FREAK, une vieille et dangereuse faille bientôt écartée par Apple

C’est une vieille restriction imposée par le gouvernement américain, levée dans les années 1990, qui débouche sur une faille, très ancienne, mais tout juste mise au jour. La faille, baptisée FREAK – Factoring attack on RSA-EXPORT Keys – est liée à l’utilisation d’un chiffrement asymétrique faible, reposant sur une clef 512-bits, aisément crackable aujourd’hui en force brute qui peut déboucher, une fois la clef déchiffrée, sur une attaque de type “man-in-the-middle”, et permettre de sniffer le trafic web d’un ordinateur, même s’il surfe sur des sites sécurisés en https.

L’utilisation d’une clef aussi faible résulte de l’interdiction d’exportation des technologies de chiffrement, interdiction levée durant les années 1990. Cependant, aujourd’hui encore, cette faille serait exploitable sur plus de 1/3 des sites sécurisés, y compris americanexpress.com, businessinsider.com, bloomberg.com. Selon les chercheurs ayant dévoilé la faille, il est possible de forcer les sites web concernés à utiliser ce chiffrement faible, pour ensuite pouvoir attaquer les ordinateurs qui s’y connectent.

Safari et Chrome sont concernés : Ryan James, porte parole d’Apple, a indiqué que Cupertino avait développé un correctif, qui serait distribué la semaine prochaine aux utilisateurs, Google a indiqué avoir distribué le sien à ses partenaires, sans donner de calendrier de déploiement.