HTTPS_Everywhere Retour au calme après les révélations de deux chercheurs en sécurité qui ont développé l'outil BEAST. Browser Exploit Against SSL/TLS permet de déchiffrer les requêtes Web sécurisées via le protocole TLS 1.0 et SSL 3.0 ( voir notre actualité ).

L'attaque de type man-in-the-middle est en fait connue depuis près d'une dizaine d'années mais n'avait jusqu'à présent pas pu être exploitée. Juliano Rizzo et Thai Duong ont fait une démonstration avec le navigateur Firefox lors d'une communication avec Paypal.com à travers HTTPS.

Néanmoins, Mozilla indique que l'attaque n'est pas spécifique à Firefox, et que dans sa configuration par défaut le navigateur n'est pas vulnérable, alors que certains plugins peuvent l'être. " Alors que Firefox utilise effectivement TLS 1.0 ( la version de TLS vulnérable ), les détails techniques de l'attaque nécessitent la possibilité d'un contrôle complet du contenu des connexions en provenance du navigateur ce que Firefox ne permet pas ".

Mozilla souligne toutefois que des faiblesses dans les plugins Java permettent l'attaque et travaille sur la question. En attendant, Mozilla recommande de désactiver Java depuis le gestionnaire des modules complémentaires.

La faille a été comblée dans le code source de Chromium ( socle de Google Chrome ) il y a trois mois. De son côté, Microsoft estime que des attaques sont très improbables : " dans certaines circonstances, un attaquant peut déchiffrer le trafic SSL, mais il y a des facteurs d'atténuation significatifs qui devraient rendre les attaques difficiles ou impossibles ".

Dans un avis de sécurité, Microsoft mentionne qu'un composant Windows est affecté mais le vecteur d'attaque est le navigateur avec l'utilisation du protocole HTTPS pour intercepter des informations sensibles comme le cookie de session HTTPS.

Pour Microsoft, les facteurs atténuants sont le fait que la session HTTPS doit être attaquée de manière active par une attaque man-in-the-middle, le code malveillant pour déchiffrer le trafic HTTPS doit être injecté et exécuté lors de la session de navigation, ce code doit être traité comme de la même origine que le serveur HTTPS - le plus probable est le recours à une autre vulnérabilité pour passer outre la politique de sécurité du navigateur.

Cela n'empêche pas Microsoft de prodiguer des mesures de contournement. Pour les administrateurs de serveurs Web, il est conseillé de donner la priorité à RC4 Cipher Suite plutôt que CBC ( cipher-block chaining ) et d'encourager aussi au passage à TLS 1.1 qui n'est pas vulnérable. Un passage également recommandé côté client. Dans les faits, cela risque de se heurter à une adoption encore timide de TLS 1.1 ou 1.2.

Deux fix-it sont également publiés afin d'activer TLS 1.1 dans Internet Explorer et les serveurs Windows. Rappelons que dans Internet Explorer, il est possible d'opérer manuellement un tel changement en passant par les Options Internet, l'onglet Avancé et la section Sécurité.