Secu
Freak, la nouvelle faille qui effraie
Par La rédaction, publié le 05 mars 2015
Après Heartbleed, c’est au tour de Freak de s’inviter parmi les vulnérabilités qui font trembler les DSI. Celle-ci concerne certains sites supposément sécurisés lorsqu’on les visite depuis Safari sur un appareil Apple, ou via le navigateur par défaut d’Android.
« C’est une faille qui trouve sa source dans les années 1990 », explique Jérôme Saiz, expert du Cercle européen de la sécurité et des systèmes d’information. « À cette époque, le chiffrement était considéré comme une arme de guerre par le gouvernement américain, qu’on ne pouvait exporter ou vendre sans prendre un certain nombre de précautions. La loi obligeait les fabricants à prévoir, pour un même produit, deux catégories de chiffrement : l’une très évoluée, pour le marché local, l’autre plus simple, pour l’export. »
Un remède assez simple
L’objectif, pour Washington et sa célèbre National Security Agency (NSA) ? Permettre la vente de produits US au chiffrement suffisamment complexe pour rassurer les clients étrangers, mais susceptible d’être décodé par les services de sécurité américains en cas de besoin.
Une faille due à l’espionnage, en clair, voilà ce qu’est Freak. Les pirates se connectent à un réseau WiFi collectif (gares, cafés, parcs, etc.) et « obligent » le navigateur de leur victime à adopter le système de chiffrement le plus basique pour récupérer ses données.
Selon Jérôme Saiz, y remédier reste assez simple : « Pour un serveur, il suffit d’ajouter une ligne Open SSL qui permet de refuser l’export. Pour les navigateurs, il faut une mise à jour. C’est déjà fait sur Chrome et cela va arriver rapidement sur Safari et iOS. »