La faille de sécurité FREAK ayant touché les navigateurs Chrome et Safari vient de recevoir un correctif de la part d’Apple. La firme à la pomme a récemment en effet annoncé la disponibilité de nouvelles mises à jour de sécurité pour les iPhone, iPad, iPod touch ainsi que les machines tournant sur Mavericks, Yosemite et OS X Mountain Lion.
Apple publie des correctifs pour corriger la faille FREAK
Découverte par des chercheurs américains et français, la faille de sécurité majeure FREAK ou Factoring Attack on RSA-EXPORT Keys a fait parler d’elle en affectant deux des navigateurs web les plus utilisés dans le monde. Safari, qui a été concerné avec Chrome de Google, vient de recevoir un correctif inclus dans les mises à jour de Mac OS X et iOS. Les utilisateurs peuvent se le procurer dans le dernier bulletin de sécurité publié par Apple. Ce bulletin contient d’autres correctifs en plus de celui servant à corriger la vulnérabilité FREAK. Sur iOS, la version 8.2 déjà disponible pour les iPhone et iPad intègre le correctif.
La faille de sécurité FREAK est une vulnérabilité apparue dans les années 90. Elle serait vraisemblablement due aux normes de cryptage imposées par la NSA aux logiciels vendus en dehors des États-Unis. Bien que les normes aient été modifiées dans les années 90, elles font figure de standard jusqu’à aujourd’hui. La norme 512 bits est effectivement encore le mode de chiffrement utilisé par la plupart des produits actuellement sur le marché. Ces derniers seraient ainsi susceptibles d’être affectés par la vulnérabilité découverte par le cryptographe américain Matthew Green et les équipes de l’INRIA.
FREAK a affecté des milliers de sites web
La vulnérabilité FREAK a touché des milliers de sites web aux normes de cryptage insuffisantes. Elle répondait selon une étude publiée par l’équipe de chercheurs aux besoins des autorités américaines désirant pouvoir espionner les communications à l’étranger. La faille Factoring Attack on RSA-EXPORT Keys offrait quoi qu’il en soit aux hackers la possibilité de déchiffrer la clé privée des sites web. Les échanges entre les serveurs et clients étaient alors interceptés par le pirate qui était en mesure de mettre en place une connexion peu sécurisée. Pour y parvenir, il lui suffisait le plus souvent de lancer une ancienne version des protocoles SSL et TSL.
Avec l’arrivée des correctifs pour Mac OS X et iOS, les utilisateurs de machines Apple bénéficient désormais d’une protection accrue contre les risques d’espionnage. La firme invite d’ailleurs ses utilisateurs à mettre à jour le système de leurs appareils. Pour les mobiles, le correctif publié récemment ne concerne que les iPhone 4S et les versions ultérieures ainsi que les iPad 2 et au-delà. Il est également disponible pour les iPod touch de 5e génération. Enfin, les utilisateurs de Mavericks, Yosemite et bien sûr OS X Mountain Lion pourront se procurer le correctif sur le Mac App Store. Apple propose même un correctif pour les appareils Apple TV.