ALERTE - Vulnérabilité dans implémenations de TLS (13.12.17)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE - Vulnérabilité dans implémenations de TLS (13.12.17)

Messagede pierre » 14 12 2017

ALERTE - Vulnérabilité dans des implémenations de TLS

Version initiale de l'alerte
13 décembre 2017

Version révisée de l'alerte
02 février 2018

Source
robotattack.org
https://robotattack.org/

Return Of Bleichenbacher’s Oracle Threat (ROBOT)
https://eprint.iacr.org/2017/1189.pdf

Risque(s)
Atteinte à la confidentialité des données

Systèmes affectés
Se référer à la liste des produits affectés sur le site du kd.cert.org (cf. section Documentation)

Résumé
En 1998, le chercheur Daniel Bleichenbacher a découvert une vulnérabilité dans des implémentations du chiffrement RSA PKCS #1 v1.5 utilisé dans SSL.

Celle-ci permet une attaque à texte chiffré choisi. Après avoir passivement intercepté les communications entre un client et un serveur, un attaquant peut envoyer des requêtes mal formées à ce serveur, chiffrées avec la clé publique de celui-ci, dans le but d'obtenir des informations en fonction des messages d'erreurs reçus. Au bout d'un certain nombre de requêtes, l'attaquant est en mesure, sans deviner la clé privée, de récupérer la clé de session dans ses captures préalables et ainsi pouvoir déchiffrer les communications. Suivant les implémentations, ce nombre de requêtes varie de plusieurs dizaines de milliers à quelques millions. Cette attaque permet également de faire signer des messages arbitraires par le serveur.

Le 12 décembre 2017, des chercheurs ont publié leurs travaux sur cette vulnérabilité par le biais d'un site internet (cf. section Documentation) et d'un papier blanc (cf. section Documentation). En scannant internet, ils ont découvert que de nombreuses implémentations de piles TLS sont encore vulnérables, soit parce qu'elles n'ont pas été mises à jour, soit parce qu'il n'a pas été tenu compte des contre-mesures existantes.

Ces chercheurs estiment qu'une attaque de l'intercepteur actif (Mitm) est peu pratique à mettre en oeuvre à cause du temps requis pour récupérer la clé de session. En effet, celui-ci est de l'ordre de plusieurs secondes ; cela est suffisant pour une attaque hors ligne, mais trop long pour se placer discrètement dans une communication. Ils recommandent de désactiver le chiffrement RSA au profit de l'utilisation de l'algorithme de Diffie-Hellman en courbes elliptiques.

Contournement provisoire
Le CERT-FR recommande l'utilisation des outils fournis par les chercheurs sur leur site (cf. section Documentation) afin de déterminer si des équipements sont vulnérables. D'un point de vue opérationnel, la désactivation du chiffrement RSA peut s'avérer compliquée. Il est aussi possible de surveiller les communications réseaux pour détecter des pics d'envois de messages erronés.

En cas de présence d'équipement vulnérable, les communications ne peuvent plus être considérées comme confidentielles. De même, on ne peut plus faire confiance aux messages signés par un serveur vulnérable.

Les chercheurs ont annoncé qu'ils disposaient d'une preuve de concept. Pour l'instant, celle-ci n'est pas disponible publiquement, mais ils ont annoncé qu'ils comptaient la publier après avoir laissé du temps supplémentaire aux constructeurs pour corriger cette faille.

Le CERT-FR recommande l'installation des correctifs dès que ceux-ci sont disponibles.

Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation
robotattack.org
https://robotattack.org/

Return Of Bleichenbacher’s Oracle Threat (ROBOT)
https://eprint.iacr.org/2017/1189.pdf

Liste étendue de produits affectés
https://www.kb.cert.org/vuls/byvendor?s ... rchOrder=4

Avis CERT-FR CERTFR-2017-AVI-462
https://www.cert.ssi.gouv.fr/avis/CERTFR-2017-AVI-462/

Avis CERT-FR CERTFR-2017-AVI-463
https://www.cert.ssi.gouv.fr/avis/CERTFR-2017-AVI-463/

Avis de sécurité Aruba ARUBA-PSA-2018-002 du 30 janvier 2018
http://www.arubanetworks.com/assets/ale ... 18-002.txt

Référence CVE CVE-2012-5081
http://cve.mitre.org/cgi-bin/cvename.cg ... -2012-5081

Référence CVE CVE-2016-6883
http://cve.mitre.org/cgi-bin/cvename.cg ... -2016-6883

Référence CVE CVE-2017-1000385
http://cve.mitre.org/cgi-bin/cvename.cg ... 17-1000385

Référence CVE CVE-2017-13098
http://cve.mitre.org/cgi-bin/cvename.cg ... 2017-13098

Référence CVE CVE-2017-13099
http://cve.mitre.org/cgi-bin/cvename.cg ... 2017-13099

Référence CVE CVE-2017-17382
http://cve.mitre.org/cgi-bin/cvename.cg ... 2017-17382

Référence CVE CVE-2017-17427
http://cve.mitre.org/cgi-bin/cvename.cg ... 2017-17427

Référence CVE CVE-2017-17428
http://cve.mitre.org/cgi-bin/cvename.cg ... 2017-17428

Référence CVE CVE-2017-6168
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-6168
Avatar de l’utilisateur
pierre
 
Messages: 22705
Inscription: 20 05 2002
Localisation: Ici et maintenant


Re: ALERTE - Vulnérabilité dans implémenations de TLS (13.12

Messagede consultant office » 08 02 2018

A votre attention cette information viens en aide aux personnes victimes d'arnaques sur internet


Depuis le début de l’année 2016 et 2017 SCOCI en collaboration avec la gendarmerie française a enregistré un nombre considérable de plaintes d’où certains escrocs arnaques nos paisible population à travers des sites de rencontre et d'annonce de ventes .


L'Interpol est une organisation fédérale mondiale de la police qui à pour but d’arrêter les criminelles de tout genre et donc ne peut intervenir en faveur des victimes pour toutes formes escroqueries sur le net. Mais compte tenu de la situation l’administration fédérale en collaboration avec les Etats membres de l'union Africaine.Alors si vous avez été arnaqué sur la toile d'une : grosse somme d'argent veuillez nous contacter nous laisser un SMS.


Telephone : EUROPE : bip bip bip / AFRIQUE : bip bip bip

Emails : bip bip bip@bip bip bip.com ou bip bip bip@bip bip bip.bzh

Edit : Pierre

L'offre ci-dessus est une :

Escroquerie à l'assistance aux victimes d'escroqueries

A priori, c'est de bon conseil et c'est plein d'espoir. Seulement, il faut cesser d'être naïf et cesser de ne jamais lire entre les lignes !

La confiance, sur le Web, c'est la clé qui ouvre la porte des enfers.
Ne jamais avoir confiance - Ne jamais faire confiance


Lisons celà :

Déjà, c'est bourré de fautes, donc, rien qu'à cela, cette attaque va direct à la poubelle.

Regardez bien l'adresse e-Mail donnée ! Est-ce que vous imaginez Interpol (une organisation internationale créée le 07.09.1923 dans le but de promouvoir la coopération policière internationale) avoir une adresse e-Mail sur le service de messagerie poubelle de Google : gmail !

Regardez bien la seconde adresse e-Mail donnée ! Est-ce que vous imaginez Interpol avoir une adresse e-Mail sur le service de messagerie de notre belle Bretagne bretonnante : bzh ! (bzh est un domaine de premier niveau pour la communauté bretonne et BZH, en majuscules, est un abréviation (et une revendication) signifiant Bretagne (Breizh en breton) ! L'adrese e-mail est, en plus, sur un sous-domaine consacré aux contes et légendes arthuriennes !

D'autre part, si vous ne pouvez pas le faire (il faut être administrateur ou modérateur d'un forum pour y avoir accès), demandez aux modérateurs du forum sur lequel vous avez trouvé ce message, l'adresse IP utilisée (l'emplacement de l'ordinateur utilisé) lors de l'inscription de ce membre qui offre son aide au plus grand nombre. Dans le cas ci-dessus, l'adresse est au Canada, mais, souvent, cette adresse IP se trouve dans un intervalle d'adresses IPs attribué à un fournisseur d'accès Internet au Bénin ou par là.

Toutes les organisations internationales et les traités internationaux ont leurs sites et adresses e-Mail exclusivement en .int, certainement pas en .com ou .org ou .net ou .fr ou .tv, etc. ...


Europol et Interpol ne poursuivent et n'arrêtent personne !
En Europe, l'office Europol, qui siège à La Haye, joue ainsi un rôle-clé pour tous les délits transfrontaliers commis dans l'espace européen. Au niveau mondial, Interpol offre un système de communication informatique commun à tous les pays membres ainsi qu'une base internationale pour les données criminelles. Ils servent de plaque tournante et synchronisation entre les différentes polices nationales qui, elles, et elles seules, interviennent.

On ne peut pas porter plainte auprès d'Europol ou d'Interpol, ni même les solliciter. Ces organismes internationaux n'ont aucune relation avec le public.

Porter plainte
consultant office
 
Messages: 2
Inscription: 08 02 2018

Re: ALERTE - Vulnérabilité dans implémenations de TLS (13.12

Messagede pierre » 08 02 2018

Si vous avez lu le message précédent avant ma mise au point, relisez-le maintenant.
Avatar de l’utilisateur
pierre
 
Messages: 22705
Inscription: 20 05 2002
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 8 invités