IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

FREAK : une faille permettant d’espionner les connexions chiffrées

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut FREAK : une faille permettant d’espionner les connexions chiffrées
    FREAK : une faille permettant d’espionner les connexions chiffrées
    serait la conséquence d’une directive des États-Unis empêchant le chiffrement fort

    La faille SSL FREAK qui touchait uniquement Android, iOS et OS X à la base, a été étendue à Windows. Microsoft vient de publier une alerte de sécurité pour informer l’industrie que son système d’exploitation Windows (Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8, 8.1, Windows Server 2012 et Windows RT) est également vulnérable.

    Le problème se situerait au niveau de Schannel (Microsoft Secure Channel), qui est l'implémentation de SSL/TLS dans Windows. Internet Explorer qui l’utilise vient donc rejoindre Safari et le navigateur d’Android. Les experts de Microsoft travaillent sur un correctif. La firme n’a pas spécifié une date à laquelle celui-ci sera disponible. Il pourrait être présent dans le prochain Patch Tuesday de Microsoft prévu pour le mardi 10 mars.

    Mise à jour du 06/03/15
    Après la faille Heartbleed dans OpenSSL, Shellshock dans le Shell d’Unix et Linux, ou encore plus récemment POODLE dans SSLv3, place à la nouvelle vulnérabilité FREAK (Factoring RSA EXPORT Attack Keys).

    L’écosystème de la sécurité informatique est à nouveau secoué par une faille majeure qui vient d’être découverte par des chercheurs en sécurité américains de Microsoft Research et français de l’INRIA. La vulnérabilité résulterait de la faiblesse des systèmes de chiffrement très utilisés autrefois.

    Près d’un tiers (36%) de sites seraient vulnérables à cette faille, sur 14 millions de sites Web à travers le monde supposés sécurisés, car implémentant le chiffrement des données en utilisant les protocoles SSL (Secure Sockets Layer) ou TLS (Transport Layer Security).

    Elle permet des attaques de type man in the middle (homme du milieu) même sur des connexions sécurisées avec SSL. En cas d’exploit, un pirate pourrait espionner des utilisateurs et intercepter des informations privées, comme les transactions avec sa banque.

    Contre toute attente, cette faille ne résulte pas d’une erreur humaine, ou d’une faiblesse imprévue ou involontaire dans les systèmes de chiffrement. En effet, elle serait la conséquence d’une directive qui avait été appliquée par le gouvernement américain dans les années 90.

    Les États-Unis avaient adopté une loi contre le développement des technologies implémentant un chiffrement fort. Cette loi interdisait l’exportation des produits disposant de trop fortes capacités de chiffrement. De ce fait, de nombreux produits ont été commercialisés en utilisant au maximum un chiffrement RSA à 512 bits, adopté comme standard à cette époque et jugé suffisant pour assurer la sécurité des données.

    Cette directive avait été abolie des années plus tard, mais de nombreux sites Web, serveurs et certains navigateurs ont continué à implémenter un chiffrement faible (export RSA).

    Selon des experts en sécurité, pour réussir une attaque, le pirate doit intercepter la négociation de connexion sécurisée entre un serveur et un navigateur, ensuite tromper le serveur en faisant croire à celui-ci que le navigateur a demandé un chiffrement faible. Le serveur répond alors avec une clé RSA de 512 bits, qui est validée par le navigateur. Les données ainsi transmises peuvent être facilement déchiffrées par les pirates avec les outils existants. L’exploit prend environ 7 heures pour être exécuté et requiert juste un investissement de 100 dollars.

    Le navigateur Chrome de Google pour mobile serait vulnérable, ainsi que Safari d’Apple. Les terminaux Android, iPhone, iPad et les ordinateurs Mac seraient donc exposés. Ironie du sort, cette vulnérabilité affecte aussi le site Web de la maison blanche, celui du FBI et même le site de l’agence américaine de sécurité nationale (NSA).

    Apple travaille sur un correctif qui sera publié la semaine prochaine pour iOS et OS X. Un patch a déjà été proposé par Google à ses partenaires. Certains sites vulnérables ont déjà élevé le niveau de leur sécurité, dont le site du FBI.


    Source : Description de la FREAK


    Et vous ?

    Que pensez-vous de cette faille ? Quel était le but des États-Unis en imposant une telle restriction ?

  2. #2
    Expert confirmé
    Avatar de grafikm_fr
    Profil pro
    Inscrit en
    Juillet 2003
    Messages
    2 470
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2003
    Messages : 2 470
    Points : 5 059
    Points
    5 059
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    Quel était le but des Etats-Unis en imposant une telle restriction ?
    Le même que celui de la France qui considérait jusqu'à 1996 que PGP était une arme de guerre (sic) et qu'il a fallu attendre 2004 pour arrêter de déclarer 56 bits (je crois) sur 128 à l'état sur les clés de chiffrement et enfin libéraliser le sujet?
    Et encore, le export RSA (clé de 512 bits) était un peu plus dur à casser à l'époque que maintenant. Sauf que on fait les frais d'une rétrocompatibilité peut-être un peu excessive.

