Certaines failles ont la vie dure... des experts en sécurité dépendant du centre animé conjointement par l'INRIA et Microsoft ont révélé cette semaine une vulnérabilité affectant la sécurité des échanges client serveur protégés par les outils de chiffrement courants. En deux mots, celle-ci permet de forcer le recours à une version ancienne des protocoles SSL et TLS, bien éloignée des standards de la sécurité actuelle. Ils l'ont baptisée FREAK, pour Factoring RSA Export Keys.
Au commencement était la NSA
Cette vulnérabilité, et les possibilités d'attaque qui en découlent, reposent sur une vieille exigence formulée par la NSA dans les années 90 : ne proposer que des fonctions de chiffrement simples au sein des produits susceptibles d'être vendus à l'étranger, de façon à ce qu'il soit toujours possible de les déchiffrer en cas de besoin.Ces algorithmes faibles ont été baptisés « export RSA » et reposaient sur une clé RSA de 512 bits. Intégrée à la plupart des outils concurrents, ce chiffrement « dédié à l'export » a rapidement cédé le pas à des clés plus robustes, généralement comprises entre 1024 et 2048 bits. La clé historique subsiste cependant dans la plupart des outils courants, essentiellement pour des questions de compatibilité.
A priori, cet héritage du passé n'est pas censé poser problème. En effet, lorsqu'un client initie une connexion sécurisée vers un serveur, les deux parties adoptent le plus haut niveau de chiffrement commun, de façon à garantir une sécurité maximale.
La vulnérabilité mise au jour par les chercheurs consiste à s'immiscer dans cet échange, via une attaque de type man in the middle, puis de « forcer » le recours à la clé RSA Export, laquelle n'est plus de taille à résister aux ordinateurs actuels et doit en théorie être totalement désactivée au sein de SSL ou TLS. D'après les auteurs, une clé de moins de 512 bits peut ainsi être factorisée « en moins de 12 heures pour 50 dollars » via une instance Amazon EC2. Cette simple manipulation compromet de fait l'ensemble des communications protégées par cette même clé : une fois entré, l'intrus peut en effet déchiffrer, mais aussi modifier à son gré les échanges.
« Ironie du sort, de nombreuses agences gouvernementales américaines (dont le NSA et le FBI) ainsi que bon nombre de sites populaires (IBM ou Symantec) permettent encore les clés dédiées à l'export sur leurs serveurs - en factorisant leur module RSA 512 bits, nous pouvons le transmettre à des clients vulnérables », expliquent les auteurs, illustrant la démarche avec une modification « en direct » du site de la NSA.
Côté serveur, la vulnérabilité a notamment été observée au sein d'OpenSSL, qui la corrige à partir des versions 0.9.8zd, 1.0.0p et 1.0.1k, mais de nombreux sites et applications restent potentiellement faillibles (voir une liste d'exemples). La liste s'amoindrit toutefois rapidement, au fur et à mesure que la découverte est médiatisée.
Une vulnérabilité partiellement comblée côté client
Du côté client, la brèche est normalement comblée sur les principaux navigateurs desktop, à l'exception de Safari, vulnérable sur OS X comme sur iOS. Alerté avant la divulgation publique, Apple a toutefois assuré mardi à l'agence Reuters qu'un correctif serait rapidement distribué. Les navigateurs Android basés sur OpenSSL peuvent aussi se révéler concernés, estiment les auteurs, qui conseillent d'utiliser plutôt Chrome que le navigateur par défaut. Google a de son côté assuré mardi qu'il avait d'ores et déjà développé un correctif Android, distribué à ses partenaires. C'est cependant de ces derniers que dépendra la diffusion, puisque les mises à jour d'Android sont gérées par le constructeur du terminal.Il est possible de tester son navigateur directement sur le site dédié à « Freak Attack ».