Freak, des Français découvrent une faille béante de sécurité touchant les navigateurs d’Apple et Android

Internet sécurité

Devinez qui vient embêter les utilisateurs en compromettant les protocoles de sécurité des navigateurs d’Apple et Android ? Freak, une faille vieille de 10 ans qui va donner une bonne claque au gouvernement américain...

Factoring attack on RSA-EXPORT Keys a été découverte par une équipe de chercheurs en sécurité contenant une majorité de Français (Karthik Bhargavan de l’INRIA et Antoine Delignat-Lavaudet de Microsoft France). Il s’avère que la vulnérabilité qui affaiblit les navigateurs est dûe à la mauvaise volonté des autorités américaines qui avaient livré des services de chiffrement plus faibles aux pays étrangers.

L’ancienne politique du gouvernement américain interdisait l’exportation de solutions de chiffrement fort. Si cette censure a été levée à la fin des années 90, il n’en demeure pas moins que la méthode se basant sur des clés courtes et facilement cassables a été intégrée dans les protocoles de sécurité du monde entier. Pis encore, comme l’explique Bill Brenner,

« Lorsqu’un client se connecte à un serveur, il chiffre la communication (appelé liaison SSL) en utilisant la clé RSA du serveur. Dans la configuration d’exportation (export grade), cette clé était de 512 bits. A l’époque, cela pouvait être qualifié de chiffrement fort. Aujourd’hui, pour 100 dollars en utilisant les ressources du Cloud, cette clé peut être cassée en moins d’une demi-journée »

Elle permet de réaliser des attaques de type « homme du milieu » et au regard des démonstrations, il a été prouvé que des sites comme celui de la NSA, IBM ou encore Facebook (qui a déjà patché la faille) étaient vulnérables. Ce matin encore, près de 5 millions de sites étaient encore attaquables, comme Chrome (Sous Android) ou Safari d’Apple, qui développe en ce moment un correctif pour iOS et MacOS X.

La question se pose de savoir s’il s’agit d’une faille intentionnelle mise en place en Amérique afin d’espionner tranquillement les concitoyens et voisins, ou bien d’une simple erreur de jugement concernant les futurs besoins sécuritaires… Innocent, tant que l’on a pas prouvé qu’il avait tort…

Tags :Sources :akamaiVia :silicon
Dernières Questions sur UberGizmo Help
    1. Internet Explorer sous windows phone est le navigateur le plus difficile à pirater des OS mobiles.
      Pourquoi?
      par manque de fonctionnalités…

  1. Le monde est en berne depuis l’aisance du «tout ouvert» et du «zéro secret», avant même que les Etats-unis aient décelé de la place au sein des événements sur les réseaux confidentiels.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité