Qu'est-ce que SSL Stripping Attacks ?

SSL Les attaques par stripping (également connues sous le nom de SSL downgrade ou HTTP downgrade attacks) sont un type de cyberattaque au cours de laquelle les pirates rétrogradent une connexion web du protocole HTTPS, plus sûr, au protocole HTTP, moins sûr. Cela rend toutes les communications non cryptées et ouvre la voie à une attaque de type "man-in-the-middle", dans laquelle le pirate se place au milieu d'une conversation pour écouter ou intercepter des informations. SSL stripping peut entraîner des risques de sécurité tels que l'écoute d'informations privées par des pirates ou même la modification de données ou de communications à l'insu d'utilisateurs légitimes.

Cet article couvre tout ce que vous devez savoir sur les attaques de dépouillement de SSL , y compris :

• Qu'est-ce que l'attaque par effeuillage SSL ?
• Comment fonctionnent les attaques de dépouillement de SSL ?
• Quels sont les exemples de fonctionnement des attaques par déshabillage sur le site SSL ?
• Quels sont les risques potentiels des attaques par stripping sur le site SSL ?
• Comment pouvez-vous vous protéger contre les attaques par démembrement de SSL ?

Chaque connexion à un site web nécessite un protocole d'application, qui est soit HTTP, soit HTTPS. Le protocole HTTP est moins sûr car il transmet les informations en clair, tandis que le protocole HTTPS est plus sûr car il crypte toutes les informations. HTTPS crypte les informations grâce à l'utilisation de SSL/TLS, qui agit comme un certificat numérique permettant d'authentifier les identités et de crypter les données.

SSL Les attaques par stripping se produisent lorsqu'un pirate informatique intervient dans la connexion entre un utilisateur et un site web. Le pirate se place au milieu de la connexion, se connectant à la version HTTPS du site et connectant l'utilisateur à la version HTTP du site. Cela lui permet de voir tout ce que l'utilisateur dit en clair.

Moxie Marlinsplike, chercheur en sécurité informatique, a pour la première fois mis en garde contre les possibilités pour les pirates de mener une attaque de type " SSL stripping" lors d'un événement sur la sécurité de l'information en 2009. Il a fait remarquer que ce type d'attaque menaçait considérablement la sécurité car les pirates pouvaient l'exécuter sans être détectés, en temps réel, sur n'importe quel site web, quels que soient les protocoles de sécurité mis en place par ce site.

Lorsque les utilisateurs visitent un site web, ils se connectent d'abord à la version HTTP avant d'être redirigés vers la version HTTPS. Dans les attaques SSL stripping, les pirates s'engouffrent dans cette fenêtre pour agir comme un homme du milieu et empêcher les utilisateurs de se connecter à la version HTTPS du site.

Si l'on va plus loin, chaque connexion internet n'est pas sécurisée au départ. Les utilisateurs doivent visiter un site web avec la version HTTP avant de pouvoir établir une authentification pour passer à la version sécurisée HTTPS. Ces étapes visent à garantir le respect de la vie privée et à vérifier la légitimité des personnes impliquées dans la connexion.

Les pirates peuvent "dénuder" la connexion SSL en s'insérant dans ce processus. Ils agissent alors comme un homme du milieu en établissant leur propre connexion HTTPS avec le site web (en se faisant passer pour l'utilisateur) et en maintenant la connexion HTTP avec l'utilisateur (en se faisant passer pour le site web). Une fois qu'ils ont établi ces connexions, ils peuvent s'asseoir au milieu de la conversation et obtenir tout ce que l'utilisateur soumet sur le site web sous forme de texte en clair. Dans ce cas, non seulement les utilisateurs partagent des informations en clair avec une source illégitime, mais ils peuvent également recevoir des réponses modifiées en retour (puisque le pirate peut modifier la communication en provenance du site web légitime).

