Erreur de validation de session SSL dans Netscape

Une erreur qui permet d’empêcher l’affichage de l’alerte au faux certificat SSL, a été décelée dans Netscape Navigator.

Lorsqu’une session SSL est ouverte avec un quelconque serveur Internet, Netscape Navigator en vérifie soigneusement les conditions de certification. Le problème qui vient d’être soulevé se produit lorsque la session SSL est déjà active. Dans ce cas, toutes les connexions http au serveur d’adresses IP sont considérées comme partie intégrante de la session et les certificats ne sont donc pas re-vérifiées. En fait, au lieu de vérifier les noms des machines de la session active, Navigator compare simplement les adresses IP. Et c’est là où le bât blesse puisque plusieurs machines peuvent avoir la même adresse IP. Il existe donc une vulnérabilité potentielle et un comportement non conforme aux normes SSL.

Une attaque peut donc tout à fait être lancée, même si l’attaquant est obligé de rediriger le trafic Internet de l'utilisateur, de sorte que d’une manière générale le « DNS poisoning » ou la reconfiguration des Routeurs soit utilisée.

La plupart des services financiers et des sites de e-commerce qui utilisent la protection SSL tirent une sonnette d’alarme. Le problème découvert aujourd’hui est plus que sérieux, car il pourrait permettre la construction d’un faux site Web que le pirate utiliserait pour effectuer des transactions SSL, trompant le client en lui faisant croire qu’il traite avec le véritable site Web.

Afin de corriger cette erreur, Netscape met à disposition un composant nommé Personal Security manager (PSM). La version 4.73 de Netscape Communicator inclut également un correctif pour cette vulnérabilité.

Réalisé en collaboration avec Panda Software