Banques vulnérables à POODLE — mais pas seulement.

Par SwissTengu @SwissTengu @SwissTengu — 18.12.2014
Un article, paru dans Le Matin du jour1, met en avant des problèmes de configuration des serveurs e-banking de deux organismes bancaires suisses.

Les commentaires, outre le fait qu'ils passent juste à côté du sujet principal, montrent aussi le manque de connaissances des utilisateurs de ces services. La réponse d'une des banques citées2 est, quant à elle, un ramassis de langues de bois.

Penchons-nous un tout petit peu sur le fond du problème.

POODLE
Sous ce joli nom tout mignon se cache un truc un peu vicieux. On ne va pas entrer dans les détails, déjà expliqués en long3, en large4 et en travers5.
Ce qu'il faut retenir, c'est que c'est exploitable moyennant un peu de connaissances techniques, et que ça permet, entre autres, de récupérer un cookie6 de session7, permettant à un attaquant de vous personnifier auprès des services demandant une authentification (comme une banque, par exemple).

Il est certain que les instituts bancaires ont des mesures de sécurité empêchant un cookie d'être réutilisé. On imagine sans peine que les adresses IP sont contrôlées lors de chaque action, de même que les éléments fournis par les navigateurs des clients. De toutes façons, les informations utilisables pour de tels contrôles sont enregistrées pour le suivi des transactions, leur validation, etc. Avec ou sans POODLE, Heartbleed ou autres à venir.

Il est donc clair que le système e-banking en soi est sécurisé ou, du moins, ne devrait pas être assez mauvais pour que POODLE soit réellement efficace.

C'est quoi le problème alors ?
Le problème, enfin, les problèmes, sont mutliples.

En premier, le silence des banques face à POODLE. Mais pas seulement : peu ont communiqué suite à Heartbleed8 qui a pourtant été pas mal médiatisé. En gros, on paie les banques pour un service et un accès par voie électronique (e-banking), mais on ne sait jamais réellement si elles sont au courant des failles, ni ce qu'elles font pour nous protéger, nous, les clients qui leur confions notre argent.

Outre le silence, le temps de réaction est affligeant : il faut compter des semaines si ce n'est des mois avant de voir le correctif appliqué.

Dans le cas précis de la BCV, on pourra aussi noter leur superbe résultat sur SSLlabs9, montrant qu'ils n'ont pas forcément les moyens de contester quoi que ce soit : leur configuration SSL est mauvaise, du certificat SSL mal fait jusquà la configuration de leur serveur web. Même leur certificat intermédiare est faux et comporte des éléments en trop…

/static/images/bcv-fail.png

Dans le cas de la Raiffeisen, pareil, leur résultat10 est tout aussi parlant, bien que meilleur que la BCV. Ce qui n'est, en soit, pas très dur…

/static/images/raiffeisen-fail.png

Et alors… C'est sécurisé, oui ou non ?
Oui. Enfin… On ne peut que l'espérer, à savoir que le protocole de connexion est pourri, donc on doit faire confiance au backend (l'application d'e-banking) pour qu'elle possède les contrôles nécessaires, et qu'elle soit exempte de failles exploitables. Errare humanum est, comme disait l'autre.

Sans tomber dans la paranoïa complète, voici quelques conseils pour éviter les problèmes en attendant que la situation soit claire :
  • Ne jamais employer une connexion publique sans fil
  • Éviter de passer par les connexions mobile (oui, même avec leur app, le réseau DATA mobile est insécure)
  • Contrôlez que le certificat soit bien émis par une autorité reconnue (VeriSign pour la BCV,  et QuoVadis Global pour Raiffeisen)
  • Dans la mesure du possible utilisez la connexion de votre domicile.

Note: l'émetteur du certificat. À ce niveau, rien n'est gravé dans le marbre, surtout en sachant que ces deux banques ont "prévu de corriger le problème" début 2015. 

Mot de la fin
Ce qui est consternant dans toute cette histoire, c'est le manque de communication des banques.
Si elles savent qu'elles sont protégées, pourquoi ne pas le mettre sur leur page d'accueil ?
Quand on les contacte par mail, en passant par leur messagerie interne (accessible uniquement par les clients donc), pourquoi ne répondent-elles pas ?

Ce qui est aussi consternant, c'est de voir que des instituts censés protéger leurs usagers ne semblent pas prendre réellement au sérieux l'image qu'elles donnent d'elles-mêmes : en effet, se ramasser un F pour un truc aussi basique qu'une configuration SSL, ça ne donne pas confiance.

Pour notre part, cela nous fait nous interroger sur les compétences de leurs équipes (ou prestataires) à gérer correctement une infrastructure.
Du coup, est-ce que nos données sont réellement protégées ?
Est-ce que tout est réellement mis en œuvre pour éviter les fuites ou les vols ?

Autant de questions qui, nous le craignons, resteront sans réponse. Le manque de transparence à ce niveau est mauvais, et n'inspire en tous cas pas la confiance requise pour confier son argent et ses données à de tels instituts.

En comparaison, la connexion fournie par EthACK est plus sécurisée que celle de ces deux banques11. Et on ne vous fait rien payer pour ça ;).

/static/images/ethack-ssl.png



Commentaires (4)

par Crigou — 13.02.2015, 07:33 — PermaLink
Sans oublier de vérifier, côté client, que SSLv3 est désactivé dans le navigateur:
https://www.ssllabs.com/index....
par Crigou — 15.02.2015, 12:30 — PermaLink
Par rapport à l'iPad auquel j'ai personnellement accès, des discussions sur une ÉVENTUELLE vulnérabilité de Safari à la menace Poodle sont déjà sur le feu, et peuvent être suivies par exemple ici:
https://discussions.apple.com/...
par Crigou — 19.02.2015, 22:52 — PermaLink
J'ai encore pris l'initiative de contacter MELANI, au sujet du problème Poodle / Safari, et voici leur réponse par courriel(19 février 2015), fort intéressante au demeurant. On y relativise le risque Poodle, par rapport au risque Heartbleed.
"
Merci pour votre annonce à la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI).
MELANI n'a pas les moyens de communiquer autour de chaque faille rendue public. Nous avons choisi lors
de sa publication de ne pas communiquer vers le grand public au sujet de poodle, que ne considérons comme
moins critique que d'autres failles telles que heartbleed p. ex., et qui demande des conditions très spécifiques
pour être exploitée. Nous avons cependant bien entendu suivi de près les développements du cas, et informé
les opérateurs des infrastructures critiques de notre pays en conséquence. Nous allons par ailleurs thématiser
cela lors de notre prochain rapport semestriel. La discussion que vous nous faites suivre sera ainsi intégrée
à notre réflexion dans le cadre de ce sujet. Notons enfin que tous les navigateurs peuvent à moment donné
être touchés par des vulnérabilités. Une des mesures que nous recommandons à ce sujet est d'opter pour
une stratégie à deux navigateurs:
http://www.melani.admin.ch/the...
"
par Crigou — 23.02.2015, 08:11 — PermaLink
Encore un rapport complet de la NSA, détaillant la situation d'aujourd'hui avec l'obsolescence de SSL:
https://www.nsa.gov/ia/_files/...
Ajouter un commentaire