Il y a généralement trois façons pour les pirates d'obtenir l'accès nécessaire à l'exécution d'une attaque par démembrement de SSL :

• Serveurs proxy : Les pirates peuvent configurer manuellement le proxy du navigateur d'un utilisateur pour acheminer tout le trafic vers leur propre serveur externe. Cela signifie que chaque requête web de l'utilisateur sera transmise au pirate, qui pourra alors prendre le contrôle et établir des connexions manipulatrices basées sur chaque requête.
• L'usurpation d'adresse (ARP spoofing) : Les pirates se connectent à l'adresse IP d'un utilisateur par le biais d'un message ARP (protocole de résolution d'adresses) usurpé. Une fois qu'ils se sont connectés de cette manière, ils peuvent recevoir toutes les données destinées à l'adresse IP de l'utilisateur légitime.
• Accès au réseau : Les pirates peuvent créer un faux réseau wifi public et, une fois que les utilisateurs se connectent à ce réseau, ils peuvent contrôler toutes les communications qui s'y déroulent. Si les pirates peuvent accéder à n'importe quel réseau sécurisé, ils peuvent également exécuter l'attaque de la même manière.

SSL Les attaques par stripping peuvent prendre de nombreuses formes, mais voici trois exemples de leur fonctionnement en action.

Alice travaille au service clientèle de son entreprise et doit se rendre sur un site qu'elle utilise souvent pour donner des détails sur les conversations qu'elle a eues récemment avec des clients. À son insu, elle reste sur la version HTTP du site au lieu de s'authentifier sur la version HTTPS du site parce qu'un pirate informatique est assis au milieu de cette connexion. Désormais, tout ce qu'elle saisit est partagé sans aucun cryptage, ce qui l'expose directement au pirate.

Dans le cadre de son travail, Alice saisit des informations sur ses clients, notamment leur nom complet, leur adresse et leur numéro de compte. Le pirate informatique qui se trouve de l'autre côté a désormais accès à ces informations et peut les utiliser pour se faire passer pour ces clients.

Bob veut faire quelques achats en ligne pendant qu'il est assis dans un café. Il se connecte donc au réseau wifi public du magasin et visite son site de commerce électronique préféré. Les pages de chemises qu'il parcourt n'ont pas de cadenas dans la barre d'URL pour indiquer qu'elles sont sécurisées, mais il pense que ce n'est pas grave puisqu'il ne fait que regarder les chemises et n'entre aucune information. 

Après avoir passé un certain temps sur le site, il trouve trois chemises qui lui plaisent et les ajoute à son panier. À ce stade, il a oublié le cadenas manquant et ajoute les détails de sa carte de crédit et son adresse de facturation pour terminer la transaction. Après 50 000 dollars de frais frauduleux, Bob apprend qu'un pirate informatique a en fait interrompu sa connexion avec la version sécurisée du site de commerce électronique, ce qui a exposé les données de la carte de crédit et l'adresse de facturation de Bob.

Marie travaille au service financier de son entreprise et on lui demande d'effectuer un remboursement à un client. Elle se rend sur le site web de la communauté des clients de l'entreprise pour envoyer un message au client concernant le délai de remboursement et confirmer qu'elle dispose des informations correctes sur l'endroit où envoyer le remboursement. Le client répond qu'il a en fait un nouveau compte et demande si elle peut lui envoyer le remboursement à cet endroit. Elle envoie un test pour vérifier le compte, puis effectue le remboursement en conséquence.

Ce que Mary n'a pas réalisé au cours de cette conversation, c'est qu'elle se trouvait sur une version HTTP non sécurisée de la communauté de clients plutôt que sur la version HTTPS sécurisée. Il s'avère qu'un pirate avait précédemment établi un serveur proxy sur son ordinateur pour acheminer tout le trafic vers son propre serveur, ce qui lui permettait de supprimer le site SSL de sa connexion à la communauté de clients. Une fois la connexion établie, le pirate a intercepté les communications de Mary et a envoyé ses propres informations bancaires pour recevoir le remboursement, tout en se faisant passer pour Mary auprès du véritable client et en lui disant que l'entreprise ne serait pas en mesure d'honorer le remboursement.

