Freak, cette faille de sécurité vieille de 10 ans !

Une équipe de chercheurs en sécurité de Microsoft et de l’INRIA, établissement français de recherche dédié aux sciences numériques, a découvert une faille de sécurité qui serait le vestige d’une politique américaine des années 90 visant à proposer des clés de chiffrement facile à contourner.

Voilà une découverte dont la NSA se serait bien passée. Après 2013, année des révélations concernant le programme Prism (voir article du Monde : ici ), la semaine dernière ce sont des chercheurs de l’INRIA et de Microsoft qui ont découvert une vulnérabilité au niveau du Secure-Socket Layer (SSL), soit le procédé de cryptographie par clef publique permettant de garantir la sécurité de la transmission des données sur internet.

Cette faille, baptisée FREAK pour “Factoring Attack on RSA-EXPORT Keys”, provient d’une ancienne politique du gouvernement américain qui souhaitait exporter des solutions de chiffrement faible afin de permettre à la NSA d’espionner les communications chiffrées par ce type de clé. Depuis interdite, cette pratique a laissé des traces dans de nombreuses mises en place du chiffrement et les chercheurs se sont donc rendus compte qu’il était alors possible de « contraindre » le navigateur à revoir à la baisse son niveau de chiffrement. En l’espace d’une demi-journée et grâce à des ressources de calcul en vente sur internet (Amazon Web Service propose cela, par exemple) il était possible d’intercepter des échanges, en principe, protégés.

À la base, seuls les sites utilisant des clients OpenSSL (Android) ou TLS/SSL (Safari d’Apple) étaient jugés vulnérables par les chercheurs et plus particulièrement ceux exploitant les services de réseaux de diffusion de contenu (ou CDN) d’Akamai. Ce dernier a tâché de réagir promptement en annonçant travailler sur des correctifs pour ses serveurs web. Google, dont le navigateur Chrome est disponible sur Android a transmis, lui aussi, un correctif aux opérateurs et constructeurs. De son côté, Apple a informé qu’un patch ne serait disponible qu’à partir de cette semaine.

Mais par la suite, c’est Microsoft qui s’est également révélé être concerné. En effet, la firme de Mountain View a annoncé ( ici ) être « consciente d’une vulnérabilité de contournement d’une fonctionnalité de sécurité dans Secure Channel (Schannel) qui affecte toutes les versions de Microsoft Windows ». Pour l’instant, l’entreprise n’a toutefois pas encore publié de patch pour résoudre le problème mais a diffusé un plan d’actions (cf. lien précédent) permettant de modifier la base de registre après avoir préalablement vérifié si le navigateur était concerné.

Enfin, suite à un audit, la société Skyhigh, spécialisée dans l’analyse de la sécurité du Cloud, a pu établir que 766 fournisseurs de Cloud étaient vulnérables à Freak et pas encore corrigés. La société a d’ailleurs tenu à préciser que « ces services comprenaient des acteurs de premier plan dans la sauvegarde, les RH, la sécurité, les outils de collaboration, le CRM et le stockage Cloud ». Selon elle, ce serait 99% de ses 350 clients qui utiliseraient un service n’ayant pas reçu de correctif…

Négligence ou oubli volontaire, dans tous les cas la découverte d’une telle faille pose encore le problème de la sécurisation des données dans le Cloud et sur internet. Alors que l’année dernière fut marquée par la découverte d’une autre faille appelée « Heartbleed » et que le FBI reprochait à Google et Apple de vouloir augmenter le chiffrement de leurs OS mobiles en conséquence de cette faille (cf. article ), Freak est encore un coup dur pour la confiance des utilisateurs dans les nouvelles technologies!

Vouloir allier respect de la vie privée et navigation sur internet serait-il utopique ?

Sources :
© http://www.zdnet.fr/actualites/freak-une-faille-majeure-nee-de-la-lutte-des-us-contre-le-chiffrement-39815774.htm
© http://www.silicon.fr/freak-affaiblit-le-chiffrement-rsa-des-navigateurs-apple-et-android-109910.html
© http://www.silicon.fr/cloud-et-windows-les-victimes-de-freak-sallongent-110207.html
© http://www.20minutes.fr/high-tech/1556131-20150306-faille-freak-touche-aussi-pc-sous-windows
© http://www.lemonde.fr/technologies/article/2013/07/02/prism-snowden-surveillance-de-la-nsa-tout-comprendre-en-6-etapes_3437984_651865.html