Un « zombie des années 90 » : voilà comment la faille FREAK (pour Factoring attack on RSA-EXPORT Keys) est qualifiée par Nadia Heninger, cryptographe de l’université de Pennsylvanie qui, avec l’aide de l’INRIA en France et de quelques autres labos a mis au jour cette étrange vulnérabilité tout droit issue des temps anciens. Le gouvernement américain a un temps interdit l’exportation de produits comportant de trop fortes capacités de chiffrement des données; ces restrictions ont été levées à la fin des années 90, mais il se trouve que ces systèmes de chiffrement faible (à 512 bits, un standard considéré à l’époque comme assez fort) ont perduré et se retrouvent toujours dans la plupart des logiciels utilisés actuellement.
Les utilisateurs de produits Apple et Google sont notamment concernés par cette faille particulièrement problématique, qui permet à des pirates de jouer la partition de « l’homme du milieu » entre les internautes et les serveurs de sites web normalement sécurisés, comme Whitehouse.gov ou NSA.gov. Les chercheurs en sécurité ont pu « forcer » les navigateurs à exploiter cet antédiluvien système de chiffrement, puis à le craquer en moins de 7 heures, en utilisant des ordinateurs utilisant les services d’Amazon Web : le résultat est que des hackers malintentionnés auraient, par cette méthode, un accès complet à des données sensibles : identifiants, mots de passe…
« Nous pensions bien sûr que les gens avaient cessé d’utiliser [ce système] », explique Karthikeyan Bhargavan de l’INRIA, un des premiers labos ayant débusqué la faille. Le problème est de taille et potentiellement dévastateur : plus d’un tiers des sites chiffrés (dont ceux qui arborent une icône de cadenas synonyme de protection SSL) seraient vulnérables aux attaques — distributeurs, services financiers, sites de presse… 5 millions de sites web, sur les 14 millions et quelques qui sont chiffrés sont susceptibles d’être frappés.
La riposte ne s’est heureusement pas fait attendre : Akamai a déclaré qu’il avait tenté d’« atténuer » le problème; plusieurs sites ont rehaussé leur sécurité, à l’instar de FBI.gov et Whitehouse.gov (ironiquement, NSA.gov reste vulnérable…). Si le moteur de recherche de Google et la version de bureau de Chrome ne sont pas sujets à la faille FREAK, ce n’est pas le cas de la déclinaison mobile du butineur. Enfin, Apple a fait savoir, par la voix de sa porte-parole Trudy Miller, qu’un correctif était en préparation et qu’il sera disponible la semaine prochaine pour les Mac et ses terminaux mobiles.
