Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

FREAK : une faille permettant d'espionner les connexions chiffrées
Serait la conséquence d'une directive des États-Unis empêchant le chiffrement fort

Le , par Hinault Romaric

81PARTAGES

11  0 

La faille SSL FREAK qui touchait uniquement Android, iOS et OS X à la base, a été étendue à Windows. Microsoft vient de publier une alerte de sécurité pour informer l’industrie que son système d’exploitation Windows (Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8, 8.1, Windows Server 2012 et Windows RT) est également vulnérable.

Le problème se situerait au niveau de Schannel (Microsoft Secure Channel), qui est l'implémentation de SSL/TLS dans Windows. Internet Explorer qui l’utilise vient donc rejoindre Safari et le navigateur d’Android. Les experts de Microsoft travaillent sur un correctif. La firme n’a pas spécifié une date à laquelle celui-ci sera disponible. Il pourrait être présent dans le prochain Patch Tuesday de Microsoft prévu pour le mardi 10 mars.

Mise à jour du 06/03/15

Après la faille Heartbleed dans OpenSSL, Shellshock dans le Shell d’Unix et Linux, ou encore plus récemment POODLE dans SSLv3, place à la nouvelle vulnérabilité FREAK (Factoring RSA EXPORT Attack Keys).

L’écosystème de la sécurité informatique est à nouveau secoué par une faille majeure qui vient d’être découverte par des chercheurs en sécurité américains de Microsoft Research et français de l’INRIA. La vulnérabilité résulterait de la faiblesse des systèmes de chiffrement très utilisés autrefois.

Près d’un tiers (36%) de sites seraient vulnérables à cette faille, sur 14 millions de sites Web à travers le monde supposés sécurisés, car implémentant le chiffrement des données en utilisant les protocoles SSL (Secure Sockets Layer) ou TLS (Transport Layer Security).

Elle permet des attaques de type man in the middle (homme du milieu) même sur des connexions sécurisées avec SSL. En cas d’exploit, un pirate pourrait espionner des utilisateurs et intercepter des informations privées, comme les transactions avec sa banque.

Contre toute attente, cette faille ne résulte pas d’une erreur humaine, ou d’une faiblesse imprévue ou involontaire dans les systèmes de chiffrement. En effet, elle serait la conséquence d’une directive qui avait été appliquée par le gouvernement américain dans les années 90.

Les États-Unis avaient adopté une loi contre le développement des technologies implémentant un chiffrement fort. Cette loi interdisait l’exportation des produits disposant de trop fortes capacités de chiffrement. De ce fait, de nombreux produits ont été commercialisés en utilisant au maximum un chiffrement RSA à 512 bits, adopté comme standard à cette époque et jugé suffisant pour assurer la sécurité des données.

Cette directive avait été abolie des années plus tard, mais de nombreux sites Web, serveurs et certains navigateurs ont continué à implémenter un chiffrement faible (export RSA).

Selon des experts en sécurité, pour réussir une attaque, le pirate doit intercepter la négociation de connexion sécurisée entre un serveur et un navigateur, ensuite tromper le serveur en faisant croire à celui-ci que le navigateur a demandé un chiffrement faible. Le serveur répond alors avec une clé RSA de 512 bits, qui est validée par le navigateur. Les données ainsi transmises peuvent être facilement déchiffrées par les pirates avec les outils existants. L’exploit prend environ 7 heures pour être exécuté et requiert juste un investissement de 100 dollars.

Le navigateur Chrome de Google pour mobile serait vulnérable, ainsi que Safari d’Apple. Les terminaux Android, iPhone, iPad et les ordinateurs Mac seraient donc exposés. Ironie du sort, cette vulnérabilité affecte aussi le site Web de la maison blanche, celui du FBI et même le site de l’agence américaine de sécurité nationale (NSA).

Apple travaille sur un correctif qui sera publié la semaine prochaine pour iOS et OS X. Un patch a déjà été proposé par Google à ses partenaires. Certains sites vulnérables ont déjà élevé le niveau de leur sécurité, dont le site du FBI.

Source : Description de la FREAK

Et vous ?

