SSLstrip un nouvel outil homographique de Man In the Middle sur le protocole HTTPS

Par Xavier Poli, secuobs.com
Le 24/02/2009

---

Résumé : SSLstrip est un utilitaire implémentant une attaque homographique de type Man in The Middle via l'interception et la redirection du trafic Web d'une victime vers des pages malicieusement forgées caractéristiques des attaques par Phishing. - Lire l'article



SSLstrip vise à implémenter les attaques de l'homme du milieu ( voir notre dossier - lien ) par élimination du protocole HTTPS ( voir notre dossier - lien ) que Moxie Marlinspike ( SSLsnif - lien ), a présentées à Black Hat DC ( lien ). Elle repose sur le détournement du trafic pour rediriger les accès HTTPS vers des pages malicieuses. Le problème est posé par de nombreux sites avec des formulaires d’authentification sur des pages HTTP et des versions HTTP dégradée des services, d’où des opportunités de redirection.

Ces redirections sont de plus ici effectuées en réécriture soit vers des pages HTTP présentant un environnement le plus similaire possible aux pages HTTPS initialement requises, soit vers des pages HTTPS utilisant des techniques homographiques ( IDN Homographic Attack - lien ) ) et de la simulation HTTPS comme la reproduction, au niveau du Favicon ( lien ) de l’icône ( lien ) du navigateur Web indiquant normalement que la connexion est chiffrée en SSL ( lien ) et « sécurisée » d’un point de vue transactionnel.

Pratiquement, cela nécessite tout d’abord que le poste d’attaque utilisé soit en mode transfert pour le trafic HTTP reçu de la victime vers le port d'écoute de SSLstrip, cela doit être effectué à l’aide d'Iptables ( lien ) du projet Netfilter ( lien ). Une fois SSLstrip exécuté, il faut lancer Arpspoof ( lien ) du projet Dsniff ( lien ) afin de forcer la machine attaquée à envoyer son trafic sortant vers la machine d’attaque et cela en usurpant l’adresse MAC ( lien ) du routeur de l’infrastructure.

A ce point de l’attaque, SSLstrip reçoit le trafic Web sortant de la victime et peut dès à présent manipuler les réponses afin de faire croire à la victime qu’elle visite bien la page initialement souhaitée. Cela peut notamment être utilisé à l’encontre des accès vers les services bancaires en ligne dans le but de mener à bien des attaques de type Phishing ( voir notre article – lien ) et récupérer des informations sensibles d’authentification pour ensuite rediriger l’utilisateur vers le site légitime dans un soucis de discrétion et effectuer des opérations frauduleuses.

Les sites mixtes HTTP/HTTPS ne sont pas un exemple de bonne pratique puisque, bien qu’il soit nécessaire d’être sur le réseau de la victime, l’utilisation de SSLstrip sur un nœud du réseau d’anonymisation Tor ( lien ), a permis à l’auteur de subtiliser en vingt quatre heures plus de deux cent cinquante quatre mots de passe pour des sites comme Yahoo, Gmail, PayPal et LinkedIn. Les utilisateurs ont été trompés alors même que les fonctionnalités de simulation homographique HTTPS n'étaient pas activées et que les pages étaient donc clairement accédées en HTTP et non pas en HTTPS.

Pour tromper ces utilisateurs, l’attaque peut ainsi conjointement utiliser une URL type « www.paypal.com╱login╱abcdef.xyz123.cn » qui semble être un page d’authentification légitime pour Paypal, alors que c'est une usurpation et qu'elle pointe vers une page d’un alias (www.paypal.com╱login╱abcdef) du domaine xyz123.cn. Le caractère unicode ( lien ) « ╱ », valide dans un IDN ( Internationalized Domain Names - lien ), ressemble fortement au caractère « / » et est ici utilisé abusivement afin d’induire en erreur les utilisateurs via un certificat SSL valide.

La preuve de concept SSLtrip peut être téléchargée ( lien ) directement sur le site de l’auteur ( lien ), à voir également les diapositives ( lien ) de la présentation à la Black Hat DC 09 et l'enregistrement de la retransmission vidéo ( lien ) ainsi qu’une interview ( lien ) conjointe de Jeff Moss et de Moxie Marlinspike :




Source : Security Bloggers Network ( lien ).