Dans une alerte de sécurité, Microsoft vient d’indiquer qu’Internet Explorer serait aussi concerné par la faille de sécurité Freak.
Freak est une faille de sécurité découverte la semaine dernière par des chercheurs français et américains : en surfant avec le navigateur Safari (iOS et Mac OSX) et celui d’Android, les échanges de données sécurisés avec un serveur peuvent être décryptés par un hacker, donnant accès à mots de passe et identifiants. La faute aux clés de cryptage trop faibles imposées par l’agence de sécurité américaine, la NSA (oui, encore elle), pour l’exportation de logiciels dans les années 90 pour espionner les communications étrangères… Un chiffrement sur 512 bits, considérée aujourd’hui comme dépassée. Voir notre article.
Mais on a appris le 5 mars, via une alerte officielle de Microsoft, qu’Internet Explorer et Windows seraient aussi concernés. Bien que l’éditeur américain n’ait pas recensé d’attaque, tous les Windows – à partir de Windows Vista SP2- seraient sensibles à la faille. Microsoft fournit des indications pour résoudre le problème et promet un correctif sous peu, sans donner de date. Rendez-vous ici : https://technet.microsoft.com/en-us/library/security/3046015
Un patch Apple sera disponible cette semaine pour iOS et Mac OSX, et les partenaires de Google qui diffusent le système Android peuvent déjà appliquer une mise à jour. Pour voir le bulletin d’alerte sur le site CVE : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204