HTTPS n’aura plus de secret pour vous

Présentation

• Grégory Paul
• Développeur Web
  (JavaScript, sécurité, hack/DIY)
• https://paulgreg.me

• 
• cartes, itinéraires, vues immersives (en webGL), ~4 500 000 POI, web2store
• ~ 1 000 000 visites par jour

HTTPS ?

SSL/TLS

HTTP

Sommaire

• Pourquoi HTTPS ?
• Objectifs d’HTTPS
• Poignée de main
• Authentification
• Attaques
• Après HTTPS
• Performances
• Conclusion

Dans un réseau typique...

Pour éviter l’interception de traffic

Pour éviter l’interception de traffic

Pour éviter l’interception de traffic

Pour éviter de se faire voler ses cookies

Pour se protéger des FAI malveillants

Pour se protéger des FAI malveillants

• blocage de pub Google par Free en mai 2013,
• ajout de pub par Comcast en septembre 2014,
• ajout de pub en échange de wifi gratuit
  (depuis 2009, des pubs malicieuses ont déjà été servies depuis Amazon, Youtube, Yahoo, le New York Times, The Onion, Dailymotion, theweathernetwork, etc, ),
• ajout de cookie ou d’entêtes HTTP par Verizon en novembre 2014 (condammé en 2016), Orange Jordanie, Vodafone Afrique du Sud, mais aussi SFR & Bouygues en 2015.

Pour se protéger du Grand Canon Chinois

Pour le SEO, HTML5 et iOS/OS X

Google préfère un site en HTTPS.

Sans HTTPS, Firefox et Chrome (50) bloquent certaines API JavaScript :

• fullscreen,
• geolocation,
• service worker,
• device motion / orientation,
• getUserMedia,
• encrypted Media Extensions, ...

Apple force HTTPS avec AppTransportSecurity depuis iOS 9.0 et OS X v10.11.

Pour bénéficier de HTTP/2.0

It looks like major browsers (Firefox & Chrome) may be limiting the HTTP/2 support for TLS connections only, in order to push for a more secure web (SSL/TLS everywhere).

Pour respecter la vie privée de vos utilisateurs

Dire que vous vous n'en avez rien à faire de la vie privée parce que vous n'avez rien à cacher, c'est comme dire que vous n'en avez rien à faire de la liberté d'expression parce que vous n'avez rien à dire.

Objectifs

Confidentialité :

Les données échangées sont chiffrées par une clé et ne peuvent être déchiffrées que par les 2 parties.

Authentification :

Le client vérifie que le serveur à qui il s’adresse est bien celui qu’il prétend être (cela évite les attaques d’homme du milieu). Éventuellement, le client peut s’authentifier auprès du serveur.

Intégrité :

Les parties vérifient que les données reçues n’ont pas été altérées.

Transparence :

Aucun changement nécessaire dans le protocole applicatif englobé.

Spontanéité :

Un client peut spontanément se connecter à un serveur (pas de pré-requis).

Versions

• SSL 1.0 (jamais publié) par Netscape,
• SSL 2.0 en 1995, déprécié en 2011 par la RFC 6176,
• SSL 3.0 / RFC 6101 en 1996 (refonte), déprécié en 2015 par la RFC 7568,
• TLS 1.0 / RFC 2246 en 1999 (modifications mineures),
• TLS 1.1 / RFC 4346 en 2006 ( protections contre les attaques sur CBC),
• TLS 1.2 / RFC 5246 en 2008 ( chiffrement authentifié ou AEAD via GCM et CCM),
• Mise à jour sur TLS 1.2 en 2011/ RFC 6176 ( compatibilité SSL),
• TLS 1.3 / RFC 8446 en 2018 ( compression, renégociation, MD5, SHA1, RC4, 3DES, PFS obligatoire, optimisation réseau (0-RTT), SHA-256, Courbe elliptique 25519 & 448).

