Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé Open SSL. Afficher tous les messages
Aucun message portant le libellé Open SSL. Afficher tous les messages

jeudi 5 mars 2015

Une Faille des années 90 rend votre Android Browser nul et le restera pour le reste de la vie de votre cell

Une porte dérobée de la NSA met en danger les utilisateurs de Safari et Android

Une faille baptisée « Freak » permet de casser le chiffrement de connexions web sécurisées en OpenSSL. Elle trouve son origine dans un affaiblissement cryptographique, inséré volontairement par la NSA au siècle dernier.

 



Panique à bord chez Apple et Google. Un groupe de chercheurs en sécurité a découvert que les navigateurs Web Safari , Chrome (sauf la dernière version 41) et Android Browser (le navigateur par défaut du smartphone) sont vulnérables à des attaques de type « man in the middle » en se connectant à environ 5 millions de sites web sécurisés en TLS/SSL. Et ce n’est pas tout : ils peuvent également être victimes d’attaques par injection de code sur un grand nombre de sites sécurisés dotés du bouton « Like » de Facebook. Parmi les sites touchés : americanexpress.com, vente-privee.com, orange-labs.fr, ce-orange.fr, bouyguestelecom.fr, m6mobile.fr, lapostemobile.fr, groupama.fr, bamibanque.fr, videofutur.fr, interflora.fr, etc.

Des clés de chiffrement limitées à 512 bits

Mais le plus surprenant : cette terrible faille provient d’une porte dérobée créée par le gouvernement américain... dans les années 90 ! A cette époque, Netscape venait de lancer le premier navigateur grand public, ainsi que le protocole sécurisé SSL, qui allait faire le bonheur de l’e-commerce. Mais le pays de l’oncle Sam était très chatouilleux sur l’exportation de technologies de chiffrement, en particulier de l’algorithme RSA utilisé dans SSL. Hors Etats-Unis, celui-ci était donc limité à des clés 512 bits appelées « RSA Export Keys ». C’était suffisant pour protéger les échanges commerciaux, tout en permettant à la NSA de déchiffrer les flux si elle le voulait. Mais aujourd’hui, cette longueur de clé est ridicule : il suffit d’investir une centaine de dollars en serveurs virtuels sur Amazon.com, et on la casse en quelques heures.
Le site de la NSA, modifié à la volée après avoir cassé le chiffrement SSL.
Le site de la NSA, modifié à la volée après avoir cassé le chiffrement SSL.
agrandir la photo
Et c’est exactement ce qu’ont fait les chercheurs en sécurité en se connectant sur le site Web... de la NSA (voir ci-dessus). Car figurez-vous qu’un grand nombre de sites Web proposent encore aujourd’hui ces clés RSA au rabais, par souci de rétrocompatibilité. Normalement, cela ne pose pas un grand problème, car dans les navigateurs modernes, la connexion TLS/SSL se crée toujours avec le plus haut niveau de chiffrement disponible, et généralement avec une taille de clé supérieure à 1024 bits.
Mais un bug découvert dans les implémentations d’OpenSSL de Safari et d’Android Browser permet de forcer le navigateur à accepter les clés 512 bits. Un attaquant peut donc, dans un premier temps, casser la clé RSA 512 bits récupérée auprès d’un serveur web. Puis, grâce au bug, intercepter et déchiffrer les flux d’un utilisateur qui s’y connecte (car le serveur utilise toujours la même clé RSA 512 bits). Il pourra donc récupérer des données sensibles, ou modifier les pages à la volée.
Le même bug se trouve également dans le kit de développement Facebook Javascript SDK, utilisé pour insérer des boutons « Facebook Login » ou « Facebook Like » dans les pages Web. Dans ce cas, la faille permet d’injecter n’importe quel code Javascript et, par exemple, récupérer des codes d’accès. Comme elle est liée aux clés RSA 512 bits, cette faille a été baptisée « Freak », pour « Factoring RSA Export Keys ».

Un patch Apple la semaine prochaine

Comment se protéger ? Facebook a d’ores et déjà mis à jour son SDK, tout comme Google qui vient de publier Chrome 41. Apple devrait publier un patch de sécurité pour Safari la semaine prochaine. Pour Android Browser, en revanche, ce sera plus compliqué, (faut changer de cell sinon ce sera comme la faille heartbleed a fallu Android Kitkat)car le processus de mise à jour dépend des constructeurs de smartphone, dont la réactivité est très variable. En cas de doute, rendez vous sur le site freakattack.com pour tester votre navigateur.
 
 Voici pour Firefox:

 
 
 
 
En attendant, il faut éviter d’utiliser les navigateurs intégrés dans les applications et préférer, par exemple, Chrome ou Firefox. Par ailleurs, il veut mieux se tenir à distance des réseaux à l'accès peu sécurisés, comme les hots spots publics. « Cette faille est embarrassante mais pas très grave, car elle peut être comblée assez rapidement. Cette histoire montre aussi que la création de portes dérobées est une très mauvaise idée. Au final, elles échappent toujours au contrôle de celui qui les a créées », souligne Jérôme Saiz, expert du Cercle européen de la sécurité et des systèmes d’information. C’est d’ailleurs le message qu’ont voulu faire passer les chercheurs en sécurité en s’attaquant au site Web de la NSA...

Source.:

lundi 21 avril 2014

Les fondations de l'internet sont gérer par des Geeks bénévoles : le SSL, les DNS et le protocole Internet Time Service ?$?

