« L’Attaque ROBOT » Exploite Un Bug Vieux De 19 Ans Chez Facebook

Facebook a offert une récompense pour remercier des hackers bienveillants qui avaient légèrement modifié un programme d’attaque vieux de 19 ans visant à voler des comptes d’utilisateurs. Même si le célèbre réseau social a réparé cette faille, les chercheurs nous avertissent que beaucoup de grands sites internet restent vulnérables.

Facebook n’a pas voulu révéler combien il avait payé Hanno Böck, de la Ruhr Universitat Bochum en Allemagne, et ses collègues Juraj Somorovsky et Craig Young pour leur travail. Ces chercheurs ont aussi gardé pour eux le montant de la somme reçue, mais ils ont publié un article de blog sur leur découverte ce mardi, baptisant ce programme « l’attaque ROBOT ». Ils ont remarqué qu’un grand nombre de sites internet (presque un tiers du top 100 de Alexa) étaient encore vulnérables face à ce programme créé par le cryptographe Daniel Bleichenbacher, qui avait trouvé en 1998 des faiblesses dans le chiffrement de sites populaires basés sur des protocoles RSA et SSL (Secure Sockets Layer).

Grâce à ce programme, un hacker envoie continuellement des textes chiffrés (du simple texte qui ressemble à un assemblage aléatoire de lettres et de chiffres) à un serveur. Ce dernier répond à chaque requête par vrai ou faux, selon que le chiffrement du texte soit valide ou pas. Il était donc possible de déterminer quel était le bon chiffrement d’un utilisateur, sans avoir accès à sa clef privée ou à celle du site. Le hacker n’avait qu’à envoyer un très grand nombre de requêtes au serveur jusqu’à générer le bon chiffrement et obtenir la confirmation d’une liaison attendue, c’est-à-dire l’autorisation de partager des information entre utilisateur et serveur sur des lignes chiffrées.

Si un site n’avait pas réglé ce problème correctement, un pirate pouvait en profiter pour se poser en intermédiaire, entre le serveur et l’utilisateur, et ainsi intercepter des informations, comme le mot de passe de l’utilisateur. « Si cette attaque fonctionne, alors tout ce que vous pensez envoyer à Facebook de manière sécurisée ne l’est plus », fait remarquer l’expert en cryptographie Alan Woodward, professeur au département d’informatique de l’Université de Surrey.

Pour prouver qu’une attaque sur Facebook était possible, les chercheurs ont procédé à quelques mises à jour sur le programme de Bleichenbacher pour le rendre plus efficace, avant de signer un message avec la clé privée du certificat HTTPS de Facebook.com. Ils ont donc réussi à se faire passer pour le site internet et à paraître légitimes, mais M. Böck a déclaré à Forbes qu’un hacker devrait « être sacrément rapide pour intercepter la liaison ».

Facebook est à nouveau sécurisé, mais ce n’est pas le cas de tout le monde

Facebook a réglé ce problème en octobre. Un de ses porte-parole a déclaré par e-mail : « Nous remercions les chercheurs qui ont attiré notre attention sur cela. Nous avons rapidement mis fin à ce problème, qui avait été introduit par un patch que nous avions développé, et qui était passé inaperçu lors des tests et de l’audit externe. À notre connaissance, cette brèche de sécurité n’a été exploitée par personne, et nous avons offert une récompense aux chercheurs via notre programme de primes pour détection bugs. Nous avons aussi aidé ces chercheurs à explorer plus avant les conséquences de cette faille pour d’autres services liés à internet ».

En effet, alors que Facebook s’en est occupé il y a deux mois, beaucoup d’autres sites restent vulnérables, d’après M. Böck : « De très grands sites n’ont toujours pas réparé ce défaut, malgré nos avertissements répétés depuis des semaines, mais nous avons décidé de ne pas les forcer ». Paypal serait vulnérable à cette Attaque ROBOT, et a refusé nos demandes de commentaires.

Beaucoup de technologies de serveur internet ont aussi été pointées du doigt par les chercheurs. Ils ont fourni une liste publique pour tous ceux craignant que leur site internet soit vulnérable. Cisco a par exemple publié un avertissement pour ses nombreux produits affectés par ces attaques.

« Le programme de Bleichenbacher n’est pas nouveau, il est donc surprenant de le voir réapparaître, surtout sur des systèmes si développés », a commenté M. Woodward.

« Ces attaques sont difficiles à mettre en œuvre, mais si vous avez eu accès à un point d’accès Wifi ou à un câble de communication important, cela peut-être un problème, a ajouté Matthew Green, expert en cryptographie et assistant au Johns Hopkins Information Security Institute. En pratique, cela ne devrait pas permettre de surveiller les populations, parce que ces attaques sont lentes, mais elles peuvent permettre des interceptions ciblées ».