Que pensez-vous de cette faille ? Quel était le but des États-Unis en imposant une telle restriction ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de grafikm_fr
Expert confirmé https://www.developpez.com
Le 04/03/2015 à 15:06
Citation Envoyé par Hinault Romaric Voir le message
Quel était le but des Etats-Unis en imposant une telle restriction ?
Le même que celui de la France qui considérait jusqu'à 1996 que PGP était une arme de guerre (sic) et qu'il a fallu attendre 2004 pour arrêter de déclarer 56 bits (je crois) sur 128 à l'état sur les clés de chiffrement et enfin libéraliser le sujet?
Et encore, le export RSA (clé de 512 bits) était un peu plus dur à casser à l'époque que maintenant. Sauf que on fait les frais d'une rétrocompatibilité peut-être un peu excessive.
2  0 
Avatar de Bestel74
Membre confirmé https://www.developpez.com
Le 04/03/2015 à 19:58
Citation Envoyé par Hinault Romaric Voir le message

Que pensez-vous de cette faille ? Quel était le but des États-Unis en imposant une telle restriction ?
Je pense que, comme toutes les failles, elle est un peu sur-vendu : il faut quand même être "in-the-middle", ce qui n'est pas rien !
Malgré ça, ça reste une faille intéressante (je ne critique pas le post en lui-même)

Pour la question "est-ce qu'on doit chiffer ou pas", c'est une question très difficile qui m'en amène 2 :

Quand est-ce que ça relève de la sécurité national ? Et donc chiffrement "faible".
Quand est-ce que ça relève de la vie privée ? Et donc chiffrement "fort".

Je dirai : achat en ligne, banque => chiffrement fort.
Mail / navigation / ... gros débat
2  0 
Avatar de coolspot
Membre confirmé https://www.developpez.com
Le 05/03/2015 à 0:31
Encore un truc qui fait le buzz alors que c'est déjà corrigé depuis des mois sur les serveurs et les navigateurs récent. Mais comme toujours parce qu'il y a 20% de pecnots qui mettent jamais rien à jour, on en fait tout un foin.

Moi je dirai ceux qui mettent pas à jour tant pis pour eux, qu'ils assument mais qu'ils viennent pas chialer plus tard.
1  0 
Avatar de pmithrandir
Expert confirmé https://www.developpez.com
Le 04/03/2015 à 16:14
C'est pas le même genre de faille que celle corrigée sur firefox il y a 3 mois qui faisait que si on déclarait qu'on était pas compatible avec les nouvelles techno SSL, on était redirigé vers des anciennes pas aussi bien sécurisées ?
0  0 
Avatar de Hinault Romaric
Responsable .NET https://www.developpez.com
Le 06/03/2015 à 17:52
FREAK : Windows également affecté par la faille SSL
un correctif en cours de développement

La faille SSL FREAK qui touchait uniquement Android, iOS et OS X à la base, a été étendue à Windows. Microsoft vient de publier une alerte de sécurité pour informer l’industrie que son système d’exploitation Windows (Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8, 8.1, Windows Server 2012 et Windows RT) est également vulnérable.

Le problème se situerait au niveau de Schannel (Microsoft Secure Channel), qui est l'implémentation de SSL/TLS dans Windows. Internet Explorer qui l’utilise vient donc rejoindre Safari et le navigateur d’Android. Les experts de Microsoft travaillent sur un correctif. La firme n’a pas spécifié une date à laquelle celui-ci sera disponible. Il pourrait être présent dans le prochain Patch Tuesday de Microsoft prévu pour le mardi 10 mars.

Source : Microsoft
0  0 
Avatar de Namica
Membre expérimenté https://www.developpez.com
Le 07/03/2015 à 21:39
Ironie du sort, cette vulnérabilité affecte aussi le site Web de la maison blanche, celui du FBI et même le site de l’agence américaine de sécurité nationale (NSA).
Héhé, l'arroseur arrosé

Citation Envoyé par coolspot Voir le message
Encore un truc qui fait le buzz alors que c'est déjà corrigé depuis des mois sur les serveurs et les navigateurs récent. Mais comme toujours parce qu'il y a 20% de pecnots qui mettent jamais rien à jour, on en fait tout un foin.
Humm... MS va seulement publier un correctif...
Pour tester : https://www.smacktls.com/freak

Sur un Windows 7, IE 11 à jour :



Depuis mon Firefox :




Avec mon Firefox, l'attaque échoue.
0  0 
Avatar de labs33
Futur Membre du Club https://www.developpez.com
Le 14/03/2015 à 13:42
Lorsque vous êtes une super puissance qui sniffer d'autre super puissance vous installez des système en conséquence.
0  0 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 20/03/2015 à 10:05
la différence ne tient qu'au processus de validation qui est bien plus stricte avec apple
0  0