Fonction de hachage

            $ echo -n "Hello World" | sha1sum
            0a4d55a8d778e5022fab701977c5d840bbc486d0
            $ echo -n "Hello World." | sha1sum
            b701146cf2c1262a6385c8b1fb1db98f05820499
            $ sha1sum ubuntu-12.04.3-desktop-amd64.iso
            0c06d876dabb4403cede1245e3b0bf1d81afd497
       

MD5, SHA-1, SHA-2 (SHA-224, SHA-256, SHA-384 et SHA-512), SHA3.

HMAC

Influencé par une clé

            echo -n "Hello World" | openssl dgst -sha1 -hmac "key"
            cc24f1acdb06cf429bcf9861b6d708b6ec20a8fa
       

Permet de vérifier l’intégrité des données.

HMAC_MD5, HMAC_SHA1, HMAC_SHA256.

1. « Client hello »

2. « Server hello »

2. Certificat(s) & « Server hello done »

3. Pré-clé chiffrée avec la clé publique du serveur

4. Échange terminé

            ms = PRF(client.preMasterSecret, client.random, server.random)
            // ms = masterSecret
             
            [ clientCipherKey, serverCipherKey ] = extractCipherKeys(ms)
            [ clientHMACKey, serverHMACKey ] = extractHMACKeys(ms)
        

5. Place au traffic chiffré

            encrypt(request, clientCipherKey, clientHMACKey) // client
            decrypt(request, clientCipherKey, clientHMACKey) // server
            encrypt(response, serverCipherKey, serverHMACKey) // server
            decrypt(response, serverCipherKey, serverHMACKey) // client
        

Suites de chiffrement (cipher suites)

Échange de clé, authentication (asymétrique), chiffrement (symétrique), MAC/HMAC

• ECDHE-RSA-AES256-GCM-SHA384
• ECDHE-ECDSA-AES256-GCM-SHA384
• ECDHE-RSA-AES256-SHA384
• ECDHE-ECDSA-AES256-SHA384
• ECDHE-RSA-AES256-SHA
• ECDHE-ECDSA-AES256-SHA
• SRP-DSS-AES-256-CBC-SHA
• SRP-RSA-AES-256-CBC-SHA
• SRP-AES-256-CBC-SHA
• DHE-DSS-AES256-GCM-SHA384
• DHE-RSA-AES256-GCM-SHA384
• DHE-RSA-AES256-SHA256
• DHE-DSS-AES256-SHA256
• DHE-RSA-AES256-SHA
• DHE-DSS-AES256-SHA
• DHE-RSA-CAMELLIA256-SHA
• DHE-DSS-CAMELLIA256-SHA
• ECDH-RSA-AES256-GCM-SHA384
• ECDH-ECDSA-AES256-GCM-SHA384
• ECDH-RSA-AES256-SHA384
• ECDH-ECDSA-AES256-SHA384
• ECDH-RSA-AES256-SHA
• ECDH-ECDSA-AES256-SHA
• AES256-GCM-SHA384
• AES256-SHA256
• AES256-SHA
• CAMELLIA256-SHA
• PSK-AES256-CBC-SHA
• ECDHE-RSA-DES-CBC3-SHA
• ECDHE-ECDSA-DES-CBC3-SHA
• SRP-DSS-3DES-EDE-CBC-SHA
• SRP-RSA-3DES-EDE-CBC-SHA
• SRP-3DES-EDE-CBC-SHA
• EDH-RSA-DES-CBC3-SHA
• EDH-DSS-DES-CBC3-SHA
• ECDH-RSA-DES-CBC3-SHA
• ECDH-ECDSA-DES-CBC3-SHA
• DES-CBC3-SHA
• PSK-3DES-EDE-CBC-SHA
• ECDHE-RSA-AES128-GCM-SHA256
• ECDHE-ECDSA-AES128-GCM-SHA256
• ECDHE-RSA-AES128-SHA256
• ECDHE-ECDSA-AES128-SHA256
• ECDHE-RSA-AES128-SHA
• ECDHE-ECDSA-AES128-SHA
• SRP-DSS-AES-128-CBC-SHA
• SRP-RSA-AES-128-CBC-SHA
• SRP-AES-128-CBC-SHA
• DHE-DSS-AES128-GCM-SHA256
• DHE-RSA-AES128-GCM-SHA256
• DHE-RSA-AES128-SHA256
• DHE-DSS-AES128-SHA256
• DHE-RSA-AES128-SHA
• DHE-DSS-AES128-SHA
• DHE-RSA-SEED-SHA
• DHE-DSS-SEED-SHA
• DHE-RSA-CAMELLIA128-SHA
• DHE-DSS-CAMELLIA128-SHA
• ECDH-RSA-AES128-GCM-SHA256
• ECDH-ECDSA-AES128-GCM-SHA256
• ECDH-RSA-AES128-SHA256
• ECDH-ECDSA-AES128-SHA256
• ECDH-RSA-AES128-SHA
• ECDH-ECDSA-AES128-SHA
• AES128-GCM-SHA256
• AES128-SHA256
• AES128-SHA
• SEED-SHA
• CAMELLIA128-SHA
• PSK-AES128-CBC-SHA
• ECDHE-RSA-RC4-SHA
• ECDHE-ECDSA-RC4-SHA
• ECDH-RSA-RC4-SHA
• ECDH-ECDSA-RC4-SHA
• RC4-SHA
• RC4-MD5
• PSK-RC4-SHA
• EDH-RSA-DES-CBC-SHA
• EDH-DSS-DES-CBC-SHA
• DES-CBC-SHA
• etc.

