Nom : LogJam. Nature : faille de sécurité touchant les serveurs Web et de messagerie. Particularité : concerne tous les protocoles de communication qui reposent sur la technologie SSL (« Secure Sockets Layer ») ou son successeur TLS (« Transport Layer Security »).
Ainsi peut-on décrire cette vulnérabilité découverte par des chercheurs de l’Inria et de Microsoft Research, en association avec les universités américaines John Hopkins, du Michigan et de Pennsylvanie.
Près de 10 % des sites Web HTTPS les plus populaires – environ 84 000 sur 1 million – seraient affectés. Le taux atteindrait 15 % sur les serveurs e-mail SMTPS.
A l’instar de la faille Freak (« Factoring attack on RSA-Export Keys ») révélée en mars, LogJam découle des restrictions à l’export un temps imposées par les Etats-Unis.
Les autorités sur place ont en l’occurrence limité, pendant des années, la taille maximale des clés de chiffrement autorisée sur les logiciels destinés aux marchés étrangers, afin d’empêcher une protection trop forte des communications.
Cette limitation à 512 bits n’est plus en vigueur aujourd’hui. LogJam exploite en fait les particularités techniques issues de la réglementation.
Présente au sein de SSL depuis environ deux décennies et « récupérée » par TLS, la faille se loge dans des algorithmes appelés Diffie-Hellman et destinés à faciliter l’échange de clés préalable à la sécurisation d’une connexion.
Son exploitation consiste à tromper un serveur Web ou d’e-mail pour lui faire croire que son correspondant emploie une longueur de clé limitée. La communication établie est alors mal protégée… et déchiffrable en quelques minutes par un tiers se trouvant sur le même réseau que la victime.
Les entreprises qui ont mis à jour leurs logiciels pour combler la faille Freak sont d’ores et déjà protégés : les correctifs empêchent les solutions de chiffrement de recourir aux protocoles conçus pour répondre aux restrictions à l’export des autorités américaines.
Comme le souligne Silicon.fr, le problème se trouve plutôt au niveau des navigateurs Web : peu d’éditeurs se sont préoccupés de l’affaire Freak, au vu du « faible nombre » de sites exploitant encore des clés de 512 bits. Les mentalités semblent toutefois avoir évolué avec LogJam : Microsoft a livré un update d’Internet Explorer ; Firefox et Safari devraient suivre.
Les chercheurs concluent leur rapport sur une recommandation : recourir uniquement aux clés de 2048 bits (les catégories inférieures étant considérées vulnérables à des attaques menées par des Etats). Il convient par ailleurs, pour les développeurs et sysadmins, de mettre à jour les bibliothèques TLS et de rejeter les communications chiffrées avec des clés inférieures à 1024 bits.
Crédit photo : optimarc – Shutterstock.com
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…
Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…