Le protocole SSL n'est pas aussi sécuritaire qu'on le croit

Lors de sa présentation au
cours du festival Black Hat, le pirate Moxie Marlinspike a démontré à
quel point il est facile de pirater n’importe quel certificat SSL pour
ainsi récolter les informations soumises à un site prétendu sécuritaire.

La
technique démontrée vise à s’immiscer entre une autorité qui délivre
des certificats SSL et le site concerné. Le pirate n’a qu’à générer un
faux certificat, dont il connaît la clé, pour pouvoir décrypter toutes
les informations échangées entre un client et un serveur.

En 24 heures, Marlinspike a pu intercepter les informations lui
permettant d’accéder à 117 comptes de courriel, 16 numéros de carte de
crédit, 7 noms d’usager et mots de passe Paypal et plus de 300 autres
informations confidentielles.

Le festival Black Hat rassemble sur une base régulière les plus
grandes pointures de la sécurité informatique. Cet été, trois étudiants
du MIT y ont démontré comment il était possible de pirater le contrôle d’accès du service de transport en commun du Massachusetts.

Plus d’informations sont disponibles sur le site de Marlinspike, dans une entrevue donnée suite à sa présentation et disponible sur YouTube et dans le diaporama accompagnant sa présentation (en PDF).