Les Etats-Unis ne voulaient pas d’un chiffrement fort, et la faille FREAK affectant le TLS/SSL est un héritage de cette politique. Une attaque FREAK permet ainsi de forcer l’utilisation d’un chiffrement ancien et vulnérable et donc d’intercepter des données en principe protégées.
Des chercheurs informatiques viennent d’identifier une nouvelle faille critique au niveau du SSL (Secure-Socket Layer) et permettant ainsi à des attaquants d’intercepter et de casser le chiffrement d’échanges en principe protégés.La vulnérabilité, et l’attaque qui en résulte, a été baptisée FREAK pour Factoring RSA Export Keys. Pourquoi ? Car elle profite de l’exportation de clés de chiffrement dont la robustesse est faible, permettant ainsi de les casser.
Un héritage du passé
Et selon le Washington Post, cette faille est la conséquence d’une politique américaine dans les années 90 destinée à lutter contre le développement des technologies de chiffrement fort. Les solutions destinées à des clients étrangers étaient ainsi volontairement moins fortes.
Si cette interdiction a été levée par la suite, demeurent des traces de cette politique américaine dans de nombreuses implémentations du chiffrement. Des chercheurs ont ainsi découvert ces dernières semaines qu’il était possible de contraindre le navigateur à revenir à un niveau de chiffrement plus faible, et qu’il était alors possible de le casser en l’espace de quelques heures, par exemple en achetant des ressources de calcul sur AWS.
FREAK affecte ainsi des navigateurs, mais aussi un grand nombre de serveurs Web, et donc de sites, et diverses d’implémentations SSL. Et parmi les sites vulnérables, comble de l’ironie, figurent donc celui de la Maison Blanche, du FBI et de la NSA, tous hostiles actuellement à un développement du chiffrement.
Un tiers des sites vulnérables
D’après des tests réalisés par des experts de l’université du Michigan, un tiers des sites utilisant du chiffrement s’avèrent vulnérables à des attaques FREAK. C’est en particulier le cas de ceux utilisant OpenSSL (un correctif existe) et des clients TLS/SSL d’Apple. D’ailleurs le navigateur Safari de l’éditeur est vulnérable, tout comme celui intégré dans Android. Chrome, Firefox et Internet Explorer ne sont en revanche pas concernés.
Parmi les sites affectés, nombreux sont ceux qui exploitent le service de CDN d’Akamai. La firme a d’ores et déjà fait savoir qu’elle travaillait à un correctif pour ses serveurs Web. Apple a annoncé qu’un patch serait disponible la semaine prochaine. Google a lui fourni un correctif aux opérateurs et constructeurs, que ces derniers devront encore déployer.