Faille de sécurité : le FREAK, c’est pas chic
Un « zombie des années 90 » : voilà comment la faille FREAK (pour Factoring attack on RSA-EXPORT Keys) est qualifiée par Nadia Heninger, cryptographe de l’université de Pennsylvanie qui, avec l’aide de l’INRIA en France et de quelques autres labos a mis au jour cette étrange vulnérabilité tout droit issue des temps anciens. Le gouvernement américain a un temps interdit l’exportation de produits comportant de trop fortes capacités de chiffrement des données; ces restrictions ont été levées à la fin des années 90, mais il se trouve que ces systèmes de chiffrement faible (à 512 bits, un standard considéré à l’époque comme assez fort) ont perduré et se retrouvent toujours dans la plupart des logiciels utilisés actuellement.
Les utilisateurs de produits Apple et Google sont notamment concernés par cette faille particulièrement problématique, qui permet à des pirates de jouer la partition de « l’homme du milieu » entre les internautes et les serveurs de sites web normalement sécurisés, comme Whitehouse.gov ou NSA.gov. Les chercheurs en sécurité ont pu « forcer » les navigateurs à exploiter cet antédiluvien système de chiffrement, puis à le craquer en moins de 7 heures, en utilisant des ordinateurs utilisant les services d’Amazon Web : le résultat est que des hackers malintentionnés auraient, par cette méthode, un accès complet à des données sensibles : identifiants, mots de passe…
« Nous pensions bien sûr que les gens avaient cessé d’utiliser [ce système] », explique Karthikeyan Bhargavan de l’INRIA, un des premiers labos ayant débusqué la faille. Le problème est de taille et potentiellement dévastateur : plus d’un tiers des sites chiffrés (dont ceux qui arborent une icône de cadenas synonyme de protection SSL) seraient vulnérables aux attaques — distributeurs, services financiers, sites de presse… 5 millions de sites web, sur les 14 millions et quelques qui sont chiffrés sont susceptibles d’être frappés.
La riposte ne s’est heureusement pas fait attendre : Akamai a déclaré qu’il avait tenté d’« atténuer » le problème; plusieurs sites ont rehaussé leur sécurité, à l’instar de FBI.gov et Whitehouse.gov (ironiquement, NSA.gov reste vulnérable…). Si le moteur de recherche de Google et la version de bureau de Chrome ne sont pas sujets à la faille FREAK, ce n’est pas le cas de la déclinaison mobile du butineur. Enfin, Apple a fait savoir, par la voix de sa porte-parole Trudy Miller, qu’un correctif était en préparation et qu’il sera disponible la semaine prochaine pour les Mac et ses terminaux mobiles.
La semaine prochaine sur iOS ? Donc iOS 8.2 sortirai bien la semaine prochaine ?
Belle image de The Walking Dead en tout cas...
à propos de walking dead, qu'est-il arrivé au compte de imouillart, un bug ?
Difficile de continuer à discuter dans ce cas
Doit être assez sérieux pour qu'Apple réagisse aussi vite !
On se demande ce que font les gars de la securité chez Apple...
Apparement rien puisqu'en 2014, il a été trouvé plus de faille sur les OS d'Apple que ceux de Microsoft.
http://www.developpez.com/actu/81660/Les-systemes-d-exploitation-OS-X-et-iOS-d-Apple-ont-enregistre-le-plus-de-failles-de-securite-en-2014-d-apres-un-rapport/
Le succès ça se paye.
@madaniso
Cette étude a déjà été dézingué par tous les sites sérieux. En effet, alors que l'étude compile les failles de toutes les versions de MacOS, d'iOS, d'Android et de Linux, elle oublie de le faire pour Windows. Le résultat serait tout autre si toutes les versions de Windows en circulation (notamment XP qui n'est plus protégé) avaient été compilées.
T'as raison, le "succès" ça se paye, et j'espère pour les auteurs de cette "étude" qu'il a été payé assez cher.
"elle oublie de le faire pour Windows."
Tu veux compter 1 unique faille x fois parce qu'elle touche plusieurs versions de windows ? La tu cherches complètement à biaisé l'étude en voulant mettre MS en perdant absolu pour te rassurer qu'osx fait mieux...
En faisant la même chose pour celles qui affectent le noyau Linux * le nbr de distro, on doit pouvoir atteindre plusieurs dizaines de milliers de failles critiques. MS devrait en profiter pour faire du FUD comme tu cherches à le faire.
