FREAK : faille révoltante dans SSL/TLS

Le par  |  3 commentaire(s) Source : miTLS
peur

Baptisée FREAK, une vulnérabilité dans le chiffrement fait que des sites sécurisés ne le sont en fait pas. Le souci survient avec une consultation depuis le navigateur Safari pour OS X et iOS, et l'ancien navigateur d'Android. Un problème de chiffrement qui avait été délibérément affaibli.

Réunis au sein de l'équipe miTLS, des chercheurs en sécurité informatique de l'Inria à Paris et de Microsoft Research ont découvert une nouvelle vulnérabilité dans SSL/TLS. Elle a été baptisée FREAK et fait référence à Factoring attack on RSA-EXPORT Keys.

Via FREAK, des sites présentés comme sécurisés peuvent au bout du compte ne pas l'être. Cryptographe et chercheur à l'université de Johns Hopkins aux États-Unis, Matthew Green résume la situation. Il évoque des " graves vulnérabilités dans des clients OpenSSL (Android) et des clients Apple TLS/SSL (Safari). "

Celles-ci permettent à une attaque homme du milieu (entre le réseau et une cible) de " rétrograder des connexions avec un chiffrement RSA fort " vers des connexions moins sûres au jeu d'une exportation de clés de chiffrement plus faible (et donc plus facile à casser).

En somme, un affaiblissement du niveau du chiffrement entre un site protégé par HTTPS et le navigateur Web. Les versions antérieures à OpenSSL 1.0.1k sont vulnérables, ainsi que l'ancien navigateur d'Android (celui qui a été remplacé par Chrome) et le navigateur Safari d'Apple (pour OS X et iOS). Google propose un correctif à ses partenaires et la firme à la pomme a indiqué le déploiement d'un patch pour la semaine prochaine.

On pourra savoir si un navigateur en particulier est vulnérable en se rendant sur Freakattack.com. De même, on y trouvera une liste des sites affectés et piochés parmi les 10 000 plus populaires du classement Alexa. Pour ces sites et le serveur Web concerné, il est demandé de ne pas seulement exclure l'exportation des suites de chiffrement RSA mais d'en profiter pour désactiver le support de toutes les suites de chiffrement connues pour être non sûres.

FREAK-navigateur-non-touche
Avec des précédents comme Heartbleed, cela commence à faire beaucoup concernant les bugs de sécurité dans SSL/TLS et plus particulièrement leur implémentation. Mais il y a matière à être scandalisé au sujet de FREAK.

La genèse du problème est à aller chercher du côté d'un effort dans les années 1990 visant à affaiblir de manière délibérée les algorithmes de chiffrement afin qu'une agence de renseignement comme la NSA puisse espionner les communications étrangères.

L'équipe miTLS écrit que de tels algorithmes ont été introduits " sous la pression d'agences gouvernementales US ", alors que des algorithmes plus robustes ont été interdits. Une manière de faciliter l'espionnage via des logiciels vendus à des pays étrangers.

Si la situation a aujourd'hui changé (enfin... on peut l'espérer), reste que certains navigateurs et serveurs Web acceptent toujours un chiffrement faible. Ironie du sort, parmi les sites vulnérables, on remarquera la présence de sites gouvernementaux américains dont nsa.gov.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1834708
"Si la situation a aujourd'hui changé" c'est que la NSA et autres peut aujourd'hui casser des chiffrements normaux. HTTPS n'est qu'une plaisanterie pour gogos, aujourd'hui plus qu'hier et bien moins que demain.
Le #1834720
Man-in-the-middle se traduit par "Homme-au-milieu"

L'homme du milieu, c'est Al Capone...
Le #1834724
newsoftpclab2 a écrit :

On pensait que le web était sécurisé.Non , il existe de nombreuses failles de sécurité critique.Vous avez peur des failles critiques ou vous êtes encore sous xp.Vous vous sentez sans protection.Vous craignez d'être parmi les premiers infectés par les virus.Vous avez des antivirus gratuits comme abpremiumpc qui sont bons.Cet antivirus utilise que très peu de vos ressources.Vous pouvez même l'utiliser avec un autre antivirus.


@newsoftpclab2 Ton antivirus moisie ne peut rien contre la faille dont il est question dans cet article.

Être scandalisé et après ? L'Europe est en passe de devenir officiellement le vassal des US et personnes ne s’émeut. Au hasard les failles sont présente chez Google et Apple.

Les moutons de Panurge vous connaissez ?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]