FREAK : Windows est vulnérable

Le par  |  8 commentaire(s)
censure

Toutes les versions de Windows sont également vulnérables à la faille FREAK dans le chiffrement SSL/TLS.

Microsoft publie un avis de sécurité pour prévenir les utilisateurs de Windows que le système d'exploitation est vulnérable à l'attaque FREAK qui a fait parler d'elle cette semaine. " La vulnérabilité permet à un attaquant de forcer la rétrogradation des suites de chiffrement dans une connexion SSL/TLS sur un système Windows client. "

Le problème réside dans Schannel (Microsoft Secure Channel), soit l'implémentation de SSL/TLS (TLS étant le successeur de SSL) pour Windows. Cette API contient les protocoles de sécurité pour l'authentification et les communications avec chiffrement dont en HTTPS. Jusqu'à présent, il avait surtout été évoqué le cas de clients OpenSSL vulnérables.

FREAK-IE11Outre des sites eux-mêmes vulnérables (ce qui est nécessaire pour une exploitation), les navigateurs vulnérables ne se cantonnement plus à l'ancien navigateur d'Android et à Safari pour OS X et iOS. Il y a désormais Internet Explorer, ainsi que le navigateur BlackBerry, Opera pour OS X et Linux, tandis que Chrome pour OS X doit être mis à jour avec la dernière version. Il devra en être de même pour Chrome pour Android (version 41 pas encore disponible).

Actuellement, il n'y a pas de rapport concernant des attaques liées à FREAK qui peut permettre une attaque man-in-the-middle pour forcer une dégradation de la robustesse du chiffrement avec un site sécurisé vulnérable. Une attaque est a priori relativement complexe à mettre en œuvre.

Rappelons que la genèse du problème se situe au niveau d'un reliquat de code des années 1990. Une époque où les États-Unis interdisaient l'exportation de standards de chiffrement forts. De quoi faciliter si besoin des pratiques d'espionnage par une agence comme la NSA. En exploitant FREAK, des clients SSL sont ainsi susceptibles d'accepter des clés RSA en 512 bits qui peuvent être cassées avec les ressources nécessaires.

Dans son avis de sécurité, Microsoft souligne que le problème posé par FREAK n'est pas spécifique à Windows. Une mise à jour de sécurité devrait être diffusée, via le Patch Tuesday (celui de mars tombe mardi prochain) ou hors-cycle.

Complément d'information
  • FREAK : faille révoltante dans SSL/TLS
    Baptisée FREAK, une vulnérabilité dans le chiffrement fait que des sites sécurisés ne le sont en fait pas. Le souci survient avec une consultation depuis le navigateur Safari pour OS X et iOS, et l'ancien navigateur d'Android. Un ...
  • Alerte Linux : faille critique dans une implémentation de SSL et TLS
    Une importante vulnérabilité a été découverte dans la bibliothèque GnuTLS utilisée dans des distributions Linux. GnuTLS est une implémentation libre des protocoles de sécurisation SSL et TLS.

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1834960
Mais bien sûr que IE est vulnérable, c'est pas une surprise ça quoi Mais honnêtement, combien de personnes qui savent ce qu'est FREAK utilisent IE ?
Le #1834962
Prochainement : Les poches de nos vestes sont vulnérables.
( je plaisante hein, patapé patapé )
Le #1834965
Castiel a écrit :

Mais bien sûr que IE est vulnérable, c'est pas une surprise ça quoi Mais honnêtement, combien de personnes qui savent ce qu'est FREAK utilisent IE ?


En même temps, je ne savais pas non plus jusqu'à aujourd'hui...
Et j'utilise Firefox depuis presque 10 ans...
Le #1834997
//..Rappelons que la genèse du problème se situe au niveau d'un reliquat de code des années 1990. ..//

Qu'ils épurent le code,déjà ça feras des download moins lourd et peut-être qu'ils comprendront à la relecture,ce qu'ils ont fait


mais oui on essssst dredi ,remarque même sans dredi faut dire la vérité,même (surtout)si ça plaît pas aux fans boys lobomotisé
Le #1835003
mapool a écrit :

//..Rappelons que la genèse du problème se situe au niveau d'un reliquat de code des années 1990. ..//

Qu'ils épurent le code,déjà ça feras des download moins lourd et peut-être qu'ils comprendront à la relecture,ce qu'ils ont fait


mais oui on essssst dredi ,remarque même sans dredi faut dire la vérité,même (surtout)si ça plaît pas aux fans boys lobomotisé




C'est clair que quand tu vois des trucs comme ça, tu te dis que tu pourrais gagner au moins 1 Go avec un code un peu plus propre J'ai jamais compris quand ils disent qu'ils veulent "repartir de zéro" (ce qu'ils ont dit pour Windows et tu vois que y'a encore du code de y'a 25 ans...
Le #1835122
A mon avis Windows est vulnérable à un peu tout...
Le #1835126
25 ans de code vereux, ca justifie donc de ne pas le laisser open source !?

"ya bon microsoft"
Le #1835244
«Toutes les versions de Windows sont également vulnérables à la faille FREAK» Après lecture, c'est Windows ou le navigateur qui est vulnérable?

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]