La renégociation de clé SSL au coeur d'un protocole d'attaque DoS
Des pirates ont créé un outil dédié aux attaques en déni de service (DoS) capable de contourner le protocole SSL (Secure Sockets Layer) des serveurs. Il suffit d'un ordinateur portable et une connexion DSL standard.
L'outil dévoilé par un collectif de pirates allemands baptisés Hackerschoice s'appelle THC-SSL-DOS et s'appuie sur une faille rarement utilisé, mais largement disponible, dans le protocole SSL appelée renégociation SSL. Cette vulnérabilité un peu ancienne (en 2009, un étudiant turc avait utilisé cette faille pour développer une attaque Man In The Middle et détourner des identifiants sur Twitter) permet aux serveurs de modifier la clé de chiffrement utilisé pour sécuriser une session sans avoir besoin d'interrompre la connexion, selon le THC. Elle est activée par défaut sur la plupart des serveurs. « Renégocier une clé physique est une idée stupide du point de vue du chiffrement », explique le groupe de hacker et d'ajouter « si vous n'êtes pas satisfait avec la négociation initiale de la clé, vous devez générer une nouvelle session et non pas renégocier ».
Les attaques par déni de services se traduisent par un volume très important de requêtes pour saturer les serveurs. Habituellement, cela nécessite que les attaquants soient proches de la cible pour une question de bande passante, ce qui explique pourquoi la plupart des attaques DOS sont exécutées de manière distribuée à partir d'un grand nombre d'ordinateurs. Cependant, dans le cas de THC-SSL-DOS, c'est différent car les serveurs SSL consomment beaucoup plus de ressources au cours des négociations SSL que les clients. L'outil présenté peut déclencher des milliers de renégociations via une connexion TCP unique.
Un simple ordinateur portable et une connexion DSL suffisent
The Hackerschoice estime qu'avec un ordinateur portable avec une connexion DSL standard, son outil peut concurrencer un serveur disposant d'un lien de 30 Gbt/s. « Le serveur ne peut gérer en moyenne que 300 sessions par seconde, soit la consommation de 10 à 25% du CPU de votre ordinateur portable», explique le groupe.
Ce type d'attaques n'est pas nouveau. En fait, les constructeurs connaissent le sujet depuis 2003 et, selon le THC, la méthode a été utilisée l'année dernière dans des attaques DOS contre MasterCard. Avec son outil, THC automatise le processus et souhaite que l'industrie prenne conscience du problème pour mieux sécuriser les serveurs.
Le groupe souligne que, même sans renégociation SSL activée, un pirate peut toujours utiliser le THC-SSL-DOS avec succès contre les serveurs. Toutefois, pour de telles attaques, il faudrait plus qu'un simple ordinateur portable.
