Sécurité

L’exploit FREAK HTTPS : désormais encore plus simple, affecte 2 000 applications iOS et Android – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Il y a quelques semaines, nous avons couvert le problème FREAK (Factoring attack on RSA Export Keys), et comment la création d’une porte dérobée dans les normes de chiffrement il y a plus de vingt ans est nuire à la sécurité aujourd’hui. Une récente série d’annonces a confirmé que le potentiel d’abus est encore plus élevé que nous ne le pensions.

Tout d’abord, il est prouvé que des milliers de serveurs qui acceptent encore la clé RSA_EXPORT affaiblie (9,7 % de tous les serveurs) partagent souvent un module. En théorie, chaque clé RSA 512 bits devrait être fissurée individuellement, pour un coût estimé à environ 9 000 $ en temps cloud sur le serveur Amazon. En pratique, les valeurs de module sont souvent partagées entre les serveurs — comme Rapports d’Ars Technica, dans un cas, 28 394 serveurs utilisaient tous le même module. Cela signifie qu’une attaque contre cette clé ouvre 28 393 portes supplémentaires.

Pire encore, les failles des méthodes utilisées pour générer les modules eux-mêmes peuvent être exploitées pour casser les clés RSA encore plus rapidement – les chercheurs travaillant sur un Xeon à huit cœurs ont pu effectuer 90 factorisations en moins de trois minutes dans moins de 2 Go de RAM .

Mais attendez, il y a plus !

Nous avons déjà expliqué comment divers navigateurs sous iOS et Android étaient vulnérables au piratage de type FREAK, mais l’équipe de sécurité chez FireEye a récemment réalisé une enquête pour savoir si les applications de chaque plate-forme peuvent être piratées avec une attaque de type FREAK. L’équipe a analysé 10 985 applications Android populaires avec plus d’un million de téléchargements et a découvert que 11,2 % d’entre elles étaient vulnérables à une attaque FREAK. Sur ces 1 228, 664 utilisent la bibliothèque OpenSSL d’Android et 564 utilisent leur propre bibliothèque OpenSSL compilée. Les deux sont vulnérables à FREAK.

Psssssst :  Un nouveau logiciel malveillant installe des proxys anonymes sur les PC infectés - High-teK.ca

Du côté d’Apple, il y a moins d’applications présentant des vulnérabilités (771 sur 14 079, soit 5,5 %), mais elles restent vulnérables à FREAK si l’appareil client exécute un système d’exploitation inférieur à iOS 8.2. Sur les 771 applications, seules sept d’entre elles ont leur propre version vulnérable d’OpenSSL, et restent donc vulnérables même en utilisant OS 8.2.

FreakVulnérable

L’interception du trafic d’applications peut être un moyen puissant d’accéder aux dossiers ou aux données d’une personne — si rien d’autre, elle capture un nom d’utilisateur et un mot de passe qui peuvent être partagés entre plusieurs comptes. La difficulté de mettre à jour tous les aspects de la plate-forme souligne la nécessité de concevoir des bibliothèques robustes à l’avance et d’éviter l’utilisation de portes dérobées. Bien qu’il soit difficile de sécuriser le code, il est au moins plausible de trouver et d’éliminer les bogues les plus flagrants avant la livraison d’un produit. Une fois que les appareils sont entre les mains des consommateurs, il est presque impossible de colmater tous les trous – les écosystèmes sont trop vastes et trop variés.

Si vous avez déjà corrigé vos navigateurs, il n’y a pas grand-chose d’autre à faire à ce stade. Dans l’état actuel des choses, il n’y a aucun moyen de savoir quelles applications iOS ou Android sont à l’origine de ce comportement, bien que les applications qui accèdent à Internet via leurs propres navigateurs ou fenêtres soient les plus susceptibles de présenter un risque. Les utilisateurs de Windows doivent s’assurer qu’ils ont entièrement patché leurs systèmes aussi bien.

Psssssst :  Un logiciel malveillant Android a découvert une crypto-monnaie minière sur les téléviseurs Amazon Fire - High-teK.ca

Bouton retour en haut de la page