Les experts ont révélé plus tôt dans la semaine la découverte d’une faille majeure de sécurité appelée Freak. Le problème touche les versions des principaux navigateurs du marché pour Android, iOS et OS X. Mais Windows n’est pas resté longtemps en panne : jeudi (5), Microsoft a averti que ses systèmes sont également touchés.
Freak (référence à Factoring RSA Export Keys) est une vulnérabilité qui permet à un attaquant de casser le cryptage fourni par le HTTPS et d’avoir ainsi accès à des données sensibles échangées entre le navigateur et un site web.
L’échec remonte aux années 1990, lorsque le gouvernement américain a décidé, malgré les démonstrations du contraire par les professionnels du domaine, que les entreprises et les organisations limiteraient la force de cryptage de leurs sites web. Il serait ainsi plus facile pour les autorités de contourner la protection de ces services lors des enquêtes.
Cette restriction a conduit à l’utilisation de clés allant jusqu’à 512 bits en relation avec l’algorithme de cryptage RSA, qui est la norme utilisée dans le HTTPS.
Toutefois, à la fin de la même décennie, la limitation a été levée. Mais les experts ont découvert que, à ce jour, de nombreux navigateurs supportent encore les touches faibles. Pour aggraver les choses, une vérification sur plus de 14 millions de sites a montré que 36% d’entre eux acceptent ces clés. Beaucoup de ces adresses appartiennent à des établissements bancaires et à des services de commerce électronique.
En accédant à freakattack.com, vous pouvez savoir si votre navigateur a le problème. La page révèle également quels sont les sites les plus populaires susceptibles d’être touchés par Freak, ainsi que les navigateurs vulnérables : Chrome pour OS X et Android, le navigateur standard pour Android 4.3 et inférieur, Safari pour OS X et iOS, BlackBerry Browser et Opera pour OS X et Linux.
En ce qui concerne Windows, Microsoft a précisé qu’en intégrant un code dans la bibliothèque du canal sécurisé, le problème affecte l’Internet Explorer de toutes les versions de plate-forme à partir de Vista et, dans le cas des serveurs, à partir de Windows Server 2003.
Chrome pour OS X et le navigateur Android par défaut ont été corrigés. Apple promet de publier le correctif pour les versions Safari la semaine prochaine. Quant à Internet Explorer, Microsoft dit qu’il travaille déjà sur une solution. En attendant, la société suggère de désactiver la clé RSA pour les cas les plus critiques. Vous trouverez ici les instructions pour la procédure.
Jusqu’à présent, il n’y a pas de nouvelles sur la mise à jour des autres navigateurs.
