La vulnérabilité découverte par la NSA dans Windows 10 n'affecte pas seulement le système d'exploitation Microsoft; cela peut également aider à masquer les tentatives de piratage sur le navigateur Chrome de Google.
Mercredi, des chercheurs en sécurité ont commencé à démontrer comment utiliser la faille Windows 10, CVE-2020-0601, pour usurper des certificats numériques de confiance pour les domaines de sites Web officiels sur Chrome.
Un expert, Saleem Rashid, a fait cela en usurpant le certificat SSL du site NSA.gov, qui a été signalé pour la première fois par Ars Technica.
Grâce à la vulnérabilité, le navigateur de Google interprétera à tort le certificat comme valide alors qu'en réalité il s'agit d'un faux.
grâce à indice :)
les plus grandes contraintes sont les politiques de certificat strictes de Chrome et le fait que l'autorité de certification racine doit être mise en cache, ce que vous pouvez déclencher en visitant un site légitime qui utilise le certificat
- Saleem Rashid (@ saleemrash1d)
La lecture erronée se produit parce que Chrome s'appuie sur CryptoAPI de Windows 10 pour valider les certificats, a déclaré Yolan Romailler de Kudelski Security à Daxdi.
Malheureusement, la même API a un bogue sérieux sur la vérification de la cryptographie à courbe elliptique.
Mardi, Microsoft a averti que vous pouvez en fait truquer un certificat pour tromper le système en lui faisant croire qu'il est réel et provient d'une source fiable.
Cela a alarmé les experts en sécurité, y compris les responsables de la NSA.
Entre de mauvaises mains, la faille pourrait aider les pirates à créer des sites Web d'apparence officielle, alors qu'en réalité, ils ont été conçus pour voler vos informations.
Romailler a créé une preuve de concept que tout le monde peut visiter pour voir la faille en action.
En utilisant une machine Windows 10 vulnérable, Daxdi l'a essayé et la démo fonctionne sur Chrome ainsi que sur le navigateur Edge de Microsoft, mais pas sur Firefox, qui affichera une erreur de connexion lorsque le site de test sera chargé.
Bien que la faille soit dérangeante, il est important de noter que les pirates ont réussi à duper les victimes avec des sites de phishing similaires depuis des décennies maintenant, sans exploiter les failles de CryptoAPI de Windows.
La vraie menace est si un adversaire, comme un gouvernement étranger ou des pirates d'élite d'un État-nation, contrôle un réseau Internet.
L'adversaire pourrait secrètement lancer une attaque de l'homme du milieu en interceptant le trafic vers un site Web majeur et en redirigeant tous les utilisateurs vers un domaine contrôlé par un pirate informatique.
Un exemple de cela s'est produit en 2015, lorsque des utilisateurs en Chine qui tentaient de visiter Outlook.com de Microsoft ont été brièvement redirigés vers un site similaire sur le même domaine.
Heureusement, les utilisateurs ont été avertis car leur navigateur n'a pas réussi à renvoyer un certificat numérique de confiance.
Cependant, le bogue CryptoAPI menace de saper cette importante sauvegarde.
Recommandé par nos rédacteurs
La bonne nouvelle est que Microsoft a publié un correctif pour corriger la faille, qui est également déployé directement auprès des utilisateurs de Windows 10 sur lesquels les mises à jour automatiques sont activées.
Selon Ars Technica, Google travaille également sur un correctif pour le navigateur Chrome déjà disponible dans les versions bêta.
Sur Chrome, l'exploitation de la faille n'a nécessité que Romailler écrivant 50 lignes de code informatique.
Cependant, pour réussir à usurper un certificat, Chrome doit déjà avoir chargé et stocké le certificat racine dans le cache du navigateur.
Cela peut être fait simplement en demandant au navigateur de visiter d'abord un site Web distinct avec le certificat racine avant de se lancer dans l'attaque d'usurpation d'identité.
