Nate Lawson (fondateur de Root Labs) et Taylor Nelson sont deux experts en sécurité informatique qui viennent d'annoncer avoir découvert une faille de sécurité très répandue dans les applications Web utilisées quotidiennement par des millions d'internautes, et qui pourrait être exploitée par une attaque cryptographique populaire dans les milieux du hacking.
Des dizaines de bibliothèques équipant des softwares open-source servant à vérifier les mots de passe et les noms d'utilisateur seraient ainsi concernées, dont celles des logiciels qui implémentent les standards OAuth et OpenID (ce sont les types d'authentifications utilisées par Twitter par exemple).
D'après les chercheurs, certaines versions de ses systèmes de login seraient vulnérables aux attaques de type "timing" (qui sont connues depuis près de 25 ans par les cryptographes).
Les "timing attacks" sont réputées être difficiles à mettre en oeuvre sur un réseau, et pourtant... Elles nécessitent juste une exacte précision dans les mesures. Pour rappel, elles fonctionnent en mesurant le laps de temps nécessaire à un ordinateur pour répondre à une demande de login. Dans certains systèmes, la machine vérifiera tous les caractères d'un mot de passe en une seule fois en renvoyant un "login failed" dès qu'elle détectera une lettre ou un signe erroné dans la combinaison.
Alors forcément, à force d'essayer encore et encore, un programme spécifique aura vite fait de mesurer le temps de réponse de l'ordinateur et ainsi de deviner les premiers caractères du mot de passe jusqu'à le déchiffrer en entier.
Il y a trois ans, cette technique avait été utilisée pour hacker le système Microsoft de la Xbox 360.
Certains développeurs Web réfutent ces thèses et affirment que d'autres facteurs (les "network jitter"
ont une influence sur le temps de réponse d'un PC et peuvent soit l'accélérer, soit le ralentir. DE ce fait, et selon eux, il serait impossible d'obtenir un résultat assez précis (de l'ordre de la nanoseconde) pour réaliser une timing attack sur Internet.Lawson et Nelson veulent prouver que ceci est faux et que ces risques sont trop souvent sous-estimés par les professionnels. Ils ont réalisé des tests sur ce type d'attaques sur le Net, mais aussi dans des environnements Cloud et sur des réseaux locaux. Dans les trois cas, ils ont été capables de cracker des mots de passe à l'aide d'algorithmes qui annulaient les effets du network jitter.
Ceci leur a permis de découvrir que les programmes écrits avec des langages interprétés (comme Python ou Ruby) étaient plus vulnérables que les autres, car ils génèrent des réponses plus lentes.
Les deux experts ont avertis les responsables et développeurs des programmes affectés par le problème. Ils ne dévoileront pas la liste des produits atteints tant qu'ils ne seront pas patchés. La solution qu'ils proposent : reprogrammer le système pour qu'il envoie une réponse d'un temps égal en cas de mot de passe correct comme de mot de passe erroné, ce qui ne prendrait que 6 lignes de code d'après Lawson.
Source : L'annonce de la présentation de Lawson et Nelson à la Black Hat de Las Vegas, où ils donneront davantage de précisions.
Beaucoup pensent que les timing attacks sont impossibles à réaliser. Pensez-vous qu'ils ont raison, ou qu'au contraire ils sous-estiment ce problème qui est plus sérieux qu'on ne le croit ? 
Envoyé par jblecanard
