Les connexions sécurisées par SSL ? Un gruyère plein de trous...
Un méga bug redécouvert ces jours-ci met en péril les identifiants et les mots de passe de tous les utilisateurs de services financiers en ligne.
Pour ceux qui croyaient encore que la simple utilisation du protocole sécurisé SSL permet de se connecter en toute confiance à un compte en banque ou à un compte titre, un monde vient définitivement de s’écrouler… Acros, une société de sécurité informatique slovène, vient de publier une alerte qui a de quoi effrayer tous les apprentis- banquiers du Net : n’importe qui peut théoriquement, en envoyant un simple mail à un utilisateur de services financiers en ligne, récupérer son identifiant et son mot de passe…
Un mail trafiqué
Comment ça marche ? Internet Explorer, le navigateur de Microsoft (mais, précisent les experts d’Acros, d’autres produits sont concernés) conserve en mémoire le login et le mot de passe jusqu’à fermeture de l’application (cela n’a rien à voir avec la possibilité offerte à l’utilisateur de faire mémoriser le mot de passe par le programme). Dès lors, il suffit d’envoyer un mail un peu trafiqué (au format html) à une personne qui s’est connectée chez son courtier en ligne quelques instants auparavant, que cette personne clique sur un lien, pour que le navigateur livre le login et le mot de passe… Bien entendu, cette démarche un peu triviale suppose une " participation " des victimes potentielles. Mais il existe également un autre moyen techniquement plus subtil qui ne nécessite aucune action de la part de la cible.
Vulnérabilité subjective
Cette alerte de sécurité est intéressante à double titre. D’une part, cette faille est l’exploitation technique d’un problème découvert... en août 1999 par Justin King . Á l’époque, ni ce hacker, ni Microsoft, ni la communauté des experts en sécurité n’avaient réussi à imaginer une utilisation possible du problème. Dès lors, le niveau de risque avait été classé " bas ". Comme l’expliquait l’un des membres de Acros dans un mail à Bugtraq : " Ce que nous devons retirer de tout cela, c’est que notre perception d’une vulnérabilité est basée sur la manière dont nous pensons pouvoir l’exploiter à un moment précis. Si nous ne pouvons pas imaginer un scénario convainquant d’exploitation du bug, nous avons tendance à nous dire bof, ce n’est pas si grave. Mais lorsque quelqu’un trouve le moyen efficace de l’exploiter, la vulnérabilité ne change pas, c’est notre perception de cette vulnérabilité qui change… ".
Légèreté des banquiers
D’autre part, cette alerte ne semble pas dépasser le cercle des experts en sécurité informatique alors qu’elle touche tous les utilisateurs de navigateurs. Bien entendu, ce genre d’attaque ne peut pas générer des millions de francs de bénéfices pour les pirates : il faut bien réceptionner les fonds détournés quelque part et il y a fort à parier que la police attendrait le pirate au coin du guichet virtuel. Toutefois, les banques et les brokers en ligne font preuve d’une nonchalance plus que coupable dans ce domaine puisque ni les clients que nous avons contactés ni l’association brokers online n’avaient entendu parler de ce problème. Or, puisqu’il s’agit d’une faille indépendante des sites et des équipements des clients, il n’est pas idiot de penser que les institutions financières auraient pu envoyer un mail à leurs clients. Ne serait-ce que pour leur signaler que Microsoft a sorti un patch pour corriger cette faille…