Confidentialité persistante parfaite (PFS)

Domain, Organization et Extended Validation

Domain validation

Simple vérification sur l’appartenance du domaine

Organization validation

Vérification de l’identité du propriétaire (carte d’identité, SIRET, etc)

Extended validation

Enquête sur le propriétaire (vérification d’une présence physique, opérationnelle et juridique), permet l’affichage du propriétaire dans la barre d’adresse :

Un certificat X.509

            $ openssl x509 -in GandiStandardSSLCA2.pem -inform pem -noout -text
            Certificate:
            Data:
                Version: 3 (0x2)
                Serial Number: 05:e4:dc:3b:94:38:ab:3b:85:97:cb:a6:a1:98:50:e3
            Signature Algorithm: sha384WithRSAEncryption
                Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
                Validity Not Before: Sep 12 00:00:00 2014 GMT   Not After : Sep 11 23:59:59 2024 GMT
                Subject: C=FR, ST=Paris, L=Paris, O=Gandi, CN=Gandi Standard SSL CA 2
                Subject Public Key Info:
                    Public Key Algorithm: rsaEncryption
                        Public-Key: (2048 bit)
                        Modulus: 00:94:04:2d:a6:79:95:74:ff:d5:00:3c:f5:ae:d8:...
                        Exponent: 65537 (0x10001)
                X509v3 extensions:
                    X509v3 Authority Key Identifier:
                        keyid:53:79:BF:5A:AA:2B:4A:CF:54:80:E1:D8:9B:C0:9D:F2:B2:03:66:CB
                    X509v3 Subject Key Identifier:
                        B3:90:A7:D8:C9:AF:4E:CD:61:3C:9F:7C:AD:5D:7F:41:FD:69:30:EA
                    X509v3 Key Usage: critical
                        Digital Signature, Certificate Sign, CRL Sign
                    X509v3 Basic Constraints: critical
                        CA:TRUE, pathlen:0
                    X509v3 Extended Key Usage:
                        TLS Web Server Authentication, TLS Web Client Authentication
                    X509v3 Certificate Policies:
                        Policy: 1.3.6.1.4.1.6449.1.2.2.26
                        Policy: 2.23.140.1.2.1
                    X509v3 CRL Distribution Points:
                        Full Name: URI:http://crl.usertrust.com/USERTrustRSACertificationAuthority.crl
                    Authority Information Access:
                        CA Issuers - URI:http://crt.usertrust.com/USERTrustRSAAddTrustCA.crt
                        OCSP - URI:http://ocsp.usertrust.com
            Signature Algorithm: sha384WithRSAEncryption
                 58:67:fd:72:b2:6a:d7:7c:61:96:19:7e:d9:43:46:d1:26:7d:...
        

Infrastructure de clé publique (PKI)

La vie des CA n’est pas un long fleuve tranquille...