*Heartbleed: Alors que beaucoup de monde était à célébrer la nouvelle année 2012 , Robin Seggelmann écrivait le code de fin de soirée qui conduirait à la pire catastrophe de l'histoire d'Internet récent . Heartbleed , un de faille de sécurité «catastrophique» dans le protocole cryptographique OpenSSL qui a touché les deux tiers de la communication de l' ensemble de l'Internet , a été commis à 22h59 la veille du Nouvel An par Seggelmann , un programmeur Allemand de 31 ans .


 Open SSL: dispose que d' un développeur à temps plein et génère moins de 2000 $ en dons par an , clairement quelque chose ne va pas.Donc, ce qui explique l'écart entre le manque d'attention aux OpenSSL et la grande fortune de Linux ? Le projet OpenSSL a commencé il ya environ 15 ans. 
Le projet est actuellement géré par un noyau de quatre personnes, rejoints par sept autres programmeurs qui sont des contributeurs actifs. Les bénévoles sont la plupart du temps de la Grande-Bretagne et l'Allemagne. L'un est du Canada.
Le bon vieux manque de sensibilisation , disent les experts.Des milliers de téléviseurs vendus chaque jour sont contrôlés par Linux . Quatre-vingt- deux pour cent des systèmes informatiques performants du monde fonctionne sur Linux . Il fonctionne systèmes financiers , l'Internet et les systèmes de contrôle du trafic aérien , les smartphones Android et Kindle.Le fait que OpenSSL a échappé a cette prise de conscience a été " un gâchis ", a déclaré Jim Zemlin , le directeur exécutif de la Fondation Linux . Certains défenseurs open-source dit M. Zemlin c'est exactement ce que OpenSSL a de manquant . «OpenSSL n'a tout simplement pas eu l'avantage d'un leader comme Jim autour de lui ", a déclaré Brian Behlendorf , un membre du conseil de l'Electronic Frontier Foundation et la Fondation Mozilla , un autre projet open-source , qui gère le navigateur Firefox ." Il y a un nouvel ordre mondial où les développeurs sont devenus le nouveau roi - dirigeants et je suis juste leur lobbyiste », a déclaré M. Zemlin . " Vous avez pour financer ces projets d'une manière qui est à la hauteur de leur importance pour notre société . "

Jusqu'à ce que le bug Heartbleed a été divulgué la semaine dernière , pas beaucoup de personnes avaient entendu parler du Dr Stephen Henson , le développeur qui est la seule personne à travailler à temps plein sur OpenSSL , ou le OpenSSL Software Foundation et son directeur , Steve Marquis .M. Raymond dit qu'il y a d'autres systèmes essentiels comme le Domain Name System(DNS) , une sorte de standard pour l'Internet qui est maintenu par des bénévoles à but non lucratif et des sociétés , et le protocole Internet Time Service , une caractéristique essentielle qui permet de synchroniser les horloges des ordinateurs sur l' Internet . Échanges financiers importants dépendent de la santé de protocole , mais il est actuellement géré par un programmateur bénévole dans le Maryland ."La direction est consciente de ce problème d'incitation grave ici et nous allons y remédier ", a déclaré M. Raymond .Ceux qui utilisent ce code (OpenSSL)n'ont pas à payer pour cela aussi longtemps qu'ils donnent le crédit au projet OpenSSL ,donc c'est ,si ont peut dire, Gratuit ,donc sans redevance aucune !«OpenSSL est complètement non capitalisé ", a déclaré M. Laurie . " Il est utilisé par les entreprises qui font beaucoup d'argent , mais presque aucune des sociétés qui l'utilisent ne va y contribuer de quoi que ce soit . "La plupart des utilisateurs d'OpenSSL entreprises ne contribuent pas d'argent pour le groupe , M. Marquis a dit . Google et Cisco disent qu'ils contribuent en encourageant leurs propres ingénieurs à la recherche de bogues dans le code alors qu'ils sont sur l'horloge . Le site OpenSSL montre qu'un ingénieur Cisco et plusieurs ingénieurs de Google ont découvert des bogues et des correctifs créés au fil des ans .

Un ingénieur de Google , Neel Mehta , a découvert le bug Heartbleed plus tôt ce mois , et deux autres ingénieurs de Google est venu avec le correctif .
De même , Microsoft et Facebook ont créé l' initiative Bug Bounty Internet , qui paie les ingénieurs qui divulguent responsable des bugs dans de nombreux systèmes, comme OpenSSL . Le groupe a versé à M. Mehta $ 15,000 pour sa découverte - une aubaine , il a fait don à la liberté de la Fondation de la presse .À tout le moins , les experts en sécurité , les entreprises et les gouvernements devraient payer pour des audits de code régulier , en particulier lorsque la sécurité de leurs propres produits dépend de la fiabilité du code .Après le bug Open SSL, le groupe a reçu $ 17,000 en dons , presque entièrement de personnes de l'extérieur des États-Unis . Les dons individuels étaient de 300 $ maximum ,au plus bas qui était de 2 cents .


Nota: Autrement dit, pour épargner des frais a l'utilisation du SSL et la sécurisation des transactions d'achat,même pas les banques ne verseront de redevance et les utilisateurs ne seront jamais payeurs,car ils ont leurs propres ingénieur de sécurité qui corrige les bugs du SSL ,une fois de temps en temps.Et pour se sauver la face,Microsoft et Facebook ont créé de leurs  initiative le "Bug Bounty Internet" , qui paie les ingénieurs qui divulguent les bug du SSL, entre autres ! Est-ce que le Dr Stephen Henson, et Steve Marquis du OpenSSL Software Foundation,ont délibérément fermés les yeux sur la faille ,pour que la communauté internet se rendre compte qu'ils sont sous payer ? Car en 2008,déja ça se parlaient ,qu'une faille du OpenSSL devrait être médiatisée un jour !
 Bien c'est arrivé !$$!  ;-)



REF.: