Microsoft publie un avis de sécurité pour prévenir les utilisateurs de Windows que le système d'exploitation est vulnérable à l'attaque FREAK qui a fait parler d'elle cette semaine. " La vulnérabilité permet à un attaquant de forcer la rétrogradation des suites de chiffrement dans une connexion SSL/TLS sur un système Windows client. "
Le problème réside dans Schannel (Microsoft Secure Channel), soit l'implémentation de SSL/TLS (TLS étant le successeur de SSL) pour Windows. Cette API contient les protocoles de sécurité pour l'authentification et les communications avec chiffrement dont en HTTPS. Jusqu'à présent, il avait surtout été évoqué le cas de clients OpenSSL vulnérables.
Actuellement, il n'y a pas de rapport concernant des attaques liées à FREAK qui peut permettre une attaque man-in-the-middle pour forcer une dégradation de la robustesse du chiffrement avec un site sécurisé vulnérable. Une attaque est a priori relativement complexe à mettre en œuvre.
Rappelons que la genèse du problème se situe au niveau d'un reliquat de code des années 1990. Une époque où les États-Unis interdisaient l'exportation de standards de chiffrement forts. De quoi faciliter si besoin des pratiques d'espionnage par une agence comme la NSA. En exploitant FREAK, des clients SSL sont ainsi susceptibles d'accepter des clés RSA en 512 bits qui peuvent être cassées avec les ressources nécessaires.
Dans son avis de sécurité, Microsoft souligne que le problème posé par FREAK n'est pas spécifique à Windows. Une mise à jour de sécurité devrait être diffusée, via le Patch Tuesday (celui de mars tombe mardi prochain) ou hors-cycle.