Erreur de validation de session SSL dans Netscape

01 juin 2018 à 15h36
0
Une erreur qui permet d’empêcher l’affichage de l’alerte au faux certificat SSL, a été décelée dans Netscape Navigator.

Lorsqu’une session SSL est ouverte avec un quelconque serveur Internet, Netscape Navigator en vérifie soigneusement les conditions de certification. Le problème qui vient d’être soulevé se produit lorsque la session SSL est déjà active. Dans ce cas, toutes les connexions http au serveur d’adresses IP sont considérées comme partie intégrante de la session et les certificats ne sont donc pas re-vérifiées. En fait, au lieu de vérifier les noms des machines de la session active, Navigator compare simplement les adresses IP. Et c’est là où le bât blesse puisque plusieurs machines peuvent avoir la même adresse IP. Il existe donc une vulnérabilité potentielle et un comportement non conforme aux normes SSL.

Une attaque peut donc tout à fait être lancée, même si l’attaquant est obligé de rediriger le trafic Internet de l'utilisateur, de sorte que d’une manière générale le « DNS poisoning » ou la reconfiguration des Routeurs soit utilisée.

La plupart des services financiers et des sites de e-commerce qui utilisent la protection SSL tirent une sonnette d’alarme. Le problème découvert aujourd’hui est plus que sérieux, car il pourrait permettre la construction d’un faux site Web que le pirate utiliserait pour effectuer des transactions SSL, trompant le client en lui faisant croire qu’il traite avec le véritable site Web.

Afin de corriger cette erreur, Netscape met à disposition un composant nommé Personal Security manager (PSM). La version 4.73 de Netscape Communicator inclut également un correctif pour cette vulnérabilité.

Réalisé en collaboration avec Panda Software
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Test Android Froyo 2.2 : les nouveautés de la bêta passées au crible
Le portage de Chromium OS débute pour le Raspberry Pi
HTC One A9 : le faux jumeau de l'iPhone 6
Le créateur du Bitcoin n’est finalement pas celui que l’on croyait
On Refait le Mac : premières impressions sur l'iPhone 6
Objectif WAP pour le constructeur français Alcatel
Convergence des réseaux numériques : Quel terminal pour se connecter ?
World online va lancer des services WAP
Mauvaise journée boursière pour les valeurs internet
Havas consolide son rang dans le jeu en ligne
Haut de page