SSL Les attaques de type "stripping" sont extrêmement dangereuses, car elles se produisent souvent à l'insu de l'utilisateur. Cela signifie que les utilisateurs ne modifieront pas leur comportement parce qu'ils ne se rendent pas compte que quelque chose ne va pas. En cours de route, ces attaques présentent des risques graves, notamment

Avec les attaques de type "stripping" de SSL , tout ce que les utilisateurs envoient à un site web est accessible aux pirates et à toute autre personne parce qu'il est envoyé en clair et n'est pas crypté. Cela peut facilement conduire au vol d'informations, y compris la propriété intellectuelle et les informations sensibles et personnellement identifiables concernant l'utilisateur ou les clients d'une entreprise...

SSL Les attaques par stripping ne permettent pas seulement aux pirates d'intercepter les informations que les utilisateurs envoient à un site web, elles leur permettent également de faire l'inverse et de modifier les communications entre le site web et l'utilisateur.

Cela signifie que les utilisateurs peuvent recevoir des communications inexactes en retour du site web parce qu'elles ont été modifiées en cours de route par le pirate. La réception de fausses informations de cette manière peut amener les utilisateurs à prendre des mesures totalement différentes de celles qu'ils auraient prises, ce qui entraîne un certain nombre de menaces pour les particuliers comme pour les entreprises.

Le vol des identifiants de connexion des utilisateurs par le biais d'une attaque de type "man in the middle" peut également permettre aux pirates d'accéder à un certain nombre de systèmes supplémentaires. Cela signifie que même si un seul système est susceptible d'être attaqué, cela peut rendre d'autres systèmes plus sûrs plus vulnérables. Dans l'ensemble, cette situation exige que les équipes de sécurité des organisations veillent à ce qu'il n'y ait aucun maillon faible, même si un point de connexion donné peut sembler anodin.

Malgré le risque sérieux que représentent les attaques par démembrement de SSL , les organisations peuvent prendre plusieurs mesures pour s'en prémunir. Voici quelques-unes des meilleures façons de se protéger contre les attaques par démembrement de SSL :

Il est courant d'activer SSL sur toutes les pages web qui demandent aux utilisateurs de saisir des informations, ce qui est un bon début. Mais la meilleure pratique consiste à activer SSL sur l'ensemble de votre site web, même sur les pages qui ne demandent pas aux utilisateurs de saisir des informations, afin de garantir une protection plus complète en évitant toute faille dans le passage de HTTP à HTTPS.

Lorsque vous activez SSL sur l'ensemble du site, les navigateurs modernes signalent même un problème aux utilisateurs s'ils ne peuvent pas vérifier le certificat du site pour se connecter via HTTPS. Cela permet d'avertir les utilisateurs que la poursuite de la connexion peut les rendre vulnérables à une attaque.

HSTS signifie HTTP Strict Transport Security et crée une politique selon laquelle le navigateur ne doit pas ouvrir une page qui n'a pas de connexion HTTPS et doit rediriger les utilisateurs de la version HTTP du site vers la version HTTPS du site lorsque c'est possible. La mise en œuvre de ce type de politique sur tous les appareils appartenant à l'entreprise empêche les utilisateurs de visiter des sites web non sécurisés, car cela signifie qu'ils ne pourront pas ouvrir une page avec une connexion HTTP.

Tous les sites web utilisent des cookies pour identifier et mémoriser les utilisateurs au cours de leur session. Activer les cookies sécurisés pour tous les utilisateurs de votre entreprise signifie que tous les cookies utilisés par leurs navigateurs auront des attributs sécurisés et ne pourront être envoyés que par des connexions HTTPS sécurisées, et non par des connexions HTTP non sécurisées.

Enfin, l'éducation des utilisateurs sur les vulnérabilités potentielles peut également s'avérer très utile. L'un des points les plus importants de l'éducation est de demander aux utilisateurs de ne pas se connecter aux réseaux wifi publics et de toujours utiliser une connexion VPN à la place. En outre, il est utile de partager les signes d'alerte avec les utilisateurs, en les encourageant par exemple à vérifier l'URL de tout site web qu'ils visitent pour s'assurer qu'il affiche HTTPS au lieu de HTTP et à prêter attention au cadenas dans la barre d'URL, qui sera déverrouillé ou rouge si la connexion n'est pas sécurisée.