FREAK est une faille dans le SSL/TLS qui permet de faire passer des sites pour sécurisés alors qu'ils ne le sont pas. La vulnérabilité concerne les clients OpenSSL ( Android) ainsi que les clients Apple TLS/SSL (Safari).
Face au danger que représente la faille, les géants du web se sont organisés et ont rapidement fait l'annonce d'un colmatage. La plupart des navigateurs web ont été mis à jour, mais la société de sécurité FireEye évoque encore quelques manques dans la boucle : les applications mobiles.
C'est en analysant une dizaine de milliers d'applications sous Android et iOS que la société dresse le bilan suivant : sur 10 985 applications contrôlées sur le Google Play, 1228 sont vulnérables à l'attaque FREAK ( soit 11,2%). Le fait est que ces applications se connectent à des serveurs qui acceptent les clés de chiffrement RSA-Export 512 bits en utilisant des librairies OpenSSL vulnérables.
Ces applications auraient, au cumul, été téléchargées 6,3 milliards de fois... Autant de victimes potentielles pour les hackers.
Chez Apple, le constat est meilleur : sur 14 079 applications testées, 771 sont vulnérables, à condition que l'utilisateur dispose d'une version antérieure à iOS 8.2.
FireEye a indiqué avoir réussi avec succès à intercepter des communications HTTPS depuis une appli vulnérable pour en extraire des informations sensibles. Il devient donc urgent pour les sociétés à l'origine de ces applications de faire un peu de ménage.
