Qu’est-ce qu’une attaque par déclassement et comment fonctionne-t-elle ?

Downgrade Attacks

Les attaques de dégradation de la cybersécurité exploitent les vulnérabilités de votre système, le forçant à utiliser des protocoles obsolètes et moins sûrs. Cette astuce dangereuse peut entraîner un vol de données ou même une prise de contrôle du système. Les pirates manipulent les communications du réseau, trompant votre système pour en réduire la sécurité.

Il existe de nombreuses attaques de déclassement, telles que POODLE, FREAK et Logjam, chacune ayant des mécanismes uniques et des résultats possibles.

Cet article présente les attaques par déclassement SSL/TLS et explique comment les prévenir.


Table des matières

  1. Qu’est-ce qu’une attaque par déclassement ?
  2. Comment fonctionne une attaque par déclassement ?
  3. Types d’attaques de déclassement
  4. Risques d’attaques de déclassement
  5. Comment se protéger contre les attaques de déclassement ?
  6. Exemples d’attaques de déclassement

Qu’est-ce qu’une attaque par déclassement ?

Une attaque par rétrogradation, également connue sous le nom d’attaque par retour de version ou d’attaque par soumission, est un type d’attaque cryptographique qui exploite la rétrocompatibilité des systèmes ou des protocoles, tels que le protocole SSL/TLS, pour forcer une connexion sécurisée à utiliser des algorithmes de chiffrement ou des suites de chiffrement plus faibles ou plus anciens.

Cette attaque tire parti de serveurs web ou d’applications qui prennent en charge d’anciennes versions des protocoles de sécurité, sapant ainsi le système cible. Parfois, un exploit de navigateur peut faciliter la rétrogradation de la communication vers des versions moins sûres.


Comment fonctionne une attaque par déclassement ?

Pour mener à bien une attaque par déclassement, les pirates interceptent et manipulent les communications de votre système, en l’incitant à utiliser des protocoles moins sûrs. Vous vous demandez peut-être comment fonctionne une attaque par déclassement ? Le processus est un peu technique, mais nous allons le décomposer en utilisant l’exemple de TLS.

Une attaque par déclassement TLS est une méthode d’attaque qui exploite les vulnérabilités des versions obsolètes des principaux navigateurs ou applications web pour accéder à des données sensibles.
Voici comment cela fonctionne :

Lorsqu’un utilisateur tente de se connecter à un serveur web qui prend en charge le protocole HTTPS (HTTP over TLS/SSL), le navigateur web et le serveur négocient une connexion sécurisée afin de garantir la confidentialité et l’intégrité des données transmises. Le serveur envoie une liste des protocoles cryptographiques et des algorithmes de cryptage pris en charge au cours de ce processus de négociation.

L’attaquant intercepte cette communication par le biais d’une attaque de type “man-in-the-middle” et la manipule pour supprimer les options les plus sûres, ne laissant intacts que les protocoles obsolètes ou plus faibles. Cette manipulation exploite souvent des failles dans les canaux de communication ou utilise des scripts malveillants.

Par conséquent, lorsque le navigateur web reçoit la liste modifiée, il est contraint de choisir parmi les options compromises, ce qui entraîne un déclassement HTTPS. La connexion est établie à l’aide d’un mode de cryptage de moindre qualité ou même par le biais du protocole HTTP, qui n’est pas du tout crypté.

L’utilisateur peut ne pas remarquer de différence immédiate dans son expérience de navigation puisque la page web continue à se charger. Cependant, la sécurité de la connexion est réduite, ce qui la rend susceptible d’être écoutée et interceptée par l’attaquant.

Toutes les données sensibles échangées entre l’utilisateur et le serveur web, telles que les identifiants de connexion, les informations relatives aux cartes de crédit ou les données personnelles, sont désormais susceptibles d’être capturées et exploitées par l’attaquant.

Malgré les efforts des équipes de développement pour corriger les vulnérabilités et mettre à jour les protocoles de sécurité, le succès d’une attaque par déclassement TLS dépend de l’utilisation de logiciels obsolètes ou de l’incapacité à appliquer des normes de communication sécurisées, ce qui met en danger de nombreux utilisateurs et systèmes.


Types d’attaques de déclassement

Nous allons maintenant étudier les différents types d’attaques par déclassement. Savoir comment ces attaques fonctionnent et ce qu’elles visent vous aidera à mieux protéger vos systèmes et vos données. Chacune d’entre elles présente des défis uniques et exploite des vulnérabilités différentes.

POODLE

POODLE cible le protocole SSL 3.0 en exploitant ses failles de sécurité. L’acronyme POODLE signifiePadding Oracle On Downgraded Legacy Encryption et remonte à 2014.

Son principal objectif est de forcer une connexion serveur-client à revenir à une version moins sécurisée, SSL 3.0, ce qui facilite le décryptage des données sensibles. L’attaque POODLE peut permettre aux pirates d’obtenir des informations sensibles telles que des identifiants de connexion ou des numéros de carte de crédit.

La bonne nouvelle, c’est qu’il est facile de l’éviter. Il vous suffit de désactiver SSL 3.0 sur votre serveur. En outre, la plupart des serveurs et navigateurs modernes se connectent exclusivement via TLS 1.2 et TLS 1.3, de sorte que cette attaque ne peut se produire que sur des plates-formes anciennes et obsolètes.


FREAK

FREAK est l’abréviation de Factoring RSA Export Keys. Cette attaque par rétrogradation manipule la connexion sécurisée, la forçant à utiliser un chiffrement plus faible. L’attaquant brise alors le cryptage le plus faible pour intercepter ou modifier les données.

FREAK exploite la faiblesse de l’algorithme de chiffrement RSA, qui permet encore un chiffrement de qualité “export”. Il s’agit de politiques héritées des années 90, lorsque le gouvernement américain a limité la puissance du cryptage pour une utilisation internationale. Certains serveurs supportent encore ce cryptage plus faible, ce qui les rend vulnérables aux attaques FREAK.

Par conséquent, si le cryptage RSA est théoriquement robuste, l’inconvénient réside dans l’affaiblissement des clés RSA à des fins d’exportation, que les attaquants FREAK exploitent. Pour vous protéger, assurez-vous que votre serveur ne prend pas en charge le cryptage de niveau export.


SLOTH

SLOTH signifie Security Losses from Obsolete and Truncated Transcript Hashes (pertes de sécurité dues à des hachages de transcription obsolètes et tronqués). Il cible des protocoles tels que TLS et SSL, qui peuvent encore prendre en charge des algorithmes de hachage faibles tels que MD5 ou SHA-1.

Dans une attaque SLOTH, les attaquants interceptent les communications entre deux parties et manipulent le processus de poignée de main pour forcer l’utilisation d’une fonction de hachage tronquée. Au lieu de la sortie complète du hachage, seule une partie est utilisée, ce qui permet aux attaquants de lancer des attaques par collision et par pré-image.

Pour éviter ce type d’attaque, utilisez toujours des algorithmes cryptographiques puissants, tels que SHA-256 ou plus pour le hachage et AES pour le cryptage.


Blocage

L’attaque Logjam cible l’échange de clés Diffie-Hellman en exploitant des paramètres faibles, souvent de petits nombres premiers, ce qui le rend vulnérable aux calculs de logarithme discret.

Dans cette attaque, les cyber-voleurs interceptent et dégradent l’échange de clés, en exploitant les vulnérabilités pour calculer efficacement le logarithme discret (une fonction mathématique qui indique combien de fois il faut multiplier un nombre spécifique par lui-même pour obtenir un autre nombre) et récupérer la clé secrète partagée.

Pour mettre fin aux attaques de type Logjam, utilisez des paramètres cryptographiques plus puissants, désactivez la prise en charge de toutes les suites de chiffrement DHE_EXPORT et maintenez les bibliothèques cryptographiques à jour.


BÊTE

BEAST, ou Browser Exploit Against SSL/TLS, cible le mode CBC (cipher block chaining) des protocoles de chiffrement SSL/TLS, ce qui permet aux attaquants de décrypter les cookies HTTPS. Il exploite une vulnérabilité CBC en utilisant le texte chiffré d’une session précédente pour prédire le texte en clair du bloc suivant, accédant ainsi à des informations sensibles telles que les identifiants de session des utilisateurs.

Pour se défendre contre BEAST, il faut veiller à ce que les systèmes soient régulièrement mis à jour et envisager de passer à des modes de chiffrement plus sûrs.


