International

FREAK, une nouvelle faille de cryptage expose les données de millions d’utilisateurs

Les entreprises technologiques se dépêchent à réparer la faille de sécurité catastrophique baptisée Freak, provenant des faibles standards mis en œuvre dans les années 1980 pour permettre à la NSA d’espionner les communications.

Les experts en sécurité informatique ont découvert une faille importante qui a permis aux hackers de décrypter les données protégées par le protocole HTTPS qu’ont échangé des millions de sites web dans le monde entier et les utilisateurs d’appareils vulnérables, utilisant les systèmes d’exploitations Androïd et iOS.

Apple a déjà annoncé qu’il allait sortir un patch pour ses systèmes iOS et OS X la semaine prochaine, alors que Google a déclaré avoir déjà transmis son correctif à ses partenaires fabricants de hardware. Les systèmes Windows et Linux n’ont apparemment pas été touché par le bug.

Les chercheurs ont découvert que quelque 36% des sites web qui utilisent les protocoles SSL ou TLS, y compris des sites gouvernementaux, sont vulnérables. Les hackers peuvent les forcer à établir une connexion en utilisant des clés de cryptage faibles, également connu sous le nom de clés RSA 512-bit qui ont été approuvés par le gouvernement américain pour l’exportation il y a une trentaine d’années.

«Les clés RSA destinées à l’exportation illustrent les efforts déployés dans les années 1980 pour affaiblir la cryptographie et faciliter la surveillance des agences de renseignement. Cela n’a pas été bien fait ; tellement mal fait que même si ces politiques ont été abandonnés, elles continuent à nous faire souffrir aujourd’hui», a expliqué sur son blog Matthew Green, un spécialiste du cryptage de l’Université Johns-Hopkins, en décortiquant la menace.

Baptisée «FREAK», pour «Factoring Attack on RSA-EXPORT Keys», cette méthode permet à un hacker de décrypter la clé privée du site web, ouvrant la porte à tous les abus.

FREAK est un des points faibles du protocole SSL dévoilés mardi par une équipe de chercheurs qui comprend les experts de l’INRIA Paris-Rocquencourt et de Microsoft. Des experts de sécurité ont dressé la liste des sites vulnérables, parmi lesquels on trouve AmericanExpress.com, NSA.gov ou FBI.gov.