Les développeurs de nombreuses librairies SSL vont publier un correctif sur une faille qui pourrait être exploitée pour récupérer, depuis des communications chiffrées, des informations comme les cookies d'authentification des navigateurs.

Ce correctif fait suite à la découverte d'une nouvelle façon d'attaquer les librairies SSL, TLS et DTLS, qui utilisent CBC (Cipher Block Chaining) comme mode de chiffrement. Ce piratage a été développé par les chercheurs Nadhem Alfardan J. et Kenneth G. Paterson du Collège Royal Holloway à Londres. Cette attaque a été baptisée Lucky Thirteen par les scientifiques, qui ont présenté leur méthode sur un site web. Ils ont travaillé avec plusieurs fournisseurs de bibliothèques SSL, ainsi qu'avec le groupe de travail de l'IETF (Internet Engineering Task Force) pour résoudre le problème.

Le protocole TLS (Transport Layer Security) et son prédécesseur, le protocole SSL (Secure Sockets Layer), sont des éléments essentiels du protocole HTTPS (Hypertext Transfer Protocol Secure), la principale méthode de sécurisation des communications sur le web. Le DTLS (Datagram Transport Layer Security) est un protocole basé sur TLS et utilisé pour chiffrer les connexions entre les applications qui dialoguent via UDP (User Datagram Protocol). Les chercheurs ont indiqué sur le site web que « OpenSSL, NSS, GnuTLS, yaSSL, PolarSSL, Opera et BouncyCastle se préparent à appliquer les patchs pour protéger TLS en mode CBC contre nos attaques ».

Une attaque avec des conditions particulières


Cette découverte signifie que les internautes pourront théoriquement être vulnérables aux pirates quand ils visitent des sites web HTTPS qui n'ont pas appliqué les patchs. Néanmoins plusieurs spécialistes de la sécurité estiment que cette faille est très difficile à exploiter et qu'il n'y a pas de raison de s'alarmer. Les chercheurs estiment que ces exploits concernent les versions 1.1 ou 1.2 de TLS ou 1.0 ou 1.2 de DTLS qui sont les plus récentes. Ils s'appliquent aussi à SSL 3.0 et TLS 1.0 qui intègrent des contre-mesures contre des attaques de type « paddling oracle » (par déni de service).

La bonne nouvelle est que l'exécution de ces attaques est très difficile, car elle nécessite des conditions particulières côté serveur et côté client. Par exemple, l'attaquant doit être très proche du serveur cible, sur le même réseau local. L'attaque de type « padding oracle »  analyse les différences temporelles qui surviennent pendant le processus de décryptage et récupère le texte brut à partir de communications cryptées, notamment les cookies d'authentification des navigateurs. Les concepteurs TLS ont tenté de bloquer ces attaques dans la version 1.2, en réduisant les variations de synchronisation à un niveau qu'il pensait relativement faible pour être exploitable.