Exploitation de collisions MD5 pour des faux certificats générés dans la perfection de l'art

Par Xavier Poli, secuobs.com
Le 31/12/2008

---

Résumé : Des chercheurs viennent de présenter lors du 25c3 une attaque qui permet de contourner les infrastructures PKI en réalisant de faux certificats plus vrais que nature à l'aide de collisions MD5 réalisées au sein d'un cluster de deux cents consoles Playstation 3. - Lire l'article



Des chercheurs ont réussi à exploiter une vulnérabilité dans les infrastructures de gestion de clés publiques ( voir notre dossier - lien ) ; les PKI sont des infrastructures complexes permettant de réaliser l’ensemble des opérations (création, signature, renouvellement, révocation, publication) relatives à la gestion des certificats numériques que l’on peut par exemple retrouver sur les sites web offrant une version chiffrée à l'aide de SSL.

Ces certificats permettent alors de garantir l’authenticité des services de nature sensible accessibles via le protocole HTTPS ( voir notre dossier - lien ) ; des services comme la gestion en ligne des comptes bancaires ou les opérations de paiement effectuées par l’intermédiaire de sites de commerce électronique. Le problème posée par cette attaque se situe en fait ici au niveau de l’étape de signature de ces certificats.

De nombreuses autorités de certification continuent à l’heure actuelle à utiliser les fonctions cryptographiques de hachage MD5 ( lien ) pour effectuer ces opérations de signature alors que les faiblesses de MD5 sont connues ( lien ) depuis des années ; parmi les autorités de certification qui se trouvent encore dans ce cas on retrouve notamment RapidSSL, FreeSSL, TrustCenter, RSA Data Security, Thawte et verisign.co.jp soit plusieurs acteurs majeurs de ce marché.

Les fonctions de hachage MD5 permettent de signer numériquement des contenus et de procéder à des contrôles d’intégrité des données ; leurs faiblesses permettent en fait la création de collisions, offrant ainsi la possibilité à un attaquant d’obtenir deux fichiers différents qui présentent une même signature. Etant relatives à sa conception propre, aucun correctif n’est à prévoir puisque cela ne peut pas être corrigé. Elles ont notamment été publiées dès 2004, chaque année apportant son lot de découverte.

Cependant aucune exploitation pratique de ces collisions n’avait été réellement effectuée auparavant. Un faux certificat permet alors d’usurper l’identité de sites web sensibles tels que ceux cités précédemment afin d’induire en erreur leurs usagers réguliers ; le navigateur web présentera ce certificat comme légitime puisque signé par une autorité de certification de confiance, aucune alerte ne sera remontée à l’utilisateur.

Dès 1996, le cryptologue allemand Hans Dobbertin avertissait que MD5 pouvait être théoriquement cassé ( lien ) alors que seulement deux ans plus tard le gouvernement américain retirait la certification de sécurité de MD5. L’utilisation des fonctions de hachage qui reposent sur SHA-1 ( lien ) et SHA-256 ( lien ) est depuis longtemps vivement recommandée, néanmoins de nombreuses applications continuent à utiliser le MD5 pour ce type d’opération.

Dans ce contexte, il est alors possible de procéder à des attaques de type homme du milieu, ou MITM ( voir notre dossier - lien ), proches de la perfection dès lors que l’on pourra coupler ces certificats avec d’autres attaques comme le DNS Cache Poisonning ( lien ) et l’ARP Cache Poisonning ( voir notre dossier - lien ), le Phishing ( lien ) et les modifications de DNS par Rogue DHCP ( lien ).

L’utilisateur pensera lui que ses transactions sont réalisées de manière parfaitement sécurisée puisqu’elles seront sous le couvert de l’utilisation du chiffrement SSL et d’un certificat apparaissant comme valide en tout point ; l'état du cadenas, icône SSL du navigateur, faisant foi de la légitimité de la situation transactionnelle. Est-ce la fin de la sécurité sur Internet pour autant ?

Non pas vraiment, premièrement l’ensemble des autorités de certification devraient sous peu remplacer les fonctions de hachage MD5 par celles utilisant SHA-1 et plus tard par SHA-256 quand SHA-1 sera cassé à son tour puis SHA-384, SHA-512, etc. Il sera ensuite nécessaire de révoquer l’ensemble des certificats utilisant une signature MD5 puis de les régénérer ; une fonction d’alerte sur les certificats signés par MD5 pourraient également être intégrée au niveau des navigateurs Web les plus populaires.

De plus il a été nécessaire que les chercheurs utilisent un cluster de deux-cents consoles Playstation 3 ( ps3cluster how-to - lien ) pour arriver à leur fin dans des délais compris entre un et trois jours. Selon eux, quelques optimisations seraient envisageables afin d’obtenir un délai moyen d’une journée via l’utilisation du service EC2 ( lien ) d’Amazon pour un prix équivalent à deux milles dollars US.

Cette attaque n’est pas à la portée de tout le monde, exception faite des propriétaires de Botnet ( lien ). Une preuve de concept pour cette nouvelle attaque est par ailleurs déjà disponible en ligne ( lien ), l’expiration du faux certificat ( lien ) à aout 2004 que l'on peut constater est une mesure de sécurité volontaire mais en rien cela ne constitue une limitation.

Ce faux peut être comparé avec le certificat initial et authentique ( lien ) afin de s'assurer de la faisabilité de l'attaque. De nombreuses informations techniques complémentaires sont disponibles sur cette page ( lien ) et notamment en ce qui concerne la prédictibilité des dates d'expiration et celle des numéros de série dont la génération ne semble pas toujours très aléatoire ; des éléments nécessaires à la génération du faux certificat.

Les chercheurs n’ont cependant pas souhaité divulguer l’ensemble des détails techniques, ni publier les outils d’implémentation tant que les autorités de certification ne seront pas prêtes à garantir la sécurité des utilisateurs d'Internet ; bien sûr l’ensemble des services basés sur l’utilisation des certificats de ce type sont vulnérables à cette attaque.

La signature des emails et des objets numériques en général restent des cibles potentielles. Les diapositives de cette présentation, réalisée lors de la conférence 25c3 ( lien ) par Alexander Sotirov, Marc Stevens et Jacob Appelbaum, sont également consultables en ligne ( lien ).

Une vidéo de l'ensemble de la retransmission temps réel ( streaming - lien ) peut quant à elle être téléchargée dès maintenant sur le site The Pirate Bay ( lien ) à l’aide du protocole Bitorrent qui ne sert apparemment pas qu’à télécharger des œuvres sous régime du droit d’auteur, n’en déplaise à certains ( lien ).

Source : Chaos Computer Club ( lien )