Le groupe THC a publié un outil répondant au nom transparent de THC SSL DOS, en téléchargement gratuit sur le site officiel. Attention à vos serveurs !
Son utilisation (bien entendu réservée aux seuls webmestres à des fins de test), peut très simplement rendre inaccessible un site Web par surconsommation de ressources CPU en exploitant une faiblesse SSL connue et décrite par le THC. La principale élégance de cette attaque est qu’elle ne nécessite aucun botnet important (une seule machine peut conduire l’attaque).
Une grande ferme de serveurs, précise le communiqué, n’exige la mobilisation que d’une vingtaine d’ordinateurs portables tout à fait conventionnels et une bande passante de 120 Kb/s. Le but de cette publication est de dénoncer la confiance aveugle des administrateurs de sites envers ce que le THC considère comme un « modèle de sécurité dépassé et inadéquat ».
L’outil d’attaque exploite un défaut de conception dit « de renégociation SSL » (fonction qui n’est pas systématiquement utilisée par tous les serveurs). Cette renégociation sert à générer une nouvelle clef immédiatement après l’établissement de la communication chiffrée entre le poste client et le serveur. Cette opération consomme, précise le THC, 15 fois plus de ressources CPU sur le serveur que sur le poste client.
Les commentaires sont fermés.