La bibliothèque cryptographique Schannel (Secure Channel) utilisée dans toutes les versions de Windows est également concernée par la vulnérabilité Freak affectant les implémentations SSL/TLS dont les détails ont été divulgués récemment. Des pirates peuvent exploiter la faille en lançant des attaques « man-in-the-middle » et atténuer fortement la qualité du chiffrement côté clients et côté serveurs. La vulnérabilité concerne Internet Explorer et d'autres logiciels utilisant la bibliothèque de cryptage. Microsoft y a répondu en publiant un correctif dans le cadre de son Patch Tuesday pour Windows, Office et Internet Explorer.
Appelée Freak (Factoring RSA EXPORT Attack Keys), cette vulnérabilité est une conséquence directe de la réglementation américaine sur les exportations des systèmes de cryptage mise en place dans les années 1990 - en fait une exigence de la NSA - qui imposait de limiter les clés de cryptage RSA à 512 bits dans les implémentations SSL destinées à l’export. Ces suites de chiffrement « pour l'exportation » ne sont plus utilisées aujourd'hui, mais une équipe de chercheurs a récemment découvert que de nombreux serveurs sont encore compatibles avec ces clefs et que certains clients SSL/TLS, des navigateurs web notamment, peuvent être forcés de les accepter à cause des bugs présents dans leurs bibliothèques cryptographiques de référence.
Des attaquants capables d'intercepter des connexions SSL ou TLS (Transport Layer Security) entre clients et serveurs vulnérables pourraient réduire le niveau de cryptage et casser les clefs 512 bits en utilisant quelques heures de temps de calcul sur des services cloud comme Amazon EC3. Les tests effectués en début de semaine dernière, au moment où la vulnérabilité FREAK a été rendue publique, ont montré qu’environ 36 % de tous les sites compatibles HTTPS arborant des certificats jugés dignes de confiance étaient potentiellement vulnérables. Parmi les clients exposés figurent des navigateurs s’appuyant sur OpenSSL ou sur Secure Transport d'Apple, comme Chrome, Safari, Opera, et les navigateurs intégrés d’Android et de BlackBerry OS.
Internet Explorer et tous les logiciels exploitant Schannel inquiétés
Jeudi dernier, Microsoft a publié un avis de sécurité indiquant que la bibliothèque de cryptographie Secure Channel (Schannel), que l’on trouve toutes les versions de Windows, était également vulnérable. Cela signifie qu’Internet Explorer et les programmes qui dépendent de Secure Channel sont concernés. L'avis de sécurité de Microsoft propose aussi une solution de contournement : elle consiste à désactiver les chiffrements RSA pour l'échange de clés en utilisant le Group Policy Object Editor. Cependant, après cette désactivation, les serveurs qui ne reconnaitraient pas les suites de chiffrement restantes pourraient refuser certaines connexions. La solution ne peut pas être appliquée à Windows Server 2003, également concerné par la vulnérabilité, parce que l'architecture de gestion du chiffrement sur la plate-forme ne permet pas d'activer ou de désactiver les clefs individuellement.
Les informaticiens de l'Université du Michigan ont ouvert un site web qui permet de vérifier si le navigateur d'un utilisateur est vulnérable ou non. Le site contient également des informations sur la disponibilité des correctifs pour les navigateurs et bibliothèques SSL/TLS que préparent les différents éditeurs, ainsi que la liste des sites HTTPS les plus connus affectés par la vulnérabilité.
Commentaire