  3. #3
    Expert éminent
    Avatar de pmithrandir
    Homme Profil pro
    Responsable d'équipe développement
    Inscrit en
    Mai 2004
    Messages
    2 418
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Responsable d'équipe développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2004
    Messages : 2 418
    Points : 7 296
    Points
    7 296
    Par défaut
    C'est pas le même genre de faille que celle corrigée sur firefox il y a 3 mois qui faisait que si on déclarait qu'on était pas compatible avec les nouvelles techno SSL, on était redirigé vers des anciennes pas aussi bien sécurisées ?

  4. #4
    Membre confirmé
    Profil pro
    C Embarqué / C++ Qt
    Inscrit en
    Janvier 2010
    Messages
    231
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : C Embarqué / C++ Qt

    Informations forums :
    Inscription : Janvier 2010
    Messages : 231
    Points : 648
    Points
    648
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    Que pensez-vous de cette faille ? Quel était le but des États-Unis en imposant une telle restriction ?
    Je pense que, comme toutes les failles, elle est un peu sur-vendu : il faut quand même être "in-the-middle", ce qui n'est pas rien !
    Malgré ça, ça reste une faille intéressante (je ne critique pas le post en lui-même)

    Pour la question "est-ce qu'on doit chiffer ou pas", c'est une question très difficile qui m'en amène 2 :

    Quand est-ce que ça relève de la sécurité national ? Et donc chiffrement "faible".
    Quand est-ce que ça relève de la vie privée ? Et donc chiffrement "fort".

    Je dirai : achat en ligne, banque => chiffrement fort.
    Mail / navigation / ... gros débat

  5. #5
    Membre éprouvé
    Profil pro
    Inscrit en
    Mars 2012
    Messages
    371
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2012
    Messages : 371
    Points : 1 002
    Points
    1 002
    Par défaut
    Encore un truc qui fait le buzz alors que c'est déjà corrigé depuis des mois sur les serveurs et les navigateurs récent. Mais comme toujours parce qu'il y a 20% de pecnots qui mettent jamais rien à jour, on en fait tout un foin.

    Moi je dirai ceux qui mettent pas à jour tant pis pour eux, qu'ils assument mais qu'ils viennent pas chialer plus tard.

  6. #6
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut
    FREAK : Windows également affecté par la faille SSL
    un correctif en cours de développement

    La faille SSL FREAK qui touchait uniquement Android, iOS et OS X à la base, a été étendue à Windows. Microsoft vient de publier une alerte de sécurité pour informer l’industrie que son système d’exploitation Windows (Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8, 8.1, Windows Server 2012 et Windows RT) est également vulnérable.

    Le problème se situerait au niveau de Schannel (Microsoft Secure Channel), qui est l'implémentation de SSL/TLS dans Windows. Internet Explorer qui l’utilise vient donc rejoindre Safari et le navigateur d’Android. Les experts de Microsoft travaillent sur un correctif. La firme n’a pas spécifié une date à laquelle celui-ci sera disponible. Il pourrait être présent dans le prochain Patch Tuesday de Microsoft prévu pour le mardi 10 mars.

    Source : Microsoft

  7. #7
    Membre expérimenté

    Homme Profil pro
    retraité
    Inscrit en
    Novembre 2004
    Messages
    389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : retraité
    Secteur : Service public

    Informations forums :
    Inscription : Novembre 2004
    Messages : 389
    Points : 1 595
    Points
    1 595
    Par défaut
    Ironie du sort, cette vulnérabilité affecte aussi le site Web de la maison blanche, celui du FBI et même le site de l’agence américaine de sécurité nationale (NSA).
    Héhé, l'arroseur arrosé

    Citation Envoyé par coolspot Voir le message
    Encore un truc qui fait le buzz alors que c'est déjà corrigé depuis des mois sur les serveurs et les navigateurs récent. Mais comme toujours parce qu'il y a 20% de pecnots qui mettent jamais rien à jour, on en fait tout un foin.
    Humm... MS va seulement publier un correctif...
    Pour tester : https://www.smacktls.com/freak

    Sur un Windows 7, IE 11 à jour :
    Nom : TestIE.PNG
Affichages : 1260
Taille : 57,3 Ko
    Nom : CertifIE.PNG
Affichages : 1294
Taille : 33,3 Ko

    Depuis mon Firefox :
    Nom : TestFFOX.PNG
Affichages : 1228
Taille : 33,6 Ko
    Nom : FFOX_Calomel.png
Affichages : 1261
Taille : 157,8 Ko
    Nom : DetailCertifFFOX.PNG
Affichages : 1296
Taille : 29,6 Ko

    Avec mon Firefox, l'attaque échoue.

  8. #8
    Futur Membre du Club
    Femme Profil pro
    toute mes excuses...
    Inscrit en
    Janvier 2015
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Canada

    Informations professionnelles :
    Activité : toute mes excuses...
    Secteur : Services à domicile

    Informations forums :
    Inscription : Janvier 2015
    Messages : 4
    Points : 5
    Points
    5
    Par défaut FREAK
    Lorsque vous êtes une super puissance qui sniffer d'autre super puissance vous installez des système en conséquence.

