Freak, la vulnérabilité désormais corrigée dans Windows et Safari

La faille permet de forcer les navigateurs web à revenir à un mode de chiffrement plus faible, beaucoup plus facile à casser. Elle touchait IE, mais aussi Android et Safari.

Des experts en informatique issus de l'INRIA, de Microsoft Research et l'institut de recherche espagnol IMDEA ont découvert une faille majeure touchant au système de chiffrement TLS / SSL. Elle peut permettre à des personnes malintentionnées de forcer une transaction SSL à revenir à une ancienne version du protocole pour ensuite la casser plus facilement. L'affaire a été dévoilée la semaine dernière dans les colonnes du Washington Post.

La faille a été baptisée Factoring RSA Export Keys (Freak) en référence aux clés de cryptage SSL. Elle serait l'héritage de la politique de sécurité des Etats-Unis des années 1990. La NSA avait alors volontairement fait en sorte de disposer d'une porte de derrière en matière de chiffrement web RSA. Même si cette pratique a été depuis abandonnée, il semble que le dispositif soit bel et bien toujours présent dans certains systèmes.

La faille est notamment exploitable à partir de bugs dans Safari et Android. Mais aussi dans Windows. Microsoft a immédiatement indiqué que les implémentations de TLS / SSL de toutes les versions de son OS étaient vulnérables. Une connexion HTTPS lancée depuis Internet Explorer pourrait être ainsi aisément interceptée et percée. L'éditeur a intégré à son dernier paquet de correctifs mensuel (Patch Tuesday) une rustine contre la faille Freak.

Apple a aussi rapidement sorti un correctif pour Safari, qui est inclus dans son dernier paquet de patchs pour Mac OS X. De son côté, Google a annoncé qu'un patch avait déjà été distribué à ses partenaires pour Android. Quant à Chrome et Firefox, ils ne sont pas touchés par le problème.

L'infrastructure OpenSSL est, elle aussi, concernée. Des millions de sites web seraient affectés. Parmi eux, les sites d'American Express, de la Maison blanche, du FBI et même de la NSA sont notamment cités. Les serveurs web faisant appel à des réseaux de diffusion de contenu (CDN) seraient en particulier affectés. Ce serait le cas d'Akamai - qui a annoncé plancher sur un patch.

Chiffrement / Faille