L’utilisation du SSL peu sûr met les sites web belges en danger

Lors d’Infosecurity Belgium, le spécialiste de la sécurité Scanit a présenté des chiffres inquiétants à propos des sites web protégés par SSL en Belgique. Quelque 40 pour cent de ces sites étaient vulnérables à des attaques lancées de l’extérieur.

Lors d’Infosecurity Belgium, le spécialiste de la sécurité Scanit a présenté des chiffres inquiétants à propos des sites web protégés par SSL en Belgique. Quelque 40 pour cent de ces sites étaient vulnérables à des attaques lancées de l’extérieur.

C’est inquiétant dans la mesure où le SSL, alias le protocole Secure Sockets Layer, est très souvent utilisé pour l’établissement de connexions sécurisées avec des sites, tels que les e-boutiques, les institutions publiques, les sites web d’entreprise et en général tous les sites où l’on recherche un haut niveau de sécurisation des données. Sachez que le SSL protège la connexion – une sorte d’emballage sûr, comme le décrit Scanit – et ne crypte pas le contenu proprement dit.

Via des sites web comme Google ou Yahoo, Scanit a sélectionné en tout 432 sites web belges protégés par SSL, dont 40 pour cent se sont avérés vulnérables à des attaques de type ‘man in the middle’. Cela signifie que la communication entre l’utilisateur et le site peut être intercepté par un tiers. Un problème important est constitué par les ‘certificats’ qui garantissent la véritable identité du site, avec dans quelque 5 pour cent des cas un ‘certificat échu’ ou ‘self signed’ (et donc pas garanti par un acteur indépendant, 10% des cas) ou contenant une appellation erronée (quelque 21%). Dans 14 pour cent des cas, l’on avait porté atteinte au protocole même. L’important, c’est de prendre conscience que dans le cas des certificats, l’utilisateur est certes mis en garde contre des problèmes possibles – même si la plupart des utilisateurs continuent cependant à cliquer, parce que ce genre d’avertissement s’affiche assez souvent et que la connexion s’établit quand même -, mais que dans le cas d’un protocole auquel on a porté atteinte, il ne reçoit aucune mise en garde.

Scanit conseille dès lors aux propriétaires de sites web d’accorder plus d’attention aux certificats utilisés, ainsi que d’arrêter l’utilisation de clés de cryptage trop faibles. En outre, Scanit indique aussi que suite à l’absence d’un cadre juridique qui protège les chercheurs contre les conséquences judiciaires possibles de leurs actions de recherche, il n’est en fait pas possible de prévenir les sites concernés de leur situation dangereuse. Il conviendrait donc de s’en occuper en urgence, par exemple via la possibilité de mentionner de manière anonyme les problèmes existants à une institution accréditée dans ce but.