Chiffrement : appel à l’abandon de RC4

C’est en 2013 que Ban Bernstein, un professeur de l’université de l’Illinois, a découvert une faille permettant à un attaquant de recouvrer une quantité limitée de texte en clair en interceptant une connexion TLS utilisant le chiffrement RC4. L’attaque visant RC4 s’applique à toutes les versions de SSL et de TLS supportant cet algorithme. L’attaque visant RC4 est rendue possible par les failles statistiques du flux de clés généré par l’algorithme. Celui-ci révèle des parties des messages chiffrés, à condition que l’attaquant ait pu collecter suffisamment d’échantillons.

Il y a deux ans, cette faille ne représentait pas une menace immédiate pour les utilisateurs de SSL/TLS : il s’agit d’une attaque multi-sessions à l’époque difficile à mettre en œuvre. L’attaquant doit être capable de capturer le trafic réseau entre client et serveur. Il est également nécessaire que le même texte chiffré soit envoyé à la même destination fixe dans un message, de manière répétée. Et même dans un tel scénario, l’attaquant ne serait capable que de recouvrer une petite partie du message.

Mais comme le relevait en septembre 2013 Michael Cobb dans nos colonnes, les messages HTTP contiennent des entêtes codifiées, identiques tout au long de la conversation. Et de relever que le contenu d’un cookie pourrait par exemple être capturé : l’une des plus grandes menaces consiste en un attaquant qui serait capable d’accéder aux données contenues dans un cookie, car les cookies sont souvent utilisés pour stocker les information d’un compte utilisateur ou un ticket de session afin d’éviter aux utilisateurs de devoir s’identifier répétitivement…

Aujourd’hui, Mathy Vanhoef et Frank Piessens, de l’université de Leuven aux Pays-Bas, alertent précisément sur ce cas de figure : « nous montrons qu’un attaquant peut déchiffrer des cookies Web qui sont normalement protégés par le protocole HTTPS. […] En résumé, un attaquant peut déchiffrer un cookie en moins de 75 heures. […] Lorsque nous avons testé l’attaque contre de réel appareils, il nous a fallu moins de 52 heures pour la réaliser avec succès ».

Jusqu’ici, le temps nécessaire au déchiffrage d’un cookie protégé par RC4 était estimé à plus de 2000 heures… Une autre technique d’attaque réduisait l’estimation à 312 heure minimum, et jusqu’à 776 heures maximum. Ce qui rendait l’attaque somme toute assez théorique. Ce n’est plus le cas aujourd’hui.

Quant au protocole de protection des réseaux Wi-Fi WPA basé sur TKIP, il peut désormais être cassé… en l’espace d’une heure. Pour les chercheurs, c’est simple : « tout protocole utilisant RC4 devrait être considéré comme vulnérable ».