DROWN : 11 millions de sites Web en danger : et le vôtre ?

8 Avril 2016

3 min de lecture

Une nouvelle attaque ciblée sur les protocoles de transfert de données sur Internet pourrait compromettre 11 millions de serveurs Web. Voici les informations nécessaires et les solutions possibles.

DROWN : 11 millions de sites Web en danger : et le vôtre ? (Desktop)

Les failles de sécurité ne datent pas d'hier. Les pirates exposent des millions de données sensibles de nombreux sites, tels qu'Ashley Madison ou TalkTalk, entre autres. Et pourtant, le pire est peut-être à venir.

Une nouvelle attaque visant les protocoles de transfert de données sur Internet menace la sécurité d'un tiers de l'ensemble des serveurs Web sécurisés, selon les chercheurs ayant détecté la faille. Leurs résultats comprennent une longue liste de sites populaires en danger, que vous pouvez trouver ici. D'autres estiment que quelque 11 millions de machines pourraient subir les conséquences de cette attaque.

Baptisé DROWN (sigle anglais pour « décrypter RSA avec un chiffrement obsolète et faible »), ce type d'attaque est perçu par certains comme la deuxième génération du ver informatique Heartbleed, qui a infiltré des dizaines de milliers de serveurs et d'institutions majeures il y a deux ans, y compris l'administration fiscale nationale du Canada et les archives de l'un des plus grands fournisseurs de données liées à la santé aux États-Unis.

Exploitation des failles dans le chiffrement

En résumé, DROWN entre dans la catégorie des attaques « cross-protocol » qui exploitent une faille de sécurité d'un protocole des années 1990 connu sous le nom de SSLv2, afin d'exposer les sessions protégées par une alternative moderne appelée TLS (Transport Layer Security).

Les clés ouvrent la porte aux attaques DROWN. Les administrateurs informatiques configurent en général les serveurs sécurisés avec la même clé privée RSA pour déchiffrer les informations transférées sur le réseau, même si un protocole (SSLv2) est sensiblement plus faible que les autres. C'est comme si vous utilisiez la même clé pour ouvrir la porte d'entrée et celle de l'autre côté de votre maison.

Les mesures à prendre

La bonne nouvelle est que les chercheurs ont décidé de ne pas révéler le code de l'attaque DROWN tant que davantage de serveurs n'ont pas été mis à niveau. Vérifiez la sécurité de votre infrastructure ici.

Entre-temps, le groupe OpenSSL, responsable de nombreuses bibliothèques de logiciels sécurisées utilisées par les serveurs Web (dont le vôtre fait peut-être partie), a proposé une mise à jour pour contrer non seulement l'attaque DROWN, mais aussi d'autres failles pouvant engendrer des attaques moins importantes, mais tout de même néfastes.

CacheBleed, par exemple, est une faille dans SSLv2 qui permet aux pirates d'espionner les serveurs et les sessions de chiffrement. Mettre à niveau vers SSLv3 est une première étape judicieuse pour remédier aux menaces de DROWN et de CacheBleed, que votre infrastructure utilise OpenSSL, Microsoft Windows Server, Network Security Services, Apache ou tout autre type de serveur Web.

Vous devriez également dresser l'inventaire de tout votre réseau et désactiver SSLv2 partout, selon Jan Schaumann, expert en sécurité de l'information et assistant en informatique à l'institut de technologie Stevens, dans le New Jersey. Il est tout aussi essentiel de prêter une attention particulière lors de la réutilisation des certificats de sécurité, puisque les pirates s'en prennent aux politiques négligées.

Un retour sur investissement effrayant

Avec DROWN, les chercheurs sont parvenus à pirater certains sites en moins d'une minute, à l'aide d'un ordinateur doté d'une seule unité centrale. Pour être exploitées, les autres failles nécessitaient environ 390 € pour avoir recours au cloud Amazon EC2. Dans les deux cas, les pirates, ayant pris les bons serveurs pour cible, ont pu profiter d'un retour sur investissement considérable.

« Il y aura toujours de grandes vulnérabilités », explique J. Schaumann.

« Mais lorsqu'elles sont découvertes dans un logiciel aussi répandu et aussi essentiel au fonctionnement du Web et à l'économie qui en dépend, les conséquences prennent rapidement de l'ampleur. »
Imprimer
Cyber Security eBook