"Le résultat serait tout autre si toutes les versions de Windows en circulation (notamment XP qui n'est plus protégé) avaient été compilées."
XP n'a plus aucun support depuis 1 an, pourquoi vouloir encore fait porter le chapeau à MS ? Dans ce cas, tu serais d'accord pour qu'on compte aussi toutes celles depuis mac os 9, puisqu'il doit bien en restez 2-3 qui fonctionne quelque part ?
Ta remarque vaut aussi pour les autres OS à savoir une faille x fois plusieurs versions de l'OS. Dans cette étude, puisqu'il y a une absence de détails des versions pour les OS hormis Windows il convient d'additionner toutes les versions Windows pour se mettre au même niveau que les autres OS.
L'idéal aurait été de détailler tous les OS de la même manière que ce qui a été fait pour Windows. Car en l'état c'est bien Windows qui est avantagé dans cette présentation des résultats.
"Car en l'état c'est bien Windows qui est avantagé dans cette présentation des résultats."
A peine, le nombres de failles qui n'affecte qu'1 seule version de windows doit être très faible. Même en les cumulant, MS doit même avoir du mal à atteindre un total de 45 vulnérabilitées. Il sera toujours très en dessous du nombre de vulnérabilitées de niveau critique d'osx (64). Encore faut-il que les vulnérabilitées, quelque soit l'OS, soient bien liées directement à l'OS/son noyau et non pas un élément tiers, facultatif, voir non fournit dans l'install de base.
Inclure shellshock, heartbleed et co dans le noyau linux et/ou osx (?), la c'est clairement du trucage d'étude. Pour que Windows soit traité comme les autres, il aurait fallu ajouter celle d'MS office, de skype et co dedans.
C'est sur ça que t'aurais du faire la remarque et pas juste la présence ou non d'un détail par versions d'OS. :)
Le problème de cette "étude", c'est qu'elle ne fournit pas la liste des vulnérabilités incluses dans leurs comptes. Une vulnérabilité grave mais qui demande un accès physique, par exemple, je ne considère pas ça aussi problématique qu'une faille sérieuse d'un navigateur.
Tiens à ce sujet, IE : 242 vulnérabilités (dont 220 sévères), 172 de plus que Safari (mais 217 sévères de plus). Windows + IE = presque 4x le nombre de failles sévères de OS X + Safari.
Mais là encore, ça ne veut pas dire grand chose. IE... tous les IE cumulés ? Et Chrome avec ses 124 failles, c'est en comptant celles de Flash Player qui est intégré ?
Safari n'a que 3 failles critiques, vraiment ? Contre 86 pour Chrome ? Soit plus que les 79 pour Safari + Flash de toute façon ?
Windows + IE + Flash = 23 + 220 + 65 = 308 failles critiques dans le meilleur des cas
OS X + Safari + Flash = 64 + 3 + 65 = 132 failles critiques.
Bon enfin bref, vous voyez ce que je veux dire... le comptage, surtout avec des regroupements un peu au pif, ça n'a pas trop de sens.
@GoldenPomme :
Tu dois être encore jeune, sinon tu aurais su les milliers de failles critiques dans XP, Vista... c'est vrai que W7 est plutôt bon
La préhistoire c'est fini et on s'en fout, le fait est que MS a évoluer tous comme ses outils apparement.
"les milliers de failles critiques dans XP, Vista..."
J'suis pas aussi jeune que tu dois te l'imaginer, parcontre ce qui est certain c'est que tu es soit marseillais, soit un pigeon qui fait du FUD à 2 balles voir les 2 à la fois.
"On se demande ce que font les gars de la securité chez Apple..."
Ils sont en boîte de nuit à danser sur "le freak c'est chic"... bien sûr !
Trop bon le jeu de mots du titre, je viens justement de passer une heure à me faire un plein revival funk (stomp, upside down, on the beat, etc. pour ceux qui ont remué leur popotin sur les pistes de danse dans les années 80)
Le titre qui tue! Bien trouvé...
@Mister Bazoge : juste pour sourire, vous avez quel âge ? Pour savoir si le titre est une référence à du vécu ou juste de la culture "historique" ?
Pfff encore de la musique de djeuns' ;-)
'tain MacGé ! Votre illustration, là, y'a quand même plus frais ;)
Pas très heureux le choix de la photo: il y a des gens qui lisent MacGe assis dans le divan, en famille, et bon, il y a de jeunes yeux parfois... Bon ok, je pinaille, mais voilà, c'est dit ;)