• en 2011, Comodo signe 9 certificats incluant mail.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, login.live.com,
• en 2011, Diginotar signe des certificats utilisés pour intercepter le traffic gmail en Iran ; l’entreprise ferme quelques jours après,
• en 2013, l’ANSSI génère des certificats pour des domaines de google ; ils sont détectés aussitôt par Chrome,
• en 2015, Google exclue les certificats signés par l’AC Chinoise CNNIC car ils ont signé des certificats Google, le CNNIC répond,
• en 2015, Symantec annonce une fuite de quelques certificats, Google en découvre 2522 et leur impose Certificate Transparency.

Certificate Transparency

Problèmes :

• des centaines de CA dans nos magasins (entreprises, gouvernements),
• n’importe quel CA peut signer un certificat pour n’importe quel domaine,
• les CA, des cibles très intéressantes (quelques attaques, rogue CA).

Une réponse : certificate transparency

• Projet OSS initié par Google : github.com/google/certificate-transparency,
• Base de données distribuée permettant de savoir qui a signé quoi

Autorité de certification + Protocole ACME + Agent OSS = Certificat DV à jour

filtre les domaines (Safe Browsing API) et soumission dans Certificate Transparency

Révocation : CRL, OCSP et Chrome CRLSet

Certificate Revocation Lists (CRL) :

Liste de n° de certificat invalide ; fichier potentiellement conséquent ; mis à jour tous les 7~14 jours ; confiance "par défaut"

Online Certificate Status Protocol (OCSP) :

Requête par certificat ; confiance "par défaut"

OSCP Stampling :

Le serveur joint une preuve valable quelques minutes avec son certificat ; TLS 1.2 seulement

Google Chrome CRLSet :

Liste de 250 Ko de n° de certificat invalide ; régulièrement mise à jour par Chrome ; ne contient qu’une infime partie des certificats révoqués...

Le chiffrement, c’est solide ?

Can the NSA break AES? My guess is that they can't.

Still, I trust the mathematics.

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.

Pure force brute ?

type	algo	crack	et aujourd’hui ?
	RSA 512	1999	entre 7 heures et 2,5 jours via EC2
	RSA 768	2009
	RSA 1024		1 an via Conficker (9~15M PC, 100 000 $ à la clé)
	RSA 2048		232 plus (200 000 $ à la clé)
	DES 56	1997	< 24 heures
	AES 128	(2304 bits)	avec 1 000 000 000 PC, 660 x l’age de l’univers
	AES 256		8 octodecillion $ (ou 1044 le PIB mondial)

S’attaquer à la cryptographie ?

Attaques « faciles »

• récupèrer les infos ailleurs (chez l’hébergeur),
• via une attaque MITM « SSLStrip », par Moxie Marlinspike,
  (bonus : en affichant comme favicon),
• via un enregistreur de frappe (keylogger),
• pour les gouvernements, demander la clé ou faire générer un certificat,
• installer une CA « maison » pour faire de l’interception légale (recommandations de la CNIL et de l’ANSSI) ou illégale...
• ce que font les antivirus (ou des mauvais logiciels : superfish, eDellRoot).

Pour éviter l’interception de traffic

Interception via un point d’accès malveillant

Bugs

• 2008 : DSA-1571-1 : /dev/random sur Debian limité à 32768 valeurs,
• 2014 : CVE-2014-1266 : goto fail,
• 2014 : CVE-2014-0092 : goto cleanup sur GnuTLS,
• 2015 : CVE-2014-0160 : heartbleed : fuitle de quelques octets en RAM,
• 2018 : CVE-2017-5753, CVE-2017-5715 : Spectre & Meltdown : fuite de la mémoire cache du processeur...

Les attaques connues

• en 2011 BEAST: Browser Exploit Against SSL/TLS,
• en 2012 CRIME: Compression Ratio Info-leak Made Easy,
• en 2013 BREACH: Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext,
• en 2014 POODLE: Padding Oracle On Downgraded Legacy Encryption,
• en 2015 FREAK: Factoring RSA EXPORT Attack Keys,
• en 2015 Logjam: sur Diffie-Hellman,
• en 2016 DROWN: via SSLv2,
• en 2016 SWEET32: sur 3DES.

