Quand le web marchand voyou se crée sans se faire repérer

Par 31 décembre 2008

En utilisant encore l'algorithme MD5, les navigateurs et les autorités de certification faciliteraient la création de techniques indétectables de phishing.

De l'hameçonnage plus vrai que nature. "Une autorité de certification pirate, combinée à une faiblesse bien connue du protocole DNS, ouvre la porte à des attaques de phishing indétectables". Ce n'est pas de la science-fiction, mais plutôt de l'anticipation. Avec le système mis au point par une équipe internationale de chercheurs (*) il serait possible de mener les internautes vers des sites copiant parfaitement ceux des leurs banques ou de leurs cybercommerçants préférés. Le navigateur, lui, pourrait recevoir et faire confiance à un certificat forgé de toutes pièces.
MD5 est fini
Et d'un point de vue matériel, ledit système n'est pas inatteignable pour des escrocs : il a suffit de mettre en grappe deux cents consoles de jeux vendues dans le commerce. Le fautif ? MD5. Cet algorithme de hachage inventé au début des années 90 a pourtant connu des premières faiblesses en 1994. En 2004, il avait alors été démontré que dans certaines conditions, il était possible de lui faire générer le même condensa à partir de deux documents différents. C'est ce que les experts appellent une attaque par collision. En 2007, il avait presque reçu le coup de grâce. En cette fin d'année, le coup de grâce est donné. MD5 permet la création d'une fausse Autorité de Certification. Celle-ci signe, publie et maintient les certificats et les listes de révocation.
Les éditeurs de browser sont au courant
Son infrastructure de gestion des clefs (PKI) est censée assurer que les données - numéro de carte bancaire, informations personnelles ou identifiant de la machine - transmises n'ont pas été modifiées durant le transfert et qu'elles proviennent bien de l'émetteur connu : utilisation de clés et répudiation. En France, il s'agit de sociétés comme Certinomis, Keynectis ou encore Verisign. Pas de panique pour autant : la fondation Mozilla (FireFox) et Microsoft (Internet Explorer) ont été avertis, et auraient commencé à intégrer des correctifs. Et les dernières autorités de certifications qui utilisent encore l'algorithme vieillissant devraient rapidement le remplacer définitivement par ses successeurs de la famille de SHA (Secure Hash Algorithm).
(*) en Californie, au Centrum Wiskunde & Informatica (CWI) et au Eindhoven University of Technology (TU/e) des Pays-Bas, à l'EPFL en Suisse.

Mentions légales © L’Atelier BNP Paribas