Erreur de validation de session SSL dans Netscape

18 mai 2000 à 15h02
0
Une erreur qui permet d’empêcher l’affichage de l’alerte au faux certificat SSL, a été décelée dans Netscape Navigator.

Lorsqu’une session SSL est ouverte avec un quelconque serveur Internet, Netscape Navigator en vérifie soigneusement les conditions de certification. Le problème qui vient d’être soulevé se produit lorsque la session SSL est déjà active. Dans ce cas, toutes les connexions http au serveur d’adresses IP sont considérées comme partie intégrante de la session et les certificats ne sont donc pas re-vérifiées. En fait, au lieu de vérifier les noms des machines de la session active, Navigator compare simplement les adresses IP. Et c’est là où le bât blesse puisque plusieurs machines peuvent avoir la même adresse IP. Il existe donc une vulnérabilité potentielle et un comportement non conforme aux normes SSL.

Une attaque peut donc tout à fait être lancée, même si l’attaquant est obligé de rediriger le trafic Internet de l'utilisateur, de sorte que d’une manière générale le « DNS poisoning » ou la reconfiguration des Routeurs soit utilisée.

La plupart des services financiers et des sites de e-commerce qui utilisent la protection SSL tirent une sonnette d’alarme. Le problème découvert aujourd’hui est plus que sérieux, car il pourrait permettre la construction d’un faux site Web que le pirate utiliserait pour effectuer des transactions SSL, trompant le client en lui faisant croire qu’il traite avec le véritable site Web.

Afin de corriger cette erreur, Netscape met à disposition un composant nommé Personal Security manager (PSM). La version 4.73 de Netscape Communicator inclut également un correctif pour cette vulnérabilité.

Réalisé en collaboration avec Panda Software

A découvrir en vidéo

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Starlancer le 24 Mai sur vos écrans
Ouf! Le prochain film Star Wars est sauvé ;o)
Napster: après Metallica, c'est au tour de Dr. Dre
Les proposition de défense de Microsoft rejetées
Voodoo 5 et GeForce 2 GTS en Avignon
Microsoft renforce la sécurité d’Office 2000
Vizzavi : le portail multi accès de Vivendi Vodaphone
Mobiclick lance un service d'achat contextuel pour les mobiles
353% de croissance pour la publicité sur internet en 1999.
Satis lance une version 100% internet de son logiciel de gestion de la relation client.
Haut de page