Générer des faux certificats

• avec les collisions : on joue sur le contenu pour que la signature corresponde,
• en 2008 avec MD5,
• en 2015, « The SHAppening » : collision sur une partie de SHA1 (compression) ; on estime une attaque possible pour 700 000 $,
• d’abord Google, puis Microsoft et Mozilla bloquent les certificats et CA signés avec SHA1 en 2016.

Quelques autres attaques

• en 2010, analyse de la consommation électrique d’un ordinateur pour retrouver une clé privée (canal auxiliaire ou « side channel »),
• en 2013, analyse du bruit des composants pour la retrouver,
• en 2013, Dual_EC_DRBG par RSA Security avec une porte dérobé pour la NSA,
• en 2013, Lucky13, TIME et attaques sur RC4 (désactivé par Microsoft, Google et Mozilla en 2016),
• en 2015, Attaque sur NTP pour réinitialiser HSTS puis craquer de « vieux » certificats 512 bits.

Pensez à renouveler vos certificats !

Quelques échecs :

• Microsoft Azure (2013),
• Mac App Store (2014),
• GMail (2015),
• Mac App Store (encore en 2015) !

Mixed content

• Mixed content : ressources chargées via HTTP depuis une page HTTPS (MDN)
• Contenu passif dégradant l’icône de sécurité : <img>, <audio>, <video>
• Contenu actif bloqué : <script>, <link>, <iframe>, <object>, XMLHttpRequest, propriétés CSS

HSTS : HTTP Strict Transport Security RFC6797

Strict-Transport-Security: max-age=16070400; includeSubDomains

• Force https:// (même si l’utilisateur tape http:// ou si les liens pointent vers http://),
• Évite une interception future (sslstrip),
• Pré-chargement dans les navigateurs : transport_security_state_static.json,
• Que se passe-t-il si votre certificat expire ou si le port 443 ne répond plus ?

CAA : Certificate Authority Authorization RFC6844

example.com. IN CAA 0 issue "letsencrypt.org"
example.com. IN CAA 0 iodef "mailto:[email protected]"
example.com. IN CAA 128 future "digicert.com"

• Entrée DNS précisant qui a le droit d’émettre un certificat pour un domaine,
• On peut préciser un email ou URL en cas d’incident (IODEF),
• On peut préciser une autre CA si l’on prévoit d’en changer.

Subresource integrity

            <script src="https://example.com/jquery.js"
                    integrity="sha384-oqVuAfX542FR..."><script>
        

• Permet de valider cryptographiquement le contenu d’un <script> ou <link>,
• Très intéressant pour les contenus hébérgés ailleurs (CDN),
• Depuis Firefox 43 et Chrome 45,
• Utilisé sur github.com.

CSP : Content Security Policy

            Content-Security-Policy:default-src 'none';
                 script-src 'self'; style-src 'self';
                 upgrade-insecure-requests; block-all-mixed-content;
       

• Entête HTTP apportant des restrictions sur les types de contenu attendus et leur provenances,
• Système de liste blanche (ce qui n’est pas listé est bloqué),
• Très puissant car permet d’éviter des injections de code,
• Difficile (impossible ?) à mettre en place avec du contenu aggrégé (publicité...),
• Activez les rapports : report-uri (il existe des générateurs de CSP)

Feature Policy

Feature-Policy: vibrate 'none'; speaker *;
   geolocation 'self' https://example.com

• Permet d’activer, de désactiver des fonctionnalités ( geolocation, midi, notifications, push, vr, usb, sync-xhr, microphone, camera, magnetometer, gyroscope, speaker, vibrate, fullscreen, payment, ... ),
• pour son site mais surtout pour les iframe,
• Partiellement supporté depuis Chrome 63 et Safari 11.1.

