FREAK : Google corrige Chrome pour Windows, OS X et Linux

Sécurité informatique

Liste de tags

Au lendemain de la découverte d’une importante faille de sécurité affectant son navigateur, Google déploie une mise à jour afin de corriger la situation.

Difficile d’accuser le géant de la recherche de laxisme ici. Certes, Google n’est peut-être pas en mesure de pousser sa mise à jour à l’ensemble des appareils propulsés par Android sans attendre après les fabricants et opérateurs mobiles, mais la situation est heureusement bien différente pour les adeptes de Chrome sur PC, qui soit propulsé par Windows, OS X ou Linux.

À l’heure actuelle, la plus récente version de Chrome sous Android (40.0.2214.109 dans le Play Store) est toujours vulnérable.

Ainsi, à moins d’avoir modifié les paramètres de votre navigateur pour empêcher sa mise à jour automatiquement, l’application Chrome de votre ordinateur est passée à la version 41. Si tel est le cas, vous êtes par conséquent immunisé contre la faille CVE-2015-0204 découverte plus tôt cette semaine, et répondant au joli sobriquet de FREAK.

Cette mise à jour corrige en tout 51 failles de sécurité. Nous vous invitons à consulter l’article détaillant les changements apportés par la version 41.0.2272.76 de Chrome sur le blogue dédié au navigateur de Google.

Rappel de la situation

À l’heure actuelle, la plus récente version de Chrome sous Android (40.0.2214.109 dans le Play Store) est toujours vulnérable. Étrangement, tant la version 39.0.2171.50 que 40.0.2214.73 de Chrome sous iOS sont immunisées selon le diagnostic du site Tracking the FREAK Attack. Tel que mentionné précédemment, la version 41.0.2272.76 de Chrome sous Windows, OS X et Linux est immunisée contre ce type d’attaque.

La situation de Safari est cependant tout autre. En ce moment, toutes les versions sont vulnérables, tant sur OS X que sur iOS. Nous ne sommes malheureusement pas en mesure de vérifier le diagnostic de la plus récente version de Safari sous Windows. Apple a déclaré qu’une mise à jour sera publiée la semaine prochaine afin de répondre à ce problème.

Depuis la découverte de cette faille, Firefox n’a jamais démontré être vulnérable à FREAK, contrairement à Opera et Opera Mini, dont toutes les déclinaisons sont toujours vulnérables au moment d’écrire ces lignes.

Logiquement, Google devrait bientôt déployer la version 41 de Chrome pour Android. Les utilisateurs d’Android 4.3 et des versions antérieures doivent toutefois se méfier du navigateur éponyme intégré à l’OS. Celui-ci ne pourra être corrigé que par le biais d’une mise à jour déployée par le fabricant de votre appareil ou par votre opérateur de téléphonie mobile.

  • Alexandre Rodrigue

    IE est immunisé ?
    Et pourquoi Chrome sous Android ne peut être mis à jour sans passer par les fabricants et opérateurs ?
    Il faut faire la mise à jour d’Android au complet ?
    Et les utilisateurs d’Android, c’est quoi l’alternative ?
    Opéra Mini sous Windows Phone aussi touché (AccesD de Desjardins ne marche que sur ce fureteur sous Windows Phone depuis quelques temps) ?

    • https://branchez-vous.com/ Laurent LaSalle

      Selon les premiers rapports d’analyse, Internet Explorer n’est pas affecté par cette faille – à l’exception d’IE11 intégré au technical preview de Windows 10, qui serait vulnérable selon deux lecteurs de Ars Technica. L’article mentionne «most Windows and Linux end-user devices were not believed to be affected», laissant croire que IE10 et 11 sous Windows 8.1 est immunisé. Selon toutes vraisemblances, Konqueror sous Linux ne serait pas vulnérable.

      La mise à jour qui doit passer par les fabricants et opérateurs est celle du navigateur éponyme d’Android, toujours utilisé par la version 4.3 et antérieures. Android 4.4 (KitKat) intègre Chrome comme navigateur par défaut, qui pourra être mis à jour par le Play Store une fois que la nouvelle version sera en ligne.

      L’alternative pour les utilisateurs d’Android, comme nous l’avons mentionné ici et dans le précédent billet, est d’utiliser Firefox. Rien n’a été mentionné à propos de Windows Phone, alors difficile d’émettre une hypothèse. Chose certaine, Opera est essentiellement vulnérable dans toutes ses déclinaisons, alors je l’éviterais à tout prix.

      Finalement, il faut rappeler que pour courir le risque qu’un pirate puisse intercepter une connexion HTTPS et lui injecter un ou des paquets malveillants provoquant l’utilisation d’une faible clé de chiffrement, il faut que le serveur soit vulnérable. Nous ignorons si c’est le cas des serveurs de Desjardins.