Microsoft publie un avis de sécurité pour prévenir les utilisateurs de Windows que le système d'exploitation est vulnérable à l'attaque FREAK qui a fait parler d'elle cette semaine. " La vulnérabilité permet à un attaquant de forcer la rétrogradation des suites de chiffrement dans une connexion SSL/TLS sur un système Windows client. "

Le problème réside dans Schannel (Microsoft Secure Channel), soit l'implémentation de SSL/TLS (TLS étant le successeur de SSL) pour Windows. Cette API contient les protocoles de sécurité pour l'authentification et les communications avec chiffrement dont en HTTPS. Jusqu'à présent, il avait surtout été évoqué le cas de clients OpenSSL vulnérables.

FREAK-IE11 Outre des sites eux-mêmes vulnérables (ce qui est nécessaire pour une exploitation), les navigateurs vulnérables ne se cantonnement plus à l'ancien navigateur d'Android et à Safari pour OS X et iOS. Il y a désormais Internet Explorer, ainsi que le navigateur BlackBerry, Opera pour OS X et Linux, tandis que Chrome pour OS X doit être mis à jour avec la dernière version. Il devra en être de même pour Chrome pour Android (version 41 pas encore disponible).

Actuellement, il n'y a pas de rapport concernant des attaques liées à FREAK qui peut permettre une attaque man-in-the-middle pour forcer une dégradation de la robustesse du chiffrement avec un site sécurisé vulnérable. Une attaque est a priori relativement complexe à mettre en œuvre.

Rappelons que la genèse du problème se situe au niveau d'un reliquat de code des années 1990. Une époque où les États-Unis interdisaient l'exportation de standards de chiffrement forts. De quoi faciliter si besoin des pratiques d'espionnage par une agence comme la NSA. En exploitant FREAK, des clients SSL sont ainsi susceptibles d'accepter des clés RSA en 512 bits qui peuvent être cassées avec les ressources nécessaires.

Dans son avis de sécurité, Microsoft souligne que le problème posé par FREAK n'est pas spécifique à Windows. Une mise à jour de sécurité devrait être diffusée, via le Patch Tuesday (celui de mars tombe mardi prochain) ou hors-cycle.