Performances

SSL/TLS accounts for less than 1% of the CPU load, less than 10KB of memory per connection and less than 2% of network overhead

We have found that modern software-based TLS implementations running on commodity CPUs are fast enough to handle heavy HTTPS traffic

Performances

Pour tester le nombre de "poignées de main/seconde" :

$ openssl speed rsa

Sur ce Thinkpad t440s (fin 2013 - Intel Core i7-4600U @ 2.10GHz) :

                             sign    verify    sign/s verify/s
            rsa  512 bits 0.000051s 0.000005s  19514.8 220139.1
            rsa 1024 bits 0.000193s 0.000013s   5182.2  79873.9
            rsa 2048 bits 0.001312s 0.000040s    762.3  25034.3
            rsa 4096 bits 0.009250s 0.000145s    108.1   6889.3
        

Facteur 7 entre 1024 et 2048, 2048 et 4096

Performances

• TLS a un impact faible sur le processeur et le réseau mais :
• La taille des clés du chiffrement asymétrique a un impact fort
  (2048 suffisant pour la majorité des usages),
• L’échange de clé PFS est plus coûteux que sans,
• RSA est plus coûteux que EC,
• Cacher les sessions TLS est très important !
• IsTlsFastYest.com

Conclusion

• dîtes TLS (SSL) !
• HTTPS bientôt le « défaut »,
• commencez vos nouveaux projets en HTTPS (même en dev !),
• n’ayez pas peur (pas si compliqué d’avoir une configuration solide),
• tenez vous au courant, testez votre site régulièrement
  et mettez sa configuration à jour,
• vive l’outillage pour automatiser TLS (Let’s encrypt/ACME)
• la fin des révocations (avec des certificats pour quelques jours) ?

https://paulgreg.me/https-slides/

Questions & réponses

https://paulgreg.me/https-slides/

Ressources

• HTTPS : de SSL à TLS 1.3,
• Security Now, épisode 412 "SSL & Perfect Forward Secrecy",
• Interview de Tom Delmas par les Castcodeurs sur HTTPS (partie 1 & 2),
• ImperialViolet, le blog Adam Langley, Schneier on Security, le blog de Bruce Schneier,
• A Few Thoughts on Cryptographic Engineering, le blog de Matthew Green,
• Conférence de Benjamin Sonntag, TLS config generator par Mozilla,
• Openssl cookbook, Guide sur TLS chez Mozilla, best practices chez Qualys,
• testssl.sh, SSLLabs, tls.imirhil.fr ou ssleuth pour tester sa configuration,
• securityheaders.io pour vérifier les entêtes HTTP,
• GRC fingerprint, pour vérifier les empreintes des certificats,
• Mes flux RSS sur HTTPS, TLS & SSL,
• Si vous voulez creuser HTTP.

Références

• Présentation construite avec github.com/shower/shower,
• Images de cable réseau : google.com/about/datacenters/gallery,
• Source de l’image Firesheep : genbeta.com,
• Source de l’icône poignée de main : Freepik via www.flaticon.com (CC 3.0 BY)
• Échange de clé Diffie-Hellman : wikipedia.org,
• L’idée d’insérer des licornes vient de "10 Things I Learned from the jQuery Source" par Paul Irish,
• XKCD pour les comics,
• Icônes via Font-Awesome,
• Schémas construits sur gliffy.com.

Fonctionnement de l’attaque (mitmproxy)

1. « Client hello »

2. « Server hello »

2. Certificat(s)

3. « Server Key Exchange » & « hello done »

4. Échange de clé

5. Fin de l’échange de clé

6. Place au traffic chiffré

DNS-based Authentication of Named Entities (DANE)

• Certificat publié dans un enregistrement DNSSEC (obligatoire) de type TLSA,
• Support très limité (rien pour Google Chrome, Addon pour Firefox),

4 types :

1. PKIX-TA/ CA constraint : seule cette CA peut signer le certificat (complément),
2. PKIX-EE/ Service certificate constraint : force un certificat (complément),
3. DANE-TA/ Trust anchor assertion : certificat d’un CA (CA "maison"),
4. DANE-EE/ Domain-issued certificate : certificat pour un domaine (auto-signé).

