangerCipherSpec" qui va consister à dériver de nouvelles clés cryptographiques à partir des bases obtenues dans les messages ClientHello et ServerHello.
Ce message, d'après le protocole, doit donc être refusé s'il est reçu avant la phase Hello.
La faille
Vous l'aurez peut-être supputé de la phrase précédente : OpenSSL accepte le message "ChangerCipherSpec" même si la phase "Hello" n'a pas été faite. Il dérive alors des clés cryptographiques à partir de valeurs vides qui sont donc complètement prédictibles.
Un attaquant actif peut donc détecter l'établissement d'une connexion TLS, envoyer un message "ChangerCipherSpec" aux deux parties qui généreront des clés secrètes connues d'avance, puis renégocier les paramètres de sécurité. Il a ensuite un accès complet à la connexion.
Qui est affecté ?
Déjà, il est important de noter que le client et le serveur doivent être tous les deux vulnérables pour que la faille fonctionne. Si l'un des deux est patché, la connexion est sûre.
- Toutes les versions sont vulnérables pour le client
- Les versions 1.0.1 et supérieures sont vulnérables pour le serveur
Les versions 0.9.8.za, 1.0.0m et 1.0.1h d'OpenSSL corrigent la faille.
Une faille pas aussi désastreuse que Heartbleed donc, mais tout de même grave..
# Plus d'une faille !
Posté par Jiehong (site web personnel) . Évalué à 6.
En fait, d'après le communiqué, c'est un lot de failles qui vient d'apparaître.
[^] # Re: Plus d'une faille !
Posté par Ely . Évalué à 1.
Exact, la CVE-2014-0195 est pas mal aussi : dépassement de tampon avec exécution de code arbitraire. 3 autres permettent de faire du déni de service.. Rien ne va plus pour les libs SSL en ce moment
[^] # Re: Plus d'une faille !
Posté par Laurent J (site web personnel, Mastodon) . Évalué à 10.
certainement dû au fait que plusieurs personnes inspectent le code, depuis l'affaire Heartbleed, depuis donc qu'on a pris conscience que peu de monde y contribuait.
À mon avis, ce n'est que le début des découvertes…
# virez le !
Posté par Laurent J (site web personnel, Mastodon) . Évalué à 10.
il est chiant cet homme du milieu. J'ai remarqué qu'il revenait souvent mettre son bazar. Faudrait vraiment que la police fasse quelque chose. On sait qui c'est au moins ?
[^] # Re: virez le !
Posté par Arthur Geek (site web personnel) . Évalué à 10.
La police enquête depuis longtemps sur le milieu. Elle a des témoins, entre autres l'homme qui a vu l'homme qui a vu l'homme du milieu.
Prochainement, je vous proposerai peut-être un commentaire constructif.
[^] # Re: virez le !
Posté par téthis . Évalué à 10.
Il est intouchable, l'homme possède trop de relations dans le milieu.
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
[^] # Re: virez le !
Posté par chimrod (site web personnel) . Évalué à 8.
Oui mais les témoins ne sont pas fiables ; entre autre on a des doutes sur l'identité réelle d'une certaines Alice.
[^] # Re: virez le !
Posté par totof2000 . Évalué à 2.
C'étaient Gilbert Montagné, Stevie Wonder et Andrea Boccelli.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 4.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 10.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: virez le !
Posté par windu.2b . Évalué à 9.
La police le cherche, mais quand tu vois l'étendue de la zone à fouiller…
[^] # Re: virez le !
Posté par Le Pnume . Évalué à 5.
Je propose l'interpellation de toutes les "Eve" du monde, Bernard et Alice pourront enfin être tranquille.
[^] # Re: virez le !
Posté par ziliss . Évalué à 3.
Eve ? Moi qui croyais que tout le monde était à la recherche de Charlie…
[^] # Re: virez le !
Posté par BAud (site web personnel) . Évalué à 2.
ce n'était pas ploum< ?
[^] # Re: virez le !
Posté par ziliss . Évalué à 3.
Ah oui, on l'a enfin trouvé. C'est notre homme du milieu.
# Saison 2
Posté par Joris Dedieu (site web personnel) . Évalué à 6.
Résumé de l'épisode précédent :
Brandon et Brenda se sont fâchés à mort car sous la tapisserie à fleur de la salle de bain, il y avait de grosses traces de moisissure. Depuis il font chambre à part et n'hésitent pas à s'affliger de petites mesquineries
La suite :
http://undeadly.org/cgi?action=article&sid=20140605202211
[^] # Re: Saison 2
Posté par Krunch (site web personnel) . Évalué à 9.
D'un autre côté, si tu mets de la tapisserie dans ta salle de bain, tu l'as un peu mérité quand même.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Saison 2
Posté par windu.2b . Évalué à 8.
C'est vrai : tout le monde sait que, dans une salle de bain, ce qu'il faut c'est de la moquette bien épaisse !
Du moins, si j'en crois les maisons en Angleterre que j'ai pu visiter…
# Merci la preuve formelle
Posté par Perthmâd (site web personnel) . Évalué à 6.
La faille a été trouvée en tentant de prouver OpenSSL en Coq :
http://ccsinjection.lepidum.co.jp/blog/2014-06-05/CCS-Injection-en/index.html
Vous savez ce qu'il vous reste à faire…
[^] # Re: Merci la preuve formelle
Posté par Irenes . Évalué à 0.
Vous savez ce qu'il vous reste à faire… :
- décrocher un peu du net et oublier le Cloud pour le moment
- si non installer les patchs de correction qui ne feront pas l'affaire car on n'est qu'au début des découvertes
- ne pas faire d'achat en ligne
- ou continuer à avancer et choisir les bons outils de protections (VPN, pare-feu, anti-virus, Lastpass…)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.