Risques d’attaques de déclassement

Les attaques par rétrogradation peuvent perturber l’intégrité de vos communications en ligne, en forçant les systèmes à utiliser un protocole obsolète et moins sûr, plus facile à exploiter pour les attaquants.

La confidentialité de vos données est en jeu. Pendant que les attaques de déclassement se déroulent en arrière-plan, des informations sensibles, telles que des données personnelles ou financières, peuvent être interceptées et volées.

Dans de rares cas, les attaquants peuvent utiliser des attaques de rétrogradation pour mettre votre système entièrement hors service, ce qui entraîne des temps d’arrêt importants. Ces risques ne sont pas seulement théoriques ; ils se sont matérialisés dans des incidents réels, causant des dommages considérables.


Comment se protéger contre les attaques de déclassement ?

La prévention des attaques par dégradation passe avant tout par la mise à jour et la sécurisation de votre navigateur, de votre serveur et de vos applications. Utilisez les dernières versions de votre logiciel, car elles sont généralement accompagnées de mises à jour de sécurité qui comblent les vulnérabilités exploitées par les attaques par déclassement.e

Vous devez également mettre à jour régulièrement vos protocoles de cryptage. Tout ce qui est inférieur à TLS 1.2 est à proscrire. S’en tenir au niveau de sécurité le plus élevé possible et désactiver la rétrocompatibilité inutile peut également contribuer à prévenir ces attaques.

La surveillance du trafic de votre réseau est une autre étape cruciale. Des schémas inhabituels pourraient indiquer une attaque par déclassement. Il est donc important d’utiliser des systèmes de détection d’intrusion (IDS) et des systèmes de prévention d’intrusion (IPS) pour identifier et bloquer efficacement ces attaques.

En outre, utilisez HTTPS plutôt que HTTP pour garantir la sécurité de la transmission des données. L’activation de HTTP Strict Transport Security (HSTS) peut également empêcher les attaques par déclassement en imposant l’utilisation de HTTPS.


Exemples d’attaques de déclassement

Voici trois entreprises de premier plan touchées par des attaques de déclassement :

  1. Google: Touché par la vulnérabilité POODLE en 2014, Google a désactivé la prise en charge du protocole SSL 3.0 pour l’ensemble de ses services afin de protéger l’intégrité des données et la vie privée des utilisateurs.
  2. PayPal: Également touché par l’attaque POODLE en 2014, PayPal a mis en place des mesures de sécurité pour protéger les informations financières de ses utilisateurs et prévenir d’éventuelles violations de données.
  3. Microsoft: Touchée par l’attaque Logjam en 2015, Microsoft a pris des mesures proactives pour remédier à la vulnérabilité et renforcer la sécurité de ses logiciels et services, assurant ainsi une protection contre une exploitation potentielle.

Sans une réaction rapide, toutes ces violations de données compromettant les informations personnelles et financières des utilisateurs auraient pu entraîner des responsabilités importantes, des frais juridiques et une perte de confiance de la part des clients. En outre, les coûts liés à la mise à niveau des systèmes, à la mise en œuvre de mesures de sécurité et à la réalisation d’audits de sécurité auraient ajouté à l’impact global.


Résultat final

Les attaques par rétrogradation du SSL peuvent potentiellement causer des pertes de données importantes, mais elles reposent sur d’anciens serveurs qui prennent encore en charge des protocoles cryptographiques obsolètes. Dans l’espace numérique actuel, 99 % des sites web et des applications utilisent les protocoles hautement sécurisés TLS 1.2 et TLS 1.3, qui disposent de mécanismes de protection contre de telles attaques.

Vous n’avez pas à vous inquiéter des attaques par rétrogradation, à moins que vous n’utilisiez des navigateurs ou des serveurs datant du début des années quatre-vingt-dix. La connaissance de leur existence vous rendra plus prudent lorsque vous visiterez un vieux site ou utiliserez un serveur qui n’a pas été mis à jour depuis des années.

Economisez 10% sur les certificats SSL en commandant aujourd’hui!

Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10

Rédigé par

Rédacteur de contenu expérimenté spécialisé dans les certificats SSL. Transformer des sujets complexes liés à la cybersécurité en un contenu clair et attrayant. Contribuer à l'amélioration de la sécurité numérique par des récits percutants.