BEAST: Browser Exploit Against SSL/TLS

• Faille dans certains algorithmes de chiffrement symétrique en mode CBC (sur les IV) sur SSL 3.0 et TLS 1.0,
• Juliano Rizzo et Thai Duong démontrent un POC en 2011 (principe découvert par Phillip Rogaway en 2002),
• nécessite de choisir le contenu à envoyer + MITM,
• on préconisait alors d’utiliser RC4 (non vulnérable),
• corrigée dans TLS 1.1 en 2006.

CRIME: Compression Ratio Info-leak Made Easy

• Faille utilisant la compression offerte par SSL/TLS (et aussi SPDY),
• l’idée consiste à injecter du traffic vers le serveur cible en inspectant la taille, si celle-ci diminue (grâce à la compression), on a deviné une chaîne de caractère (par exemple le cookie),
• Juliano Rizzo et Thai Duong (encore) démontrent un POC en 2012 (principe découvert par John Kelsey en 2002),
• nécessite de choisir le contenu à envoyer + MITM,
• solution : désactiver la compression sur TLS.

BREACH: Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext

• découverte par Angelo Prado, Neal Harris et Yoel Gluck en 2013,
• même principe que CRIME mais utilisant la compression HTTP (gzip, deflate),
• touche toutes les versions de SSL/TLS, toutes les suites de chiffrement,
• nécessite de choisir le contenu à envoyer + MITM + retour,
• Aucune solution ultime mais on peut désactiver la compression HTTP pour les contenus sensibles, se protéger contre les CSRF,...

POODLE: Padding Oracle On Downgraded Legacy Encryption

• Faille découverte par Bodo Möller, Thai Duong et Krzysztof Kotowicz (Google) en 2014 sur SSL 3.0,
• Attaque MITM où la connexion est dégradée vers SSL 3.0 et où l’on pourra utiliser BEAST pour casser le chiffrement,
• Solution : désactiver SSL 3.0

FREAK: Factoring RSA EXPORT Attack Keys

• Faille découverte par l’INRIA, Microsoft Research et IMDEA en 2015,
• en 90, les USA imposent du chiffrement faible (RSA 512 bits) pour l’étranger (export RSA),
• n’est plus en vigueur mais oublié dans les logiciels,
• attaque MITM où l’on dégrade la connexion vers ce chiffrement faible, cassable en quelques heures,
• Solution : mettre à jour OpenSSL (CVE-2015-0204) et désactiver les suites de chiffrement « faible ».

Logjam

• Faille découverte par l’INRIA, Microsoft Research, Johns Hopkins, l’Université du Michigan et celle de Pennsylvanie en 2015,
• cible l’échange de clé Diffie-Hellman (sans EC)
• l’attaque consiste à remplacer une demande DHE en DHE_EXPORT (512 bits),
• 2^ème problème : 82 % des 1 000 000 plus gros sites utilisent les mêmes valeurs pour Diffie-Hellman (en dur), permettant un pré-calcul (sûrement exploité),
• Solution : désactiver les suites de chiffrements « faibles » (minimum 2048 bits), regénérer des paramètres Diffie-Hellman, utiliser ECDHE.

DROWN: Breaking TLS using SSLv2

• Faille découverte en 2016 par plusieurs universités et entreprises,
• amélioration de l’attaque de Bleichenbacher (1998),
• permet de déchiffrer passivement du contenu TLS en utilisant SSLv2 comme oracle,
• permet d’utiliser un autre serveur que celui cible s’il partage la clé privée,
• pour s’en prémunir, il faut utiliser une version d’OpenSSL compilée sans le support de SSLv2.

HPKP : HTTP Public Key Pinning RFC7469

Public-Key-Pins: pin-sha256=""; pin-sha256=""; max-age=259200

• déprécié depuis Chrome 68,
• Entête HTTP "épinglant" une liste de condensat (hash) de certificats (AC racine, AC intermédiaire ou feuille),
• Connexion uniquement si le condensat est trouvé dans la chaîne,
• Évite qu’une autre AC ne signe son certificat (www.nsa.gov signé par CNNIC),
• Pré-chargement dans les navigateurs : transport_security_state_static.h,
• Commencez par : Public-Key-Pins-Report-Only: report-uri
• Plus compliqué à mettre en place et plus risqué ; à reserver aux sites sensibles.