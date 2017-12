Selon une équipe de chercheurs composée de Hanno Böck, Juraj Somorovsky et Craig Young, cette découverte démontre que les spécialistes en sécurité informatique ne testent pas suffisamment leurs protections contre des attaques plus anciennes. Le blogue des chercheurs mentionne que ROBOT ne fait que réutiliser l’attaque découverte par Daniel Bleichenbacher en 1998 en l’adaptant aux systèmes modernes.

« À notre surprise, notre recherche a été très simple, écrivent les trois collègues. Nous avons utilisé des variations mineures de l’attaque originale et elle a réussi. Exploiter cette vulnérabilité était à la portée de tous les pirates. Cela signifie que ni les vendeurs de produits affectés ni les chercheurs en sécurité informatique n’ont enquêté sur ce sujet auparavant, même s’il s’agit d’une attaque classique et bien connue. »

Sur un échantillon d'un million de sites web les plus populaires, 2,8 % se sont montrés vulnérables à ROBOT, dont plus du quart des 100 sites les plus consultés. Facebook a mis à jour ses serveurs pour régler ce problème, après avoir été prévenue par l'équipe de chercheurs.

Un fonctionnement simple

D’après ce qu’on peut lire sur la page décrivant l’attaque, ROBOT a un fonctionnement relativement simple. Il s’agit d’une faille de type Oracle, c’est-à-dire qu’elle ne fournit pas d’informations complexes sur la nature des communications interceptées par le pirate, mais qu’elle répond par oui ou par non à des requêtes.

Avec suffisamment de réponses de ce genre, une personne mal intentionnée peut parvenir à déduire des informations détaillées sur le contenu de communications chiffrées et s’en servir à des fins malicieuses.

Pour obtenir ces informations, un pirate peut manipuler les réponses envoyées par un serveur à une requête de connexion afin d'envoyer des messages d’erreur aux internautes. C'est grâce à ces messages d’erreur que le pirate obtient les réponses (oui ou non) requises.

Il est important de noter que même les sites web utilisant le protocole HTTPS, dont la connexion est dite sécurisée, peuvent être vulnérables à cette attaque.

Que faire pour s’en protéger?

Malheureusement, pour le grand public, il ne semble pas y avoir de moyen connu de se prémunir contre ROBOT. Seuls les administrateurs de serveurs peuvent effectuer une mise à jour de leurs appareils, si le fabricant en a émis une. Le blogue détaillant l’attaque contient une liste des entreprises qui ont fourni une mise à jour.

Les chercheurs recommandent aussi aux administrateurs de serveurs de désactiver le chiffrement RSA.

Les résultats complets de cette recherche ont été publiés sur Cryptology ePrint Archive.