« Ca me fait freaker » disent les canadiens, l’équivalent de « j’ai les boules » chez nous. L’expression est de circonstance, car Freak (pour Factoring attack on RSA Export Keys), c’est le nom pas très joli d’une faille de sécurité, une de plus, découverte par des chercheurs français et américains. En surfant avec le navigateur Safari (iOS et Mac OSX) et celui d’Android, les échanges de données sécurisés avec un serveur peuvent être décryptés par un hacker, donnant accès à mots de passe et identifiants.
La faute aux clés de cryptage trop faibles imposées par l’agence de sécurité américaine, la NSA (oui, encore elle), pour l’exportation de logiciels dans les années 90 pour espionner les communications étrangères… Un chiffrement sur 512 bits, considérée aujourd’hui comme dépassée.
Un patch Apple sera disponible la semaine prochaine pour iOS et Mac OSX, et les partenaires de Google qui diffusent le système Android peuvent déjà appliquer une mise à jour. Pour voir le bulletin d’alerte sur le site CVE : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204
Passez aux tests
Est-ce que vous êtes vulnérable ? Pour le savoir côté client, rendez-vous sur le site https://freakattack.com/. Côté serveurs, l’Inria et les chercheurs de Microsoft publient une liste de sites vulnérables (https://freakattack.com/vulnerable.txt). Pour tester vous-même un site, rendez-vous sur https://www.ssllabs.com/ssltest/index.html. Entrez un nom de domaine dans le champ de recherche SS Server Test puis examinez les résultats, en particulier la section Cipher Suites.