[Màj] Faille de sécurité : le « freak », ça pique

Mise à jour du 6 mars :

On pensait que Freak ne touchait que les navigateurs Safari et Androïd. Mais il apparaît aujourd'hui que la faille concerne d'autre butineurs, à savoir Internet Explorer, Opera et le navigateur de BlackBerry. Concernant IE, c'est Microsoft elle-même qui tire le signal d'alarme sur son site TechNet et qui pointe du doigt son package Secure Channel, lequel gère les protocoles d'authentification SSL et TLS. Un correctif est en cours de développement pour l'ensemble des browsers concernés. En attendant, il est recommandé de faire appel aux dernières versions des deux navigateurs non touchés par Freak, à savoir Chrome et Firefox.

Article original du 4 mars :

Dans les années 90, on voyait d'un mauvais œil un chiffrement trop élevé des pages web. La NSA, entre autres, n'aurait pas pas pu espionner comme elle l'entendait les communications étrangères. Le niveau de chiffrement a donc été réduit. Mais depuis, la technologie a largement évolué, obligeant les hébergeurs et les webmasters à accroître régulièrement la puissance de chiffrement des sites web, afin de rendre toute tentative d'interception et de décryptage impossible. Fin de l'histoire ? Pas vraiment.

Depuis cette époque donc, navigateurs et serveurs ont su évoluer. Mais pas tous, comme vient de le découvrir une équipe de chercheurs spécialisés en sécurité, suite à des travaux menés par l'Inria (Institut national de recherche en informatique et en automatique) et Microsoft. De cette période, il reste malgré tout des « résidus » dans le code source de certains logiciels. Un pirate malintentionné pourrait ainsi forcer un programme à descendre à son niveau de sécurité en utilisant une faille de sécurité, qui répond au nom de Freak (Freak signifie Factoring attack on RSA-EXPORT Keys). Celle-ci permettrait à un hacker de venir à bout de la sécurité d'un site assez facilement. Il ne lui faudrait que quelques heures pour réussir à déchiffrer toutes les données transmises entre un site et ses visiteurs et, par conséquent, récupérer toutes les informations personnelles qu'il désire : adresse email, mot de passe, coordonnées bancaires, etc.

Antivirus : quelle est la meilleure suite de sécurité ?

Un exemple d'exploit effectué sur le site de la NSA et provenant de https://www.smacktls.com.Un exemple d'exploit effectué sur le site de la NSA et provenant de https://www.smacktls.com.

Près d'un tiers des sites web seraient ainsi potentiellement vulnérables à cette faille de sécurité. Car Freak affecte à la fois le protocole SSL, mais également son successeur, le TSL. Et il concerne deux navigateurs : Safari d'un côté, et le navigateur d'Android de l'autre. Pour les autres (Internet Explorer, Firefox, Chrome, Opera...), il n'y aurait pas lieu de s'inquiéter.

Le comble, c'est que les sites de NSA, du FBI ou de la Maison-Blanche sont aujourd'hui considérés comme vulnérables face à cette faille. Google a déjà livré un correctif permettant de combler cette faille du navigateur Android. Reste que fabricants et opérateurs doivent désormais déployer une mise à jour sur les appareils utilisant Android. Quant aux produits Apple (sous Mac OS X et iOS), ils bénéficieront d'une mise à jour la semaine prochaine. Reste que découvrir une vulnérabilité vieille de 20 ans, ça fait un peu mal...

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
    Votre commentaire