Découverte par des chercheurs de INRIA Paris-Rocquencourt et Microsoft, la faille qui porte le nom de code CVE-2015-0204 a été baptisée FREAK, soit l’anagramme de l’acronyme Factoring Attack on RSA Export Key. Elle peut être exploitée par un pirate lorsqu’un internaute visite un site qui emploie une méthode de chiffrement désuète via une connexion HTTPS avec un appareil vulnérable – un téléphone Android, un iPhone ou un Mac sous OS X.
Une MAJ sera déployée la semaine prochaine sur iOS, tandis que celle destinée à Android se trouve déjà entre les mains des fabricants et opérateurs mobiles.
Le problème, c’est que parmi 14 millions de sites employant le protocole SSL ou TLS sondés par les spécialistes en sécurité, 36% d’entre eux seraient vulnérables à ce type d’attaque. Au moment d’écrire ces lignes, la majorité des utilisateurs Windows et Linux ne seraient pas affectés par cette faille.
À la lumière de cette découverte, Ryan James, porte-parole d’Apple, a déclaré que son entreprise avait développé une mise à jour afin de remédier à la situation. Celle-ci doit être déployée la semaine prochaine.
De son côté, Google a déclaré par le biais de sa porte-parole Liz Markman qu’une mise à jour visant à colmater cette brèche a été transmise à ses partenaires. Toutefois, puisque Google ne déploie généralement pas lui-même de mises à jour, l’entreprise n’est pas en mesure d’annoncer quand les utilisateurs d’Android pourront en bénéficier. Ces derniers devront attendre que les fabricants et opérateurs mobiles en fassent le déploiement.
En rapportant la nouvelle mardi, le Washington Post a indiqué que les sites Whitehouse.gov, NSA.gov et FBI.gov étaient vulnérables à ce type de cyberattaque. Le vent aurait tourné depuis, et seul le site de la NSAserait toujours vulnérable à l’heure actuelle selon le blogue Recode.
La source du problème : de faibles clés de chiffrement
Selon le blogue Ars Technica, pour tirer profit de cette vulnérabilité partagée entre bon nombre d’internautes et de serveurs web, un pirate n’a qu’à injecter un ou des paquets malveillants dans la connexion afin de provoquer les deux parties à employer une faible clé de chiffrement de 512 bits lors d’une séance sécurisée. Le pirate pourra ainsi recueillir les données et en extirper la clé de chiffrement à l’aide d’un service infonuagique comme Amazon ou autres.
Une fois en possession de cette clé, le pirate peut simplement se rendre dans un endroit public pourvu de Wi-Fi afin d’usurper l’identité de l’utilisateur en se connectant au serveur en question, avant d’accéder aux informations personnelles de la victime.
Les faibles clés de chiffrement de 512 bits sont un vestige du gouvernement américain, lorsque l’administration Clinton a exigé que de telles clés soient employées par tout matériel informatique ou logiciel exporté à l’extérieur de ses frontières.
Afin de répondre à cette demande, les fabricants informatiques et éditeurs de logiciels ont conçu leurs produits afin qu’ils puissent utiliser une forte clé de chiffrement lorsqu’ils sont employés à l’intérieur des États-Unis, et une faible clé de chiffrement lorsqu’ils sont connectés à l’étranger. Une fois que cette restriction a été abandonnée, beaucoup d’ingénieurs ont laissé tomber cette pratique.
Manifestement, le grand ménage n’a pas été fait, de sorte que l’on se retrouve aujourd’hui devant un problème d’une telle ampleur.
Comment se prémunir contre ce bug?
La solution la plus simple est d’adopter Firefox comme navigateur par défaut.
Vous pouvez visiter le site Tracking the FREAK Attack afin d’obtenir le diagnostic de votre configuration, ainsi que la liste des sites vulnérables les plus populaires selon Alexa. Mentionnons que parmi les domaines canadiens, on retrouve notamment les sites d’Environnement Canada (plus précisément, la version anglophone), de l’université de Toronto et de Canadian Tire.
La solution la plus simple est d’adopter Firefox comme navigateur par défaut sur votre PC ou téléphone Android. En effet, ce dernier n’est pas vulnérable à FREAK.
Les utilisateurs d’appareils iOS doivent cependant se méfier non seulement de Safari, mais également d’une poignée d’applications qui emploient le moteur web d’iOS (essentiellement Safari). Étrangement selon nos tests, tandis que Chrome semble immunisé sous iOS, il est jugé vulnérable sous Android et OS X. Heureusement, Firefox est disponible sous Android et tout comme son homologue OS X, celui-ci ne démontre aucune vulnérabilité liée à FREAK.