HTTPCSLeader européen de la cyber sécurité

| À propos de nous
Vulnérabilité dans les testeurs SSL

Vulnérabilité dans les testeurs SSL [FR]


Abstract

Il existe de nombreux services sur internet permettant de vérifier des certificats SSL. Ceux-ci affichent des informations sur les certificats et indiquent s'ils sont valides et bien configurés.

Injection de JavaScript

Avec la librairie OpenSSL, il est facile de créer un certificat SSL auto-signé avec les renseignements de son choix. On peut donc créer et installer un certificat de ce type :

Fake SSL

Figure 1 : Fake SSL Screen

Ce certificat contient des injections XSS dans plusieurs champs. La question est alors la suivante : que se passe-t-il si on teste ce certificat SSL sur des vérificateurs en ligne ?

Ceci a été essayé il y a quelques jours sur plusieurs de ces services, parmi les plus connus :



1. SSL Cheker

SSL Cheker

Figure 2 : SSL Cheker





2. SSL Tools

SSL Tools

Figure 3 : SSL Tools



3. SSL Tools Go Daddy

SSL Tools Go Daddy

Figure 4 : SSL Tools Go Daddy



4. Go Get SSL

Go Get SSL

Figure 5 : Go Get SSL



5. SSL 2 Buy

SSL 2 Buy

Figure 6 : SSL 2 Buy



6. UK Fast

UK Fast

Figure 7 : UK Fast





7. Trust Ico

Trust Ico

Figure 8 : Trust Ico





8. Click SSL

Click SSL

Figure 9 : Click SSL





9. Comodo SSL Store

Comodo SSL Store

Figure 10 : Comodo SSL Store



Ces outils, qui font confiance aux données présentes dans les certificats émis par des autorités SSL, étaient donc vulnérables à des attaques XSS menées avec un certificat auto-signé. Ils ont été rapidement corrigés ou mis en maintenance.

HTTPCS SSL Checker

HTTPCS propose également un service de checker SSL (https://www.httpcs.com/fr/tester-certificat-ssl) mais celui-ci n'est pas vulnérable à ce type d'attaque.


En définitive, cet exemple illustre parfaitement l'adage bien connu des développeurs web : « Ne pas se fier aux données utilisateurs ». Pour plus de renseignements ou détails (au choix) sur les failles XSS, vous pouvez consulter notre note d'information :https://www.httpcs.com/fr/faille-cross-site-scripting-xss


HTTPCS Scanner screenshot desktop HTTPCS Scanner screenshot tablet HTTPCS Scanner screenshot phone