Secunews
Informatique Piratages

Freak une faille majeure dans SSL touchant des millions de sites

Freak une faille majeure dans SSL touchant des millions de sites

Des millions de sites internet auraient été fragilisés par une faille informatique résultant de faibles normes de cryptage, mises en place dans les années 90 pour permettre à l’agence américaine du renseignement NSA d’espionner les communications étrangères, selon une étude publiée mardi.

Le problème n’est en fait pas vraiment technique mais plutôt politique, ce qui est à la fois surprenant et amusant pour une vulnérabilité informatique

La faille, surnommée ‘FREAK‘ (Factoring attack on RSA-EXPORT Keys), pourrait rendre ces sites vulnérables (y compris des sites administrés par le FBI et la NSA) aux attaques de pirates informatiques si le problème n’est pas réglé, selon cette étude menée par des chercheurs français et américains.

La faille provient d’une “suite de codes à complexité délibérément faible mis en place sous la pression du gouvernement américain pour s’assurer que la NSA soit capable de décrypter toutes les communications étrangères”, expliquent les chercheurs.

[quote]Selon les chercheurs, cette faille provient de normes de cryptage imposées par le gouvernement américain sur les logiciels destinés à l’exportation, le but, selon eux, était de permettre aux Etats-Unis d’avoir accès à ces logiciels quand ils étaient vendus à des pays hostiles.[/quote]

Or même après le renforcement des règles de cryptage, certains logiciels voués à l’exportation ont continué à être régulés selon les précédentes normes.

[quote]“La faille est importante en soi, mais c’est surtout un bon exemple de ce qui peut se passer quand un gouvernement instaure des règles trop faibles pour des systèmes de sécurité” informatique, estime Ed Felten, professeur de sciences informatiques à l’université de Princeton.[/quote]

La brèche a été découverte par les équipes de Karthikeyan Bhargavan en France à l’Institut national de recherche informatique et en automatique (Inria) et de Matthew Green aux Etats-Unis, un cryptographe à l’université de Johns Hopkins, dans le Maryland.

La vulnérabilité du site de la NSA elle-même “ne pose pas de problème de sécurité nationale en soi parce que la NSA ne livre pas ses secrets d’Etat sur son site, mais il s’agit d’une importante leçon sur les conséquences que peuvent engendrer des décisions politiques en matière de cryptage”.

La fonction de l’option “j’aime” sur Facebook a été identifiée comme vulnérable, mais la faille a depuis été réparée.

La morale de cette histoire est assez simple:
Le cryptage mis en place par des portes dérobées se retournera toujours contre vous.

La faille serait notamment exploitable à partir de bugs dans Safari et Android, mais aussi à partir de l’infrastructure OpenSSL.

Des millions de sites web seraient affectés, parmi eux:

Les sites d’American Express.
La Maison blanche.
Du FBI .
La NSA .

Les serveurs web faisant appel à des réseaux de diffusion de contenu (CDN) seraient en particulier affectés, ce serait le cas d’Akamai, qui a annoncé plancher sur un patch.

Apple travaille aussi sur un correctif, et Google a annoncé qu’une rustine avait déjà été distribuée à ses partenaires pour Android, quant à Internet Explorer, Chrome et Firefox, ils ne sont pas concernés.

Les PC sous Windows sont aussi concernés, Microsoft a publié un bulletin d’alerte pour Internet Explorer 11, sans préciser quand il serait patché.

0
0

Commentaires

Laisser un commentaire