Contrairement à ce qu’on pensait d’abord, Internet Explorer et Windows restent bien sujets au bug FREAK. Le seul navigateur qui semble ne pas en pâtir, est Firefox.
Le bug FREAK exploite une porte dérobée qui remonte aux années nonante du siècle dernier, lorsque le gouvernement Clinton voulait éviter que des technologies trop précieuses ne tombent entre les mains d’ennemis des Etats-Unis. Pour les produits à l’exportation, l’on ne tolérait à l’époque qu’un cryptage relativement faible sur base de clés de 512 bits maximum. Si cela offrait à ce moment-là encore une sécurité largement suffisante, le décodage d’une telle protection s’avère un jeu d’enfant en 2015.
Le bug se dissimule dans une combinaison de deux éléments: le ‘cryptage de la qualité d’exportation’ est resté intégré à beaucoup de logiciels, même après la levée des restrictions, et il semble en outre être possible de forcer des sites web à utiliser la forme faible du cryptage lors de l’établissement des connexions sécurisées. Cela confère aux pirates la possibilité d’une mise sur écoute.
Windows semble quand même être vulnérable
La ‘Factoring attack on RSA-EXPORT Keys’ parut possible sur un nombre inopinément élevé de sites web. Plus d’un tiers des sites web sont du reste vulnérables, dont ceux d’exploitants renommés, comme AmericanExpress.com, Bloomberg.com, NSA.gov et FBI.gov. Côté clients, seuls Safari d’Apple et Chrome de Google semblèrent à première vue vulnérables. Mais Microsoft a annoncé hier soir que Windows l’est aussi vis-à-vis de la méthode destinée à compromettre le trafic sécurisé. Entre-temps, un chercheur indépendant a confirmé que la combinaison Windows – Internet Explorer pâtit bien de FREAK, y compris dans leurs versions les plus récentes. Cela implique que parmi les principaux navigateurs, seul Firefox n’en souffre pas.
Apple et Google pensent sortir un patch la semaine prochaine. Il n’y a que pour Chrome sur Mac qu’un correctif est déjà disponible. Microsoft n’a de son côté encore rien promis, mais offrirait dans l’advisory auquel il est fait allusion ci-dessus, une méthode manuelle pour éviter tout retour vers la clé vulnérable.
Surfez avec prudence
Si vous n’avez pas envie de migrer vers un autre navigateur ou de modifier les paramètres, veuillez surfer avec circonspection. Des sites très utilisés comme Google et Facebook ne souffrent en tout cas pas du problème. En cas de doute, allez sur le site freakattack pour savoir si votre site web préféré peut vous causer des soucis.
Source: Automatiseringgids