  9. #9
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 909
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 909
    Points : 206 523
    Points
    206 523
    Par défaut Des centaines d'applications sur les plateformes iOS et Android sont encore vulnérables à la faille FREAK,
    Des centaines d'applications sur les plateformes iOS et Android sont encore vulnérables à la faille FREAK,
    d'après les résultats d'une recherche

    En début mars, des experts en sécurité informatique ont décrit la faille qu’ils ont baptisé FREAK (Factoring RSA EXPORT Attack Keys) qui permet des attaques de type man-in-the-middle même sur des connexions sécurisées. Pour réussir une attaque, le pirate doit intercepter la négociation de connexion sécurisée entre un serveur et un navigateur, ensuite tromper le serveur en faisant croire à celui-ci que le navigateur a demandé un chiffrement faible. Le serveur répond alors avec une clé RSA de 512 bits, qui est validée par le navigateur. Les données ainsi transmises peuvent être facilement déchiffrées par les pirates avec les outils existants. L’exploit prend environ 7 heures pour être exécuté et requiert juste un investissement de 100 dollars.

    FREAK est à la fois une vulnérabilité plateforme mais également application puisque des applications iOS et Android peuvent embarquer des versions vulnérables de la bibliothèque OpenSSL elles-mêmes. Aussi, même après une mise à jour des correctifs de sécurité pour les plateformes Android et iOS, de telles applications restent vulnérables à FREAK lorsqu’elles se connectent à des serveurs qui acceptent des suites de chiffrement RSA_EXPORT.

    L’expert en sécurité FireEye a fait savoir que plusieurs centaines d’applications sur les plateformes iOS et Android seraient encore vulnérables à une attaque exploitant cette faille car elles n’ont pas encore été munies d’un correctif de sécurité.

    Pour les besoins de son étude, il a analysé un échantillon de 10 985 applications populaires sur Android avec à leur actif plus d’un million de téléchargements chacune. Il a découvert que 1 228 applications, soit 11,2% de l’échantillon Android, étaient vulnérables à FREAK puisqu’elles font usage d’une version vulnérable de la bibliothèque OpenSSL. Pour être un tantinet plus précis, les chercheurs ont découvert que sur les 1 228 applications, 664 d’entre elles dépendaient de la bibliothèque OpenSSL fournie par Android tandis que le reste des 564 autres applications utilisaient leur propre version. Au total, ces 1 228 applications ont été téléchargées plus de 6,3 milliards de fois.

    Du côté d’iOS un échantillon de 14 079 applications populaires a été analysé. Les choses se présentent un peu mieux puisque 771 d’entre elles (soit 5,5%) se sont avérées vulnérables à FREAK sur des versions iOS antérieures à iOS 8.2, rappelons que la mise à jour iOS 8.2 embarquait un correctif pour cette faille. Parmi ces 771 applications, sept d’entre elles n’utilisaient pas Apple Secure Transport pour le chiffrement du trafic et dépendaient d’une ancienne version d’OpenSSL, ce qui les rendait vulnérables même si la dernière mise à jour système était installée sur le dispositif de l’utilisateur.

    Les catégories affectées vont des applications photos et vidéos aux applications dédiées à la médecine en passant par les domaines des réseaux sociaux, de la santé et fitness, des finances, des communications, du shopping et également des entreprises. Ces applications peuvent contenir des informations sensibles comme les accréditations des comptes, des données relatives aux comptes bancaires, à la productivité mais également à la santé de l’utilisateur.


    Nombre d'applications vulnérables à Freak en fonction des catégories


    Nombre d'applications Android téléchargées et vulnérables à Freak

    L’expert a également décrit un scénario où un pirate pourrait se servir de la faille FREAK contre une application populaire de shopping pour subtiliser les accréditations d’un utilisateur ainsi que des informations sur sa carte de crédit.

    Il conclut en rappelant que les applications mobiles sont devenues une cible de choix pour les pirates. « L’attaque FREAK représente une réelle menace pour la sécurité et la confidentialité des applications mobiles. Nous encourageons les développeurs d’applications ainsi que les administrateurs de sites web à résoudre ces problèmes aussi vite que possible ».

    Source : blog FireEye

  10. #10
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 806
    Points
    4 806
    Billets dans le blog
    6
    Par défaut
    la différence ne tient qu'au processus de validation qui est bien plus stricte avec apple

Discussions similaires

  1. Réponses: 10
    Dernier message: 10/09/2013, 09h20
  2. Réponses: 2
    Dernier message: 01/11/2011, 03h11
  3. Fermer toutes les connexions d'une BDD
    Par youssef619 dans le forum MS SQL Server
    Réponses: 2
    Dernier message: 22/11/2008, 23h21
  4. (Récursivité) Une virgule tous les 3 chiffres
    Par loader dans le forum Débuter avec Java
    Réponses: 4
    Dernier message: 18/09/2008, 14h32
  5. Voir les connexion à une base oracle
    Par diableblanc dans le forum Administration
    Réponses: 1
    Dernier message: 06/08/2007, 17h30

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo