Si vous pensiez que vos données étaient en sécurité, détrompez-vous. Car selon des études universitaires, il a été constaté qu’en raison de la vulnérabilité de TLS 1.3, les pirates peuvent désormais exploiter un canal sécurisé et peuvent récolter des données à des fins malveillantes.
Le document a été publié par l’Université de Tel Aviv, l’Université d’Adélaïde et l’Université du Michigan ainsi que par l’Institut Weizmann. De plus, NCC Group et Data61 ont également tiré des conclusions similaires.
Les résultats
Cette attaque est une version remaniée de la véritable attaque de l’oracle de Bleichenbacher qui, dans le passé, était capable de décoder un message crypté RSA en utilisant la cryptographie à clé publique.
Cette nouvelle vague, cependant, cherche à travailler contre le TLS 1.3 qui est la dernière version parmi les protocoles TLS. Les autorités pensaient qu’il était sûr mais apparemment il ne l’est pas et c’est alarmant !
Comme le TLS 1.3 ne prend pas en charge l’échange de clés RSA, les chercheurs ont jugé préférable de procéder avec la version downgrade, c’est-à-dire le TLS 1.2, afin d’évaluer l’attaque.
En conséquence, des mesures correctives ont été prises, telles qu’un serveur et deux clients qui contournent l’attaque de niveau inférieur. On peut donc conclure que s’il y avait eu des clés RSA plus importantes, ces attaques auraient pu être évitées et, de plus, le délai d’attente pour la liaison aurait été réduit.
Neuf implémentations différentes de TLS ont été étudiées : OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL et GnuTLS, dont BearSSL et BoringSSL de Google étaient sûrs. Tous les autres restent vulnérables.
Que disent les experts ?
En ce qui concerne le nombre d’attaques, Broderick Perelli-Harris, Sr. directeur de Venafi, estime qu’ils surgissent depuis 1988 sous des variantes de Bleichenbacher. Il n’est donc pas surprenant que le TLS 1.3 soit également vulnérable.
Jake Moore, spécialiste de la cybersécurité à ESET UK, est d’avis que l’attaque de nature cryptographique n’est pas la première et ne sera pas la dernière de ce genre. De plus, il estime que c’est un peu comme le jeu du “Whac-A-Mole” : à chaque fois qu’un correctif de sécurité est appliqué, un autre surgit.
Que peut-on faire ?
Dans l’ensemble, la faille se trouve dans la composition originale du protocole de cryptage TLS. Mais pour l’instant, en raison de la conception même du protocole, la rectification est la seule solution possible.
Que pouvez-vous faire pour vous protéger en attendant ? Utilisez l’authentification à deux facteurs (2FA), maintenez votre logiciel à jour (anti-malware/antivirus, par exemple), définissez des mots de passe plus forts et utilisez un service VPN de qualité comme Ivacy.
