Dec 30
Collision MD5 sur la signature de certificat SSL
Deux chercheurs viennent de mettre en évidence une faille de sécurité permettant de générer un autorité de certication SSL valide.
Ils ont pour cela utilisé 200 PS3 en réseau pour trouver une collision dans l’algorithme MD5 utilisés pour la signature de certificat.
Concrètement, cela permet de générer des certificats SSL valide pour n’importe quel site Web. Si un attaquant à accès aux flux réseau entre le navigateur Web et le serveur, il pourra usurper l’identité du serveur Web distant.
Il est toutefois important de noter que cela nécessite une puissance de calcul important, et que les détails techniques permettant la reproduction n’ont pas été révélés.
D’autres scénarios d’exploitation plus critique sont envisageables, comme la signature d’applet Java permettant d’exécuter du code coté client.
Il n’existe pas de correctifs pour cette vulnérabilité actuellement.
Un workaround possible serait d’enlever les certificats racines utilisant des signatures MD5, cela aurait comme effet secondaire de casser la chaine de certification SSL.
Lien vers le PPT de la présentation:
http://www.phreedom.org/research/rogue-ca/md5-collisions-1.0.ppt
Site de démonstration (volontairement généré avec un certificat expiré):
https://i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org/
December 31st, 2008 at 5:41 pm
Très intéressant même si c’est qu’une application.
Surtout que 300 PlayStation 3, ce n’est pas si cher quand on voit les bénéfices financiers qu’une telle utilisation pourrait avoir en la combinant avec les divers failles sur les DNS.
A surveiller de pres pour voir si elle ressort dans des attaques réelles.