Icodia : Optimisez votre expérience sur le web grâce à nos solutions et outils pour webmaster et utilisateurs finaux > Icodia :: solutions/tests > Test de vulnérabilité à la faille CCS de Open SSL - Icodia

Test en ligne de vulnérabilité à la faille «OpenSSL CCS»

Votre site est-il faillible à la faille d'OpenSSL "CCS" ?






Retour aux tests en ligne       Retour aux solutions

À propos de la faille OpenSSL CCS (CVE-2014-0160).

Il s'agit d'une faille touchant toutes les versions d'OpenSSL (sauf les dernières version à jour OpenSSL-1.0.1h / OpenSSL-1.0.0m et OpenSSL-0.9.8za).
Cette faille est assez critique car elle permet le decryptage de l'ensemble du flux SSL.

Lorsqu'une connexion SSL est effectuée, les échanges de paquets contenant notament les clés doivent s'effectuer dans un ordre bien précis. La première partie consiste en deux échanges, ClientHello et ServerHello. Une fois cet échange effectué, le navigateur et le serveur échange "ciphersuites" permettant de connaitre sur quel format de cryptage va se faire la connexion.

Il existe la possibilité d'utiliser "ChangerCipherSpec", afin de modifier à tout moment les clés cryptographiques. Cette séquence doit arriver après in ClientHello et ServerHello. Le problème de la faille réside ici : il est possible d'envoyer "ChangerCipherSpec" avant un "Hello". Dans ce cas, il est possible d'exploiter des clés connues d'avance, et de décrypter ensuite la connexion active.
C'est une injection : l'attaquant injecte "ChangerCipherSpec" coté client ET coté serveur, utilisant des clés connues. La connexion continue à être établie, mais avec des clés prédictives, permettant ensuite à l'attaquant d'avoir en clair toutes les données qui transitent.

Bien que cette faille a été moins médiatisée que la faille dite "heartbleed" (CVE-2014-0160) elle est tout autant critique. Sa faible médiatisation est un facteur aggravant : beaucoup moins d'acteurs on mis à jour leurs serveurs, elle est donc largement plus exploitée surtout qu'elle touche toutes les versions d'OpenSSL.

Quelques liens

Avertissement de sécurité sur OpenSSL.org
Fiche OpenSSL CCS sur le site du CERT
Fiche OpenSSL CCS sur le site du MITRE

Que faire si mon site est faillible ?

Il vous faut impérativement mettre à jour votre version de OpenSSL, si vous n'avez pas les compétences en interne pour gérer cette mise à jour, n'hésitez pas à nous contacter.

Loading.. Chargement en cours...