Les attaques Freak (Factoring RSA Export Keys) concernent l’exploitation de failles sur des chiffrements anciens et donc soumis à des vulnérabilités parfois oubliées. La principale raison de ces vulnérabilités importantes sur les protocoles TLS/SSL, c’est la politique de chiffrement que les États-Unis a souhaité imposer, il y a de nombreuses d’années. Aujourd’hui, ces négligences laissent un lourd héritage de failles en tout genre.
De nouvelles failles Freak découvertes par des experts en sécurité informatique
Des spécialistes en sécurité informatique ont résumé le problème des attaques Freak en ces termes : « L’agilité du protocole TLS souffre du gonflement de son héritage : après 20 années d’évolutions du standard, celui-ci comporte de nombreuses versions, extensions, et suites de chiffrement, dont certaines ne sont plus utilisées ou connues pour être non-sécurisées ».
Il est vrai que les évolutions successives des protocoles, les échanges avec les serveurs et les modes d’authentification ont changé au fil du temps ; les nombreuses mises à jour, corrections de bugs, surcouches sécurisées, etc. n’ont pas toujours corrigées les problèmes de fond. Des failles sur le protocole SSL (Secure-Socket Layer) offrent donc la possibilité à des hackers d’intercepter les échanges et de briser le chiffrage.
Freak : des vulnérabilités de sécurité critiques qui ne datent pas d’hier
Dans les années 90, les États-Unis ont souhaité mettre en place une politique du chiffrement plutôt faible, voire laxiste concernant de nombreux protocoles, en particulier sur les services étrangers. Une décision sur laquelle ils sont revenus quelques années plus tard, sans toutefois corriger totalement certains de ces retards. Des spécialistes en sécurité expliquent : « les analyses de sécurité des implémentations cryptographiques se sont focalisées sur les failles des constructions du protocole, délaissant l’examen des state machines ».
De très nombreux sites web sont concernés par les failles FREAK. Il serait question de près d’un tiers des sites web dans le monde, notamment ceux utilisant OpenSSL et les clients TLS/SSL d’Apple. Les navigateurs ne sont pas épargnés puisque le navigateur Safari et celui intégré dans Android souffrent aussi de ce type de failles. Plus surprenant, même des sites comme celui de la NSA, du FBI ou de la maison blanche sont concernés Pas très rassurant !
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
