FREAK pour Factoring RSA Export Keys : faille et exploit visant une faiblesse dans l’exportation de clés de chiffrement, permettant de casser la sécurité de millions de sites Internet.
Des chercheurs informatiques (issus de l’INRIA, de Microsoft Research et l’institut de recherche espagnol IMDEA) viennent d’identifier une nouvelle faille critique au niveau du SSL (Secure-Socket Layer) et permettant ainsi à des attaquants d’intercepter et de casser le chiffrement d’échanges en principe protégés. En résumé simple et schématique, la faille permet de forcer les navigateurs Web à revenir à un mode de chiffrement plus faible, beaucoup plus facile à casser par les pirates. FREAK est identifié CVE-2015-0204.
Des milliers de sites censés être sécurisés sont en fait vulnérables, mais uniquement s’ils sont visités depuis Safari (sur iOS et Mac) ou depuis le vieux navigateur par défaut d’Android. Chrome, lui, Firefox et Internet Explorer ne sont pas concernés.
Le problème vient des faibles normes de cryptage mises en place dans les années 90 pour permettre à l’agence américaine du renseignement NSA d’espionner les communications étrangères, selon une étude publiée mardi. L’ironie du sort est que les sites Web de la Maison Blanche, du FBI et de la NSA sont tous vulnérables à FREAK…
Apple et Google inquiets
D’après des tests réalisés par des experts de l’université du Michigan, un tiers des sites utilisant du chiffrement s’avèrent vulnérables à des attaques FREAK. C’est en particulier le cas de ceux utilisant OpenSSL (un correctif existe) et des clients TLS/SSL d’Apple. D’ailleurs le navigateur Safari de l’éditeur est vulnérable, tout comme celui intégré dans Android. Chrome, Firefox et Internet Explorer ne sont en revanche pas concernés.
Parmi les sites affectés, nombreux sont ceux qui exploitent le service de CDN d’Akamai. La firme a d’ores et déjà fait savoir qu’elle travaillait à un correctif pour ses serveurs Web. Apple a annoncé qu’un patch serait disponible la semaine prochaine. Google a lui fourni un correctif aux opérateurs et constructeurs, que ces derniers devront encore déployer.