Hi Web, création de sites internet en Suisse
à Yverdon-les-Bains
Téléphone
078 914 86 22
E-mail
info@hiweb.ch

THC-SSL-DOS un outil de hack SSL

THC-SSL-DOS un outil de hack SSL

THC-SSL-DOS : et un outil qui exploite une grosse  faille SSL pour les attaques par déni de service (surcharge un serveur).
Origine:

Des hackers allemands ont publiés un outil pouvant être utilisé pour effectuer des attaques par Déni de Services (DOS) sur un serveur utilisant le protocole SSL pour les connexions sécurisées.

L’outil baptisé THC-SSL-DOS exploite une faiblesse dans le protocole de sécurité SSL qui avait été découverte depuis 2003.

La faille se situe au niveau de la renégociation SSL qui est activée sur de nombreux serveurs. L’outil exploite le fait qu’une négociation de session SSL demande quinze fois plus de puissance au serveur qu’au client. Cette différence est encore plus importante lors du traitement des renégociations SSL.

Le groupe de Hackers THC (The Hacker’s Choice) a utilisé cette asymétrie qui est dans la capacité à renégocier une session SSL. THC-SSL-DOS génère donc de milliers de fois des renégociations pour surcharger le serveur via une simple connexion internet, un simple ordinateur de bureau tournant sur Linux ou Windows peut mettre hors service un site avec un certificat SSL

Depuis un seul ordinateur portable, le hacker peut effectuer une attaque par DOS et faire tomber un serveur Web en utilisant une connexion ADSL.

THC a décidé de rendre l’outil disponible publiquement à cause d’une fuite en ligne de THC-SSL-DOS, afin de pousser l’industrie à se pencher sur les problèmes du protocole SSL.

L’unique façon de limiter les risques est de *désactiver la renégociation SSL. THC souligne cependant que THC-SSL-DOS peut être facilement modifié afin de privilégier l’utilisation d’initialisation SSL, mais il faudra cependant utiliser plus qu’un ordinateur portable pour effectuer une attaque.

 

*Désactiver la renégociation SSL

 

La façon la plus simple de parer à l’attaque mise au point par THC est de désactiver toutes les  renégociations SSL. C’est un mécanisme qui est rarement utilisé en pratique. Un serveur peut demander une renégociation si le client désire accéder à une ressource qui nécessite un certificat mais un client n’a habituellement pas tellement de raison de demander une renégociation.

Les versions récentes d’Apache et nginx interdisent simplement la renégociation SSL, même si la version non vulnérable est disponible.
Pour déterminer et tester si une renégociation SSL est autorisée, il est possible d’utiliser openssl s_client. Une renégociation peut être demandée en envoyant R sur une ligne vide. Voici un exemple où la renégociation est désactivée (malgré le fait qu’elle soit indiquée comme supportée lors de la poignée de mains initiale) :

 

$ openssl s_client -connect www.luffy.cx:443 -tls1
[...]
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: zlib compression
Expansion: zlib compression
[...]
R
RENEGOTIATING
140675659794088:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:591:


Exemple d’attaque sur Kali Linux


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *