Depuis quelques jours on ne parle plus de ça : il est possible de (très) facilement faire tomber des serveurs via une faille du protocole SSL. Très rapidement, et sans rentrer dans les détails, une groupe de hacker allemand (THC) a publié un outil permettant d’exploiter rapidement une faille du protocole SSL connue depuis 2003 (et jamais corrigée). Cette faille tire son origine dans le fait qu’une négociation SSL demande 15 fois plus de puissance au serveur qu’au client.
L’outil publié permet de surcharger les serveurs de son choix en renégociations.
Exemple : ici, un serveur de test non protégé (acceptant la renégociation). Après quelques secondes, la charge du serveur commençait déjà à monter : j’ai volontairement arrêté le test. Que dire d’un hacker avec un nombre important de machines à sa disposition ?
Faille SSL DDos
Exemple : ici, un serveur de test protégé (avec la renégociation désactivée).
Serveur protégé, avec la renégotiation désactivée
Mais comment savoir rapidement (comprendre « sans vérifier la configuration ») si votre serveur est vulnérable ou protégé ?
SSL Labs (Qualys) fournit un outil de test, SSL Server Test : celui-ci décrypte et analyse votre configuration SSL. Il suffit d’indiquer l’adresse du serveur, et d’attendre quelques secondes.
Serveur ayant échoué au test et vulnérable à l'attaque DDos SSL
Serveur ayant échoué au test et vulnérable à l'attaque DDos SSL
Pour un serveur avec la renégociation désactivée, le résultat est assez différent :
Serveur non vulnérable
Le test se situe sur cette page : SSL Server Test.
Note : désactiver la renégociation ne corrige pas la faille, mais permet de restreindre fortement son utilisation.