La protection SSL des sites du gouvernement belge n’est pas en ordre
Le protocole de cryptage SSL utilisé par le gouvernement belge pour sécuriser la communication avec ses citoyens, n’est souvent pas correct. Voilà ce qu’a découvert l’étudiant master Thomas Vanhoutte: “Trop de Belges sont exposés à la vulnérabilité Poodle, ce qui accroît le risque que des cybercriminels puissent lire par-dessus leur épaule.”
Le cryptage SSL est utilisé par des millions de sites web pour la protection des achats en ligne, des transactions financières et de l’envoi des données personnelles. L’objectif est que toute l’information demeure confidentielle durant le transfert et ne puisse être lue par des tiers. Les sites web qui disposent de la sécurité SSL, sont reconnaissables au petit cadenas fermé et au https:// dans la barre d’adresse. Votre banque utilise le cryptage SSL, mais aussi Facebook et bien d’autres plates-formes web, tout comme le gouvernement belge.
L’étudiant master Thomas Vanhoutte, qui étudie actuellement aux Pays-Bas, a cependant découvert que la protection SSL n’est pas en ordre chez quelques instances belges. Inspiré par une étude similaire effectuée par le développeur Yeri Tiete auprès de banques belges, Vanhoutte a soumis un grand nombre de sites de l’administration au test ‘SSL Labs’ bien connu.
Quiconque le souhaite, peut utiliser cet outil en ligne pour vérifier dans quelle mesure le protocole de cryptage SSL d’une organisation est bien configuré et actualisé. Au terme du test, SSL Labs attribue un score: A+ correspond à correct, B à faible et de C à F à mauvais, voire très mauvais.
Ce qui est étonnant, c’est que notamment les sites eGov belges (F), le site de la sécurité sociale (C) et Digiflow (F) obtiennent de piètres scores, utilisent une ancienne version de SSL et peuvent donc être abusés, entre autres par le biais de la vulnérabilité POODLE découverte en octobre.
En d’autres mots, si un citoyen sollicite une attestation numérique via le portail Digiflow ou saisit ses données personnelles pour créer un profil eGov, cette communication peut être interceptée et lue par des cybercriminels ou… par la NSA.
“Il y a une chose pire que l’utilisation du cryptage, c’est l’utilisation d’un faible cryptage”, réagit le spécialiste en sécurité Jan Guldentops: “Si les résultats de Vanoutte sont corrects et si les pouvoirs publics utilisent en effet pour certaines de leurs plates-formes web d’anciennes versions SSL, elles peuvent être plus facilement piratées que si l’on utilise les protocoles les plus récents, ce qui est logique.”
Pourquoi l’administration hésite-t-elle dès lors à actualiser ses protocoles SSL? “Il y a deux raisons à cela”, affirme Guldentops. “Soit par nonchalance, soit parce que le gouvernement veut s’assurer que même les ordinateurs qui recourent à d’anciens navigateurs, puissent encore utiliser les applications eGov et ce, même s’il existe de meilleures façons de garantir cette compatibilité.”
“Il est étonnant que tant de sites des pouvoirs publics belges soient encore vulnérables vis-à-vis de POODLE”, écrit aussi Vanhoutte sur son blog. “S’il s’agit de données sensibles, les instances devraient quand même faire tout ce qu’elles peuvent pour éviter tout abus possible.”
Ci-après, vous trouverez un état des lieux au terme du test SSL Labs. Les sites avec un score A sont donc relativement sécurisés, alors que le SSL de Digiflow (F) et des sites eGov (F) doit être actualisé.
- Biztax (C) Domain is vulnerable to POODLE attack, because it still uses SSL 3, which is an “obsolete and insecure protocol” (Möller, Duong, & Kotowicz, 2014). SHA1 is used, but this is a too weak signature The server should accept TLS 1.2, but does only support older protocols.
- CSAM (C)Same remarks as Biztax The certificate is still valid until after 2015, however, they should better renew it earlier and use SHA2.
- DIBISS (C)Same as CSAM.
- Digiflow (F)Vulnerable to POODLE attack If a browser tries to connect to Digiflow and attempts the use of the newest TLS 1.2 protocol, the site will no longer work There is no support for secure renegotiation (explained in detail and with an example on DigiCert).
- e-Gov (F)SSL 3 is still used, but should be disabled instead, which currently makes it also vulnerable to POODLE.
- eHealth (A-)SHA1 is used, they should use SHA2 instead Forward secrecy is not enabled. It should be so past communications can’t be decrypted in case the private key should be compromised one day (Zhu, 2014).
- SPF Finances (B)Many issues the other configurations have, but not as severe Not vulnerable to POODLE or BEAST (Meyer & Schwenk, 2014), but they should still disable SSL 3.
- Privacy Commissie (B)Not bad, but they should disable RC4 cipher and enable forward secrecy.
- Social Security (C) POODLE again. On a positive note,TLS_FALLBACK_SCSV is used to prevent the downgrading of the TLS protocol used.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici