Nom : LogJam. Nature : faille de sécurité touchant les serveurs Web et de messagerie. Particularité : concerne tous les protocoles de communication qui reposent sur la technologie SSL (« Secure Sockets Layer ») ou son successeur TLS (« Transport Layer Security »).
Ainsi peut-on décrire cette vulnérabilité découverte par des chercheurs de l’Inria et de Microsoft Research, en association avec les universités américaines John Hopkins, du Michigan et de Pennsylvanie.
Près de 10 % des sites Web HTTPS les plus populaires – environ 84 000 sur 1 million – seraient affectés. Le taux atteindrait 15 % sur les serveurs e-mail SMTPS.
A l’instar de la faille Freak (« Factoring attack on RSA-Export Keys ») révélée en mars, LogJam découle des restrictions à l’export un temps imposées par les Etats-Unis.
Les autorités sur place ont en l’occurrence limité, pendant des années, la taille maximale des clés de chiffrement autorisée sur les logiciels destinés aux marchés étrangers, afin d’empêcher une protection trop forte des communications.
Cette limitation à 512 bits n’est plus en vigueur aujourd’hui. LogJam exploite en fait les particularités techniques issues de la réglementation.
Présente au sein de SSL depuis environ deux décennies et « récupérée » par TLS, la faille se loge dans des algorithmes appelés Diffie-Hellman et destinés à faciliter l’échange de clés préalable à la sécurisation d’une connexion.
Son exploitation consiste à tromper un serveur Web ou d’e-mail pour lui faire croire que son correspondant emploie une longueur de clé limitée. La communication établie est alors mal protégée… et déchiffrable en quelques minutes par un tiers se trouvant sur le même réseau que la victime.
Les entreprises qui ont mis à jour leurs logiciels pour combler la faille Freak sont d’ores et déjà protégés : les correctifs empêchent les solutions de chiffrement de recourir aux protocoles conçus pour répondre aux restrictions à l’export des autorités américaines.
Comme le souligne Silicon.fr, le problème se trouve plutôt au niveau des navigateurs Web : peu d’éditeurs se sont préoccupés de l’affaire Freak, au vu du « faible nombre » de sites exploitant encore des clés de 512 bits. Les mentalités semblent toutefois avoir évolué avec LogJam : Microsoft a livré un update d’Internet Explorer ; Firefox et Safari devraient suivre.
Les chercheurs concluent leur rapport sur une recommandation : recourir uniquement aux clés de 2048 bits (les catégories inférieures étant considérées vulnérables à des attaques menées par des Etats). Il convient par ailleurs, pour les développeurs et sysadmins, de mettre à jour les bibliothèques TLS et de rejeter les communications chiffrées avec des clés inférieures à 1024 bits.
Crédit photo : optimarc – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…