RAMPage fait partie de ces failles qui ont le privilège d’avoir leur site web dédié. Possiblement présente depuis 2012 (version 4.0 d’Android), elle semble plutôt complexe et difficile à exploiter.
Continuer la lectureArchives de catégorie : Vulnérabilités
Heartbleed
Heartbleed est le nom donné à une faille dans une implémentation d’openSSL.
OpenSSL : c’est quoi ?
Avant toute chose, il faut savoir que SSL (dont les versions récentes s’appellent TLS) est un protocole qui permet de chiffrer des communications sur internet et d’authentifier une machine (un serveur web par exemple). Chiffrer, c’est rendre illisible un message à tous ceux qui ne disposent pas de la clé de déchiffrement. Ce protocole est très utilisé sur internet, et openSSL est un des outils d’implémentation de SSL parmi les plus utilisés.
Quand vous vous connectez de manière sécurisée sur un site web, vous passez par https et plus de la moitié de serveurs web dans le monde utilisent openSSL pour réaliser cette connexion https.
Quelle est la faille ?
La faille permettrait à un attaquant d’avoir accès à certaines données chiffrées lors des communications SSL sur les sites utilisant les versions vulnérables. En conséquence, certains mots de passe (voire certains certificats) pourraient être compromis et donc réutilisés par l’attaquant.
Quel est le composant touché ?
La faille est exploitable quand une version vulnérable d’openSSL est installée sur le serveur web. OpenSSL est un logiciel open source. Seules certaines versions sont vulnérables :
La branche 0.9.8 n’est pas touchée, et la correction est présente à partir de la version 1.0.1g.
Sources
- http://heartbleed.com/
- https://www.openssl.org/news/secadv/20140407.txt
- https://www.20minutes.fr/high-tech/1348577-20140410-heartbleed-faire-proteger-faille-securite-geante
- http://www.lemonde.fr/technologies/article/2014/04/11/faille-heartbleed-les-sites-pour-lesquels-il-est-conseille-de-changer-son-mot-de-passe_4399564_651865.html
- http://www.lemonde.fr/technologies/article/2014/04/09/une-enorme-faille-de-securite-dans-de-nombreux-sites-internet_4397995_651865.html
- https://www.nextinpact.com/news/86941-heartbleed-openssl-et-question-securite-expliques-simplement.htm
StageFright
Dévoilée durant l’été 2015, StageFright est une faille concernant les systèmes Android. Elle a été découverte dans une bibliothèque multimédia servant à lire des vidéos envoyées par MMS, et permettrait de prendre le contrôle du terminal (smartphone ou tablette) à l’insu de l’utilisateur.
Qui est concerné ?
Cette bibliothèque est utilisée par les systèmes Android depuis la version… 2.2, ce qui fait qu’environ 95% des terminaux Android seraient, au final, concernés.
Les versions les plus vulnérables seraient les 2.3 (« Gingerbread ») et 4.0 (« Ice Cream Sandwich »). A l’inverse, les versions plus récentes (ultérieures à 4.0) semblent légèrement moins vulnérables.
Quels sont les problèmes ?
Les principaux problèmes sont de deux natures :
En effet, l’écosystème Android est très fractionné et hétérogène : de multiples versions de l’OS sont actives, et le déploiement des mises-à-jour dépend fortement des partenaires (constructeurs et opérateurs). Il est donc malheureusement possible que le correctif n’atteigneque très lentement (voire jamais) certains terminaux Android.
Et maintenant ?
Suite à cette faille, Google, Samsung et LG se sont engagés sur la voie de mises-à-jour mensuelles du système d’exploitation Android, à l’instar de ce que fait Microsoft. C’est une bonne chose en termes de sécurité, mais cela ne représente qu’une partie seulement des terminaux.
La seule solution efficace (en attendant la correction au niveau système) est de désactiver le chargement automatique des photos et vidéos (principalement dans les applications de gestion de SMS/MMS comme Hangout), et de ne pas lire les SMS/MMS de provenance inconnue. Hélas, là encore, le mode opératoire dépend de la version d’OS Android utilisée… On peut le trouver par exemple chez Avast (
Bug SSL (Apple)
Je classe la vulnérabilité CVE-2014-1266 parmi les énigmes de sécurité informatique, comme l’affaire TrueCrypt, car les circonstances entourant ce bug SSL sont mystérieuses, et n’ont pas l’air d’avoir été éclaircies (en 2018).
Comme son nom l’indique, cette faille a été découverte en 2014.
Poodle
Poodle est le nom donné à une faille inhérente au protocole SSL v3.
Désactivation de SSLv2 et SSLv3 sur Plesk
Sur Plesk, il est possible de désactiver SSL v2 et v3 de façon définitive, grâce à un paramètre disablesslv3 qu’il faut positionner à true. J’avoue avoir eu un peu de mal à trouver comment faire, mais une fois que c’est fait, cela débarrasse de ce boulet !
Pour plus d’informations, il faut aller sur le forum Plesk. Et pour mémoire, voici la manip :
# mysql -uadmin -p`cat /etc/psa/.psa.shadow` -Dpsa -e "insert into misc values('disablesslv3', 'true')"
# /usr/local/psa/admin/bin/httpdmng --reconfigure-all
La 1ère ligne positionne le paramètre, la 2e permet de reconstruire les configurations nécessaires. Pour vérifier, tapez :
# cat /var/www/vhosts/system/*/conf/last_nginx.conf | grep ssl_protocols
Il s’agit de la configuration de nginx, et les vieux SSL doivent avoir disparu.
Voir aussi Logjam.
Freak
Une de plus ! Freak est une faille quasiment de conception de SSL. Une fonctionnalité, diront certains.
Dans les années 1990, l’administration américaine s’inquiétait de la prolifération des systèmes de chiffrement, et craignait de ne plus en avoir le contrôle (comprendre : ne plus pouvoir déchiffrer les messages codés, en cas de besoin). Elle a donc décidée d’interdire l’exportation de tout ce qui était indéchiffrable avec les moyens de l’époque, d’où une limitation de la taille de clés (par exemple).
Les outils se sont adaptés en conséquence, prévoyant un mécanisme spécial « export » qui ramenait automatiquement à des valeurs convenables la complexité du chiffrement lors d’un échange, même si les deux parties pouvaient faire beaucoup mieux.
Avec le temps, cette limitation est tombée, mais le mécanisme servant à réduire la taille des clés a été reconduit dans la plupart des outils utilisés. Et on s’en est rendu compte seulement en 2015, alors que cette fonctionnalité était largement documentée, et n’était même pas cachée1 !
FREAK a touché toutes les bibliothèques SSL/TLS ou applications utilisant SSL/TLS ayant respecté la réglementation… et oublié de supprimé cette limitation quand les règles se sont assouplies. Exemple : openSSL, S-Channel, Chrome…
Liens externes
Logjam
Logjam est une nouvelle faille dans le désormais périlleux chemin de la cryptographie, touchant une étape de négociation lors d’une connexion [[TLS|SSL/TLS]]. Même si, comme Freak, son exploitation n’est pas forcément facile, cela va imposer à moyen terme l’augmentation de la longueur de certaines clés, ou l’utilisation de certains algorithmes à la place de certains jugés trop faibles, ce qui aura surtout pour effet de compliquer encore la vie des webmasters (et des navigateurs web).
En effet, à force d’augmenter la solidité des mécanismes de sécurité, on finit par demander beaucoup de calculs à la fois au serveur et au navigateur ; or tout le monde n’est pas obligatoirement à niveau, et on pourrait finir (par exemple) par rendre certains sites inaccessibles aux utilisateurs dont les ordinateurs (ou les navigateurs web) ne sauraient pas composer avec cette complexité croissante.
Une synthèse, avec un outil de test ainsi que les recommandations à suivre sont ici : weakdh.org.
Désactivation sur Plesk
Sur Plesk, si vous avez une version 2.2 d’Apache couplé à nginx, il faudra un peu ruser pour ne plus être exposé à Logjam. pour plus d »infos, allez voir le forum.
Il faut en premier lieu créer un fichier DH personnalisé, de complexité (longueur) suffisante :
openssl dhparam -out dhparams.pem 2048
Ensuite, il faut un template personnalisé pour ses sites web, dans /usr/local/psa/admin/conf/templates/custom/domain. Le fichier à modifier est nginxDomainVirtualHost.php. Il faut ajouter l’option ssl_dhparam en lui mettant le fichier que l’on vient de créer.
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
ssl_dhparam/dhparams.pem;
Ensuite on reconfigure et ça devrait aller.
# /usr/local/psa/admin/bin/httpdmng --reconfigure-all
Pour vérifier, tapez :
# cat /var/www/vhosts/system/*/conf/last_nginx.conf | grep dh_param
Liens externes
- http://www.nextinpact.com/news/94144-logjam-apres-freak-nouvelle-faille-dans-chiffrement-connexions.htm
- http://forum.odin.com/threads/ssl-poodle-sslv3-bug.323338/#post-761018
- https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf
AMD, des failles
Allez, mettons tout le monde d’accord : AMD aussi à ses failles, tout comme Intel. Et son site dédié, sans quoi une faille n’est pas une faille. Comme souvent, les détails ne sont pas dévoilés1 immédiatement, tant qu’on n’a pas essayé de remédier à ces problèmes, mais cela reste inquiétant.
Continuer la lecture4G
La 4G est un standard pour la communication des téléphones mobiles, dont plusieurs normes sont issues, comme LTE, WiMax, etc. Ce standard est basé sur IP, protocole internet.
Tout ce qui est informatique peut être attaqué
Or, comme je me le fais remarquer judicieusement, tout ce qui est informatique peut être attaqué d’une manière ou d’une autre. Des petits malins chercheurs se sont amusés à disséquer ce standard, et le résultat est implacable : il existe des tas de façons1 de trouer, poutrer, pirater un réseau 4G2. Triste époque.
Et ça va de mal en pis : en 2020, d’autres chercheurs estiment que la 4G LTE est complètement trouée et qu’il faudrait tout changer (émetteurs et récepteurs, donc toutes les antennes radios actuels et tous les smartphones actuels). Il n’y a que moi que ça inquiète ?
- https://www.zdnet.fr/actualites/une-nouvelle-faille-de-securite-decouverte-dans-les-reseaux-4g-39899555.htm
- https://imp4gt-attacks.net/
Icons made by photo3idea_studio from www.flaticon.com
Ghost
Ghost est une vulnérabilité touchant une libraire Linux, qui a été détectée puis… rien. Il a fallu plus d’un an et demi pour que cette faille soit prise en compte.
Liens
- http://securityintelligence.com/wordpress-ghost-vulnerability
- http://www.tomshardware.fr/articles/ghost-faille-linux-glibc,1-55391.html