Renforcez vos sites HTTPS contre les attaques de type BEAST

Fin 2011, Thai Duong et Juliano RizzoDes, deux chercheurs en sécurité informatique ont présenté à la conférence de sécurité Black Hat Ekoparty un proof of concept d’attaque contre le protocole TLS (anciennement nommé SSL) utilisé pour le chiffrement des échanges sur Internet.

L’attaque batisée BEAST (Browser Exploit Against SSL/TLS) affecte en particulier les version 1.0 et plus anciennes du protocole TLS, en fait, elle repose sur une faiblesse (au niveau de l’utilisation d’un chiffrement par bloc) déjà connue et corrigée dans les versions 1.1 et 1.2 de TLS. Malheureusement ces dernières versions ne sont pas supportées par l’ensemble des navigateurs web.

Au moment où je rédige cet article, il y a encore de très fortes chances pour que votre serveur web (Apache, Nginx ou autre) exploite le protocole TLS 1.0, vous exposant ainsi aux attaques BEAST, il est d’ailleurs possible de vérifier cela via cet outil en ligne : https://www.ssllabs.com/ssltest/analyze.html

Pour mitiger les risques de telles attaques sans avoir à passer à TLS 1.1 ou 1.2, il faut configurer le serveur web pour privilégier un algorithme de chiffrement par flot : RC4.

Plus concrètement, voici ce qu’il faut ajouter à votre fichier de configuration :

# Pour un serveur Apache
SSLCipherSuite RC4:HIGH:!aNULL:!MD5;
SSLHonorCipherOrder on;

# Pour un serveur Nginx
ssl_ciphers RC4:HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;

Voilà, n’oubliez pas de reloader votre serveur web pour appliquer les changements apportés.

tags : apache beast https internet/reseaux nginx pl-fr sites ssl sécurité tls
0 vote
06/06/2012 00:31
Ecrit par Nassim KACHA - Afficher l'article originel
Vus : 1385
Publié par Nassim KACHA : 5