All time Branchez-vous Branche Toi BetterBe Nerds Carrières

Un FREAK menace la sécurité d’Android et iOS

Par Laurent LaSalle – le dans Actualités
Apple et Google ont annoncé cette semaine une mise à jour visant a atténuer un important bug de sécurité découverte récemment sous Android, iOS et OS X.

Découverte par des chercheurs de INRIA Paris-Rocquencourt et Microsoft, la faille qui porte le nom de code CVE-2015-0204 a été baptisée FREAK, soit l’anagramme de l’acronyme Factoring Attack on RSA Export Key. Elle peut être exploitée par un pirate lorsqu’un internaute visite un site qui emploie une méthode de chiffrement désuète via une connexion HTTPS avec un appareil vulnérable – un téléphone Android, un iPhone ou un Mac sous OS X.

Une MAJ sera déployée la semaine prochaine sur iOS, tandis que celle destinée à Android se trouve déjà entre les mains des fabricants et opérateurs mobiles.

Le problème, c’est que parmi 14 millions de sites employant le protocole SSL ou TLS sondés par les spécialistes en sécurité, 36% d’entre eux seraient vulnérables à ce type d’attaque. Au moment d’écrire ces lignes, la majorité des utilisateurs Windows et Linux ne seraient pas affectés par cette faille.

À la lumière de cette découverte, Ryan James, porte-parole d’Apple, a déclaré que son entreprise avait développé une mise à jour afin de remédier à la situation. Celle-ci doit être déployée la semaine prochaine.

De son côté, Google a déclaré par le biais de sa porte-parole Liz Markman qu’une mise à jour visant à colmater cette brèche a été transmise à ses partenaires. Toutefois, puisque Google ne déploie généralement pas lui-même de mises à jour, l’entreprise n’est pas en mesure d’annoncer quand les utilisateurs d’Android pourront en bénéficier. Ces derniers devront attendre que les fabricants et opérateurs mobiles en fassent le déploiement.

En rapportant la nouvelle mardi, le Washington Post a indiqué que les sites Whitehouse.gov, NSA.gov et FBI.gov étaient vulnérables à ce type de cyberattaque. Le vent aurait tourné depuis, et seul le site de la NSAserait toujours vulnérable à l’heure actuelle selon le blogue Recode.

La source du problème : de faibles clés de chiffrement

Selon le blogue Ars Technica, pour tirer profit de cette vulnérabilité partagée entre bon nombre d’internautes et de serveurs web, un pirate n’a qu’à injecter un ou des paquets malveillants dans la connexion afin de provoquer les deux parties à employer une faible clé de chiffrement de 512 bits lors d’une séance sécurisée. Le pirate pourra ainsi recueillir les données et en extirper la clé de chiffrement à l’aide d’un service infonuagique comme Amazon ou autres.

securiteinformatique

Une fois en possession de cette clé, le pirate peut simplement se rendre dans un endroit public pourvu de Wi-Fi afin d’usurper l’identité de l’utilisateur en se connectant au serveur en question, avant d’accéder aux informations personnelles de la victime.

Les faibles clés de chiffrement de 512 bits sont un vestige du gouvernement américain, lorsque l’administration Clinton a exigé que de telles clés soient employées par tout matériel informatique ou logiciel exporté à l’extérieur de ses frontières.

Afin de répondre à cette demande, les fabricants informatiques et éditeurs de logiciels ont conçu leurs produits afin qu’ils puissent utiliser une forte clé de chiffrement lorsqu’ils sont employés à l’intérieur des États-Unis, et une faible clé de chiffrement lorsqu’ils sont connectés à l’étranger. Une fois que cette restriction a été abandonnée, beaucoup d’ingénieurs ont laissé tomber cette pratique.

Manifestement, le grand ménage n’a pas été fait, de sorte que l’on se retrouve aujourd’hui devant un problème d’une telle ampleur.

Comment se prémunir contre ce bug?

La solution la plus simple est d’adopter Firefox comme navigateur par défaut.

Vous pouvez visiter le site Tracking the FREAK Attack afin d’obtenir le diagnostic de votre configuration, ainsi que la liste des sites vulnérables les plus populaires selon Alexa. Mentionnons que parmi les domaines canadiens, on retrouve notamment les sites d’Environnement Canada (plus précisément, la version anglophone), de l’université de Toronto et de Canadian Tire.

La solution la plus simple est d’adopter Firefox comme navigateur par défaut sur votre PC ou téléphone Android. En effet, ce dernier n’est pas vulnérable à FREAK.

Les utilisateurs d’appareils iOS doivent cependant se méfier non seulement de Safari, mais également d’une poignée d’applications qui emploient le moteur web d’iOS (essentiellement Safari). Étrangement selon nos tests, tandis que Chrome semble immunisé sous iOS, il est jugé vulnérable sous Android et OS X. Heureusement, Firefox est disponible sous Android et tout comme son homologue OS X, celui-ci ne démontre aucune vulnérabilité liée à FREAK.

Vidéo récente
- Actualités

Ventes d'Iphones en chute libre

Les dernières nouvelles

VLC : une faille de sécurité majeure découverte dans le lecteur multimédia

VLC : une faille de sécurité majeure découverte dans le lecteur multimédia

Matthieu Carlier -
iPhone : les utilisateurs de moins en moins fidèles, au profit d’Android

iPhone : les utilisateurs de moins en moins fidèles, au profit d’Android

Branchez-vous -
Google et Facebook vous traquent sur les sites pornos, même en navigation privée

Google et Facebook vous traquent sur les sites pornos, même en navigation privée

Branchez-vous -

Plus d'actualités

Chandrayaan-2 : l’Inde réussit le lancement de sa sonde lunaire

Chandrayaan-2 : l’Inde réussit le lancement de sa sonde lunaire

Matthieu Carlier -
Macbook Pro 13″ 2019 : l’un des pires scores de réparabilité octroyés par iFixit 

Macbook Pro 13″ 2019 : l’un des pires scores de réparabilité octroyés par iFixit 

Branchez-vous -
FaceApp possède désormais plus de 150 millions de noms et visages

FaceApp possède désormais plus de 150 millions de noms et visages

Matthieu Carlier -

Populaires

Instagram inondé de photos d’une ado égorgée, la communauté se mobilise

Instagram inondé de photos d’une ado égorgée, la communauté se mobilise

Branchez-vous -
« Agent Smith », ce malware qui a contaminé 25 millions de smartphones Android

« Agent Smith », ce malware qui a contaminé 25 millions de smartphones Android

Branchez-vous -
Bug lors de Prime Day d’Amazon : du matériel photo coûtant 13 000$ vendu 94$

Bug lors de Prime Day d’Amazon : du matériel photo coûtant 13 000$ vendu 94$

Matthieu Carlier -

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .