Pour gérer vos consentements :

Faille dans le chiffrement : pourquoi cette panique autour de Freak

Merci à un groupe de neuf chercheurs de l’INRIA, Microsoft et de l’IMDEA experts en cryptographie pour avoir révélé la faille FREAK (acronyme de Factoring RSA Export Keys).

Elle peut avoir des implications importantes lorsque l’on se connecte sur le navigateur Safari d’Apple et les browsers basés sur OpenSSL à partir d’un terminal iOS d’Apple ou Android de Google.

C’est un héritage quelque part puisque la vulnérabilité FREAK remonterait à 10 ans.

C’est un reliquat d’une ancienne politique de sécurité des autorités américaines (export of cryptography from the United States) qui avait volontairement autorisé l’exportation d’algorithmes de chiffrement modéré afin que ses services de renseignement puissent déchiffrer plus aisément les communications étrangères susceptibles de les intéresser. En revanche, les solutions fortes de cryptographie restaient dans leurs mains.

Cette interdiction a été en grande partie levée à la fin des années 90, rappelle Silicon.fr. Mais ce chiffrement faible a été intégré dans des protocoles largement utilisés dans le monde entier, y compris aux Etats-Unis. Comme OpenSSL (encore lui pourrait-on dire : l’an passé, cette bibliothèque logicielle avait fait beaucoup parler d’elle en raison de la faille Heartbleed).

Spécialiste de la sécurité chez Akamai, Bill Brenner souligne dans une contribution blog que « cette politique USA a eu des conséquences sur le protocole SSL/TLS de deux manières ».

Primo, elle a permis d’ajouter des suites de chiffrements qui reposaient sur des clés courtes et facilement cassables (toutes identifiables par le suffixe EXP).

Secundo, lorsqu’un client se connecte à un serveur, il chiffre la communication (appelé liaison SSL) en utilisant la clé RSA du serveur.

Dans la configuration d’exportation (export grade), cette clé était de 512 bits. A l’époque, cela pouvait être qualifiée de chiffrement fort. Aujourd’hui, pour 100 dollars en utilisant les ressources du cloud, cette clé peut être cassée en moins d’une demi-journée.

Freak : risques d’attaques de l’intercepteur

Quelles sont les conséquences d’une telle faille ? Tous les chercheurs de sécurité s’accordent à dire que c’est une mauvaise nouvelle.

Pour Matthew Green (professeur en cryptographie à l’université Johns Hopkins de Baltimore qui a contribué à découvrir la faille), la vulnérabilité est susceptible de favoriser des attaques de type « Man in the Middle » (MITM en anglais ou « attaque de l’intercepteur »).

Selon la définition de l’ANSSI (agence nationale de sécurité IT), cet assaut consiste à intercepter le trafic entre deux parties avant qu’elles ne débutent une session SSL.

L’intercepteur négocie alors une session avec chaque partie et fait suivre le trafic en le déchiffrant et rechiffrant à la volée.

Pratique pour récupérer discrètement des informations que le client envoie au serveur (mots de passe, identifiants bancaires…).

Pour le cas de FREAK, pourquoi pas « dégrader » la sécurisation de la connexion en passant d’une solution forte de chiffrement au mode affaibli « export grade ».

Selon le Washington Post, plusieurs centaines de milliers de sites Internet sont concernés, y compris des sites Web gouvernementaux ou fédéraux. Si les brèches sur les sites Web de la Maison blanche et du FBI ont été colmatées, ce n’est pas le cas de celui de la NSA.

O1net évoque même une liste de cinq millions de sites Web potentiellement ciblés (y compris en France). Et un grand nombre de sites Web exposant des boutons « J’aime » de Facebook.

Les groupes Internet se mobilisent pour endiguer Freak. Apple prévoit de publier la semaine prochaine un correctif sur son navigateur Safari sur les systèmes d’exploitation iOS et OS X.

Pour Google, cela risque d’être plus long. Si le groupe Internet va protéger le navigateur livré par défaut avec Android rapidement (ce serait déjà le cas pour Chrome), il faudra compter sur la livraison progressive d’updates des terminaux des partenaires OEM de l’écosystème de l’OS mobile (Samsung, Sony, etc.).

(Crédit photo : Shutterstock.com –     Droit d’auteur : seewhatmitchsee)

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago