HTTPS Everywhere The Hacker's Choice ( THC ) - un groupe de hackers allemands - a publié un outil baptisé THC-SSL-DOS. Celui-ci permet à un attaquant de s'en prendre directement à un serveur auquel les utilisateurs se connectent de manière sécurisée via le protocole SSL ( Secure Socket Layer ).

De quoi générer une attaque par déni de service distribué mais depuis un seul ordinateur avec une connexion Internet standard de type ADSL. " Un ordinateur portable avec une connexion DSL peut concurrencer un serveur avec une bande passante de 30 Gbps ", d'après THC.

L'outil exploite une faille ou du moins une faiblesse dans SSL connue depuis 2003. Elle se situe au niveau de la renégociation SSL qui est activée sur de nombreux serveurs. Le renégociation est utilisée pour établir une nouvelle clé secrète alors qu'une session chiffrée a déjà été initiée.

THC explique que pour un serveur capable d'accomplir " en moyenne 300 handshakes par seconde, cela nécessite seulement 10 à 25 % du CPU d'un ordinateur portable ". " Les serveurs ne sont pas préparés à traiter une grande quantité de handshakes SSL ".

D'après THC, établir une connexion SSL sécurisée nécessite une puissance de traitement 15 fois supérieure côté serveur que côté client. " THC-SSL-DOS exploite cette propriété asymétrique en surchargeant le serveur et en le frappant à partir d'Internet ".

La méthode est souvent discutée, mais le but de The Hacker's Choice est de sensibiliser l'industrie au besoin de se pencher sérieusement sur les problèmes de SSL. Selon THC, la contre-mesure consistant à désactiver la renégociation SSL peut être contournée.