C’est ce que l’on appelle des répliques. En début de semaine des chercheurs français ont publié leurs travaux sur la découverte d’une faille dans les navigateurs Apple et Android. Cette vulnérabilité nommée Freak donne la possibilité à des attaquants de dégrader la qualité des clés de chiffrement pour les contourner plus facilement. Ce défaut provient de l’héritage d’une politique de sécurité des Etats-Unis dans les années 90 qui proposaient à l’exportation des clés de chiffrement plus faciles à surveiller. Les chercheurs ont montré que plusieurs sites étaient vulnérables comme celui de la NSA ou de la Maison Blanche.
Après la découverte de la faille, un premier bilan a été mené sur l’étendue des dégâts. Sur son blog, Skyhigh Networks (analyste de la sécurité du Cloud) a réalisé un audit sur les différents services Cloud (environ 10 000) et a constaté qu’environ 766 fournisseurs de Cloud étaient vulnérables, et non corrigés, à Freak. « Ces services comprennent des acteurs de premier plan dans la sauvegarde, les RH, la sécurité, les outils de collaboration, le CRM, les ERP, le stockage Cloud », souligne la société. Ce qui lui fait dire que sur son panel de clients (environ 350), 99% utilisent au moins un service Cloud qui n’a pas reçu de correctif. En sachant que selon Skyhigh, chaque société utilise en moyenne 122 services Cloud vulnérables.
Sur un autre site, freackattack.com qui permet de savoir si son navigateur est exposé à Freak, a dressé une liste de noms de domaines recensés parmi le top 10 000 du site Alexa susceptibles d’être impactés par la faille. On constate la présence de site français comme Bouygues Telecom, Ventes-Privées, priceminister.com, leparisien.fr ou doctissimo.fr. La liste comprend également des références internationales comme MIT.edu ou usajobs.gov.
Microsoft a indiqué que l’implantation de SSL/TLS dans l’ensemble des versions de Windows était exposée à Freak. Dans son avis, la firme américaine est « consciente d’une vulnérabilité de contournement d’une fonctionnalité de sécurité dans Secure Channel (Schannel) qui affecte toutes les versions de Microsoft Windows ». Pour l’instant Microsoft n’a pas publié de patch pour résoudre le problème dans Internet Explorer. Il suggère quelques actions à mener sur son site notamment en modifiant la base de registre. Vous pouvez faire le test sur cette page et vérifier que votre navigateur est touché ou pas (cf photo ci-dessous).
Côté correctif, il faudra attendre encore un peu. Google et Apple ont annoncé que les patchs arriveront la semaine prochaine. Pour Microsoft, deux options sont envisagées : soit une correction lors du prochain Patch Tuesday, soit une mise à jour exceptionnelle.
A lire aussi
OpenSSL met au jour sa politique d’annonces des vulnérabilités
OpenSSL encore touché par des failles de sécurité
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
