Infos - Souscription

09 75 18 80 51

[Brève] FREAK le SSL

Quand une décision de l'Etat américain des années 1990 met à mal la sécurité des sites Web dans les années 2010...

Des chercheurs du Michigan et de l'INRA ont découvert une faille dans le protocole de sécurité SSL, surnommée FREAK (Factoring RSA Export Keys). Elle permet de récupérer les clés de chiffrement lors des premiers échanges et de pouvoir les casser.

Selon le Washington Post, cette faille est due à une décision américaine datant des années 90. Pour lutter contre le développement de technologies de chiffrements trop fortes, l'Etat fédéral américain avait imposé une taille maximale pour la clé de chiffrements à destination des clients étrangers. Si l'interdiction a été levée, la faiblesse liée à cette décision n'a pas été corrigée. Ainsi, un pirate peut forcer les navigateurs Web à utiliser un niveau de chiffrement plus bas.

Les principaux navigateurs de bureau (Internet Explorer, Chrome, Firefox,...) ne sont pas concernés. Par contre, le navigateur d'Apple, Safari, et le navigateur Android de base peuvent être affectés par une attaque FREAK. Côté site Web, un tiers des sites sécurisés sont vulnérables, dont une partie utilise les services d'Akamai. Dans la liste des sites vulnérables, les chercheurs ont trouvé des vulnérabilités sur les sites de la Maison Blanche, du Sénat américain, d'American Express, de Groupon, de National Geographic et de WoWHead, mais également, en France, les sites de Vente Privée.com, de Le Parisien-Aujourd'hui en France, de Doctissimo, de Closer, de Voici et de Bouygues Telecom.

Apple et Google ont annoncé le déploiement d'une mise à jour pour Safari et Android Browser. De son côté, Akamai annonce le déploiement d'un correctif pour ses serveurs Web.

Partager sur Facebook  Partager sur Twitter  Partager sur Google Plus 

Vous souhaitez recevoir nos actualités par mail ? Abonnez-vous à notre newsletter :