Le Freak ou Factoring Attack on RSA-Export Keys vient de refaire son apparition. Cette vulnérabilité née dans les années 90 a semble-t-il été identifiée dans de nombreux logiciels.
Une vulnérabilité des temps anciens
Le Freak est une vulnérabilité apparue pour la première fois au cours des années 90. Le gouvernement américain avait interdit à l’époque la conception de produits informatiques dotés de capacités de chiffrement trop importantes. Les éditeurs de logiciels et autres outils ont donc adopté un système à 512 bits, devenu rapidement un standard, puisque considéré comme suffisamment sécurisé. Les restrictions sont levées au bout d’un certain temps, cependant cette méthode de chiffrement n’a semble-t-il jamais évolué : de nombreux logiciels utilisés de nos jours continuent d’y recourir. Avec l’évolution de la technologie, le chiffrement 512 bits semble cependant inefficace contre les risques d’attaques informatiques. La plupart des logiciels actuels présenteraient ainsi une vulnérabilité de type Freak identifiée par une cryptographe américaine, l’INRIA en France ainsi que différents laboratoires informatiques.
Selon les chercheurs, les produits Google et Apple sont les plus concernés par la faille Factoring Attack on RSA-Export Keys. Plusieurs millions de personnes utilisant ces produits risqueraient ainsi de se faire pirater. La vulnérabilité offre en fait aux pirates la possibilité de jouer un rôle d’intermédiaire entre les internautes et les serveurs de sites sécurisés comme la NSA.gov ou la Whitehouse.gov. Le risque est d’autant plus important et réel que les chercheurs ayant révélé l’existence de la vulnérabilité ont réussi à l’exploiter. L’ancien système de chiffrement a été exploité, puis craqué en quelques heures à l’aide de machines se servant des services du site Amazon Web. Ils ont de cette manière eu accès à de nombreuses données sensibles telles que les mots de passe et les identifiants des utilisateurs.
Le tiers des sites chiffrés serait vulnérable
L’INRIA figure parmi les laboratoires ayant identifié la faille Factoring Attack on RSA-Export Keys. Selon l’un de ses représentants, il est étonnant de voir cette vulnérabilité refaire son apparition puisqu’il semble que son utilisation a cessé depuis longtemps. On se rend toutefois compte aujourd’hui que le risque est bien réel et que le problème est relativement important. Les premières constatations font d’ailleurs état d’un potentiel destructeur susceptible d’affecter le tiers des sites chiffrés sur le net. Même les plateformes affichant une icône de protection SSL en forme de cadenas sont concernées.
Concrètement, près de 5 millions de sites parmi les 14 millions actuellement chiffrés peuvent être touchés par les pirates exploitant la faille. Si les sites de presse, services financiers ou distributeurs sont exposés aux risques, des solutions ont déjà été mises en œuvre pour faire face au problème. De nombreux sites ont aussi renforcé de leur côté leur niveau de sécurité : Whitehouse.gov et FBI.gov ont par exemple amélioré la sécurité de leur plateforme à la suite de cette annonce. Apple a également annoncé la préparation d’un correctif bientôt disponible. Par ailleurs, il faut noter que la version bureau de Chrome et le moteur de recherche de Google ne sont pas concernés par la vulnérabilité Freak. Il semble néanmoins que la version mobile puisse être affectée.