SSL battu par une armée de PS3 ?
Un article (en anglais) sur engadget.com révèle qu’un cluster de 200 PS3 a réussi a mettre en péril la sécurité fournie par le SSL (ou TLS).
Plus exactement, ils ont réussi a exploiter une faiblesse dans l’algorithme MD5 pour créer une fausse Autorité de Certification (CA) .
Créer une fausse autorité de Certification ne permet pas à priori d’espionner une connexion sécurisée correctement établie entre un serveur et un client, tout du moins cela ne permet pas de décrypter les packets qui pourraient être intercéptés.
Néanmoins, cela entraine le risque de prendre un serveur malicieux pour le serveur désiré (par la création d’un certificat factice). Ainsi, en cas de compromission d’un serveur DNS (pour faire pointer un nom de domaine sur un serveur malicieux), la technologie SSL ne permetrait plus de détecter dans tout les cas qu’il s’agit d’un mauvais serveur (puisqu’un certificat semblant valide pourrait être présenté). Cela ouvre la porte à des attaques de type phishing ou de type “man in the middle“.
Rappelons qu’en règle générale, il convient d’accorder une confiance modérée à l’algorithme MD5, auquel on peut déjà préférer SHA-1 ou encore mieux ses évolutions.
