Des centaines d’applis Android et iOS souvent téléchargées sont encore et toujours vulnérables aux attaques FREAK, alors des patches existent bel et bien.
Le spécialiste de la sécurité FireEye a analysé quasiment 11.000 applis Android du magasin Google Play à propos de leur vulnérabilité vis-à-vis de FREAK. De ces applis, il y en a encore plus de 1.200 qui n’ont pas été corrigées. Il s’agit d’applis qui ont toutes été téléchargées à plus d’un million de reprises. En tout, les applis vulnérables ont été téléchargées 6,3 milliards de fois.
Plus de 650 de ces applis Android vulnérables utilisent la librairie OpenSSL d’Android, et plus de 550 disposent de leur propre librairie OpenSSL compilée. Ces versions sont toutes vulnérables à FREAK.
FireEye a aussi scanné plus de 14.000 applis iOS populaires, dont 771 sont encore vulnérables à FREAK. La plupart d’entre elles fonctionnent encore avec des versions iOS antérieures à 8.2.
Mise sur écoute
FREAK, l’acronyme de Factoring attack on RSA-EXPORT Keys, s’est de nouveau manifestée plus tôt ce mois-ci. La faille FREAK se trouve dans SSL/TLS et fait en sorte que la communication sécurisée des appareils tournant sur Android, iOS et OS X en combinaison avec certains sites web puisse être aisément mise sur écoute.
La faille FREAK a vu le jour, parce que le gouvernement Clinton avait décidé dans les années 90 que les clés pour tous les produits de cryptage américains destinés à l’exportation, ne pouvaient plus dépasser 512 K.
Cette forme cryptage peut être aisément piratée aujourd’hui, mais beaucoup d’appareils fonctionnent pourtant encore et toujours avec ces clés.
