Pour empêcher un attaquant d’accéder aux informations, le navigateur n’échange pas informations avec le serveur jusqu’à ce que vous vous soyez assuré que le le certificat est valide. Cela empêche un attaquant d’accéder aux cookies d’authentification ou d’exécuter un code malveillant en modifiant les données envoyées.

HTTPS n’est pas aussi sécurisé que nous le pensions

Le problème est qu’une nouvelle vulnérabilité permet de mener une attaque man-in-the-middle qui confond le navigateur pour se connecter à un serveur FTP ou de messagerie qui utilise un certificat compatible Web. Pour cela, si le domaine du web coïncide avec celui du email ou certificat FTP, le navigateur établira une connexion TLS avec les serveurs plutôt qu’avec le site Web que l’utilisateur essayait de visiter.

Avec cela, l’attaquant pourrait recevoir un cookie d’authentification déchiffré ou exécuter directement un code malveillant sur l’appareil de l’utilisateur. Selon une enquête, 14,4 millions de serveurs Web Ils utilisent un domaine compatible avec ce bogue. D’eux, 114 000 sont considérés comme exploitables car le serveur FTP ou de messagerie utilise un logiciel vulnérable.

La faille peut être exploitée car, dans ces cas, TLS ne protège pas l’intégrité du connexion TCP. Cela permet aux attaquants de rediriger le trafic TLS du serveur prévu vers un autre, car TLS ne protège pas l’adresse IP ou le port. Dans le passé, les attaques man-in-the-middle ont été envisagées lorsque l’attaquant redirige un navigateur vers un serveur Web différent, mais dans ce cas, le navigateur est redirigé d’un serveur Web vers un serveur différent du FTP ou de la messagerie électronique.

Des chercheurs allemands qui ont analysé la vulnérabilité ont découvert trois attaques différentes, qu’ils ont qualifiées de ALPAGA, Abréviation de Protocoles de couche d’application permettant des attaques interprotocoles.

Le premier est Attaque de téléchargement, où l’on suppose que l’attaquant a la possibilité d’envoyer des données à un autre serveur et de les récupérer plus tard. Dans celui-ci, l’attaquant essaie de stocker des parties de la requête HTTP du navigateur sur ce serveur. Si l’attaque réussit, l’attaquant peut récupérer le contenu du serveur quelle que soit la connexion, et récupérer le cookie HTTPS.

La seconde est Télécharger l’attaque, où l’on suppose que l’attaquant peut télécharger des informations à partir du serveur différent. Dans ce cas, lors de l’utilisation d’un protocole autre que HTTPS, les protections contre les attaques XSS ne fonctionnent pas.

Le troisième est Attaque de réflexion, où l’attaquant essaie de tromper le serveur. Si l’attaquant réussit, il peut envoyer un script JavaScript malveillant.

ALPN et SNI : les deux solutions pour se protéger

Pour éviter l’attaque, les chercheurs proposent une application plus stricte des méthodes de protection, telles que Négociation de protocole de couche d’application (ALPN). En appliquant cette couche de protection supplémentaire lors de la négociation du protocole utilisé dans une connexion, ces types d’attaques sont évités. L’utilisation de Indication du nom du serveur (SNI) il peut également aider à prévenir les attaques où le même nom de domaine est partagé.

ALPACA ne représente pas un danger pour la plupart des utilisateurs aujourd’hui, mais le nombre d’attaques et de vulnérabilités découvertes pourrait augmenter à l’avenir.