|
Quand vous visitez un site Web dont l'adresse commence par "https", un petit cadenas s'affiche. En théorie, cela signifie que le site est sécurisé par un certificat électronique. En pratique, tous les risques sont possibles. Surtout si ce certificat utilise l'algorithme MD5, encore employé par plusieurs autorités de certification des échanges électroniques.
|
Lors d'une réunion de hackers du Chaos Computer Club qui vient de s'achever à Berlin, des résultats présentés mardi 30 décembre ne laissent plus place au doute : cette pièce maîtresse de l'infrastructure Internet n'est pas fiable, et permet à des pirates informatiques de créer des certificats reconnus comme valides par tous les navigateurs courants.
La nouvelle est d'autant plus inquiétante... qu'elle n'en est pas une. Ce n'est pas la première fois, en effet, que la faiblesse de la fonction de hachage cryptographique MD5 est dénoncée. En 2004, une équipe de chercheurs chinois avait signalé être en mesure de créer grâce à elle une attaque "de collision", en créant deux messages différents avec une même signature électronique.
En 2007, des chercheurs suisses et néerlandais avaient démontré qu'il existait une liberté presque totale dans le choix des deux messages entrant en collision. Un concept avec lequel ces mêmes chercheurs, auxquels s'est associé un Américain, viennent bel et bien de créer une fausse autorité de certification, reconnue fiable par les navigateurs Internet.
Leur objectif ? "Encourager l'usage de standards d'encryptage plus sûrs." Leur arme : un "cluster" (machines groupées pour former un superordinateur) de plus de 200 consoles de jeux disponibles dans le commerce, capable d'engendrer un faux certificat ayant perdu sa validité (afin d'empêcher tout réel dommage). Des moyens à la portée de pirates informatiques. Lesquels pourraient ainsi, en les faisant mordre à l'hameçon par "phishing", rediriger à leur insu les internautes vers de faux sites bancaires ou de commerce électronique.
Ancien "M. Sécurité" de VMware Inc. et premier signataire de cette communication, Alexander Sotirov (New York) s'étonne de constater que, "malgré des années d'avertissement", plusieurs autorités de certification continuent d'utiliser cet algorithme. Sur 30 000 certificats de sites Web, les chercheurs en ont en effet trouvé près d'un tiers (9 000) qui employaient DM5 en 2008.
"Les principaux navigateurs et acteurs d'Internet, comme Mozilla et Microsoft, ont été informés de notre découverte et certains ont déjà réagi pour mieux protéger leurs utilisateurs", rassure Arjen Lenstra, responsable du laboratoire de cryptologie algorithmique à l'Ecole polytechnique fédérale de Lausanne. Il n'en considère pas moins comme "impératif" que les systèmes de navigation et les autorités de certification "n'utilisent plus MD5 et migrent vers des alternatives plus robustes". Tel SHA-2, déjà disponible, voire vers son futur successeur, SHA-3.
Catherine Vincent
Posté par : youssef | Article lu: 1723 fois
|
