Suivez-nous sur Facebook pour ne rien rater de l'actualité malienne

Des Français découvrent une importante faille de sécurité sur Internet

Une équipe de l’Inria a découvert FREAK, une vulnérabilité informatique qui peut compromettre les connexions sécurisées sur Internet. La législation américaine des années 90 est mise en cause.

 cyber criminalite hacker craker informatique internet

Les failles de sécurité informatique sont des marques comme les autres. Après «Heartbleed» qui a fait saigner Internet et «Sandworm» qui a grignoté Windows XP, voici le monstre «FREAK». Derrière cet acronyme barbare, signifiant en anglais «Attaque par factorisation des clés RSA-Export», se cache une faille touchant des millons de sites Internet.

Antoine Delignat-Lavaud est chercheur à l’Inria, à Paris, et fait partie de l’équipe qui a découvert FREAK. Il décrypte avec Le Figaro les enjeux de cette nouvelle faille médiatique.

● En quoi consiste FREAK?

FREAK touche au protocole HTTPS, qui détermine les communications entre un navigateur Internet et un serveur. Ce protocole, généralement employé par les sites qui gèrent des données personnelles comme les banques, les administrations ou les réseaux sociaux, a deux fonctions. D’une part, il permet, grâce à un certificat, de s’assurer de l’identité du serveur avec lequel un appareil communique. Une connexion sécurisée de la sorte certifie que le site de télédéclaration des impôts provient bien du gouvernement. Les échanges entre un site à l’adresse en «https» et le navigateur sont, quant à eux, chiffrés. Pour ce faire, le protocole HTTPS utilise divers algorithmes de cryptographie afin de chiffrer les communications entre les deux parties.

C’est là que le bât blesse. Lorsque la faille FREAK est exploitée, «l’utilisateur croit utiliser une suite d’algorithmes sécurisée», explique Antoine Delignat-Lavaud. «Mais l’attaquant force le navigateur à utiliser des algorithmes de cryptographie très faibles». La faiblesse de ces algorithmes fait qu’un attaquant peut en venir à bout en quelques heures. La sécurité des échanges n’est alors plus assurée, et un potentiel assaillant peut alors se faire passer pour un site vulnérable à FREAK. C’est ce qu’on appelle une attaque «Man-in-the-Middle»: l’internaute et son navigateur croient qu’ils communiquent avec un site sécurisé, alors la connexion passe par une troisième entité, contrôlée par un potentiel pirate. Ce dernier peut alors intercepter toutes les données (bancaires, personnelles) qui transitent lors de la connexion.

● Qui est concerné par cette vulnérabilité?

FREAK dépend de deux paramètres: il faut que le site visité et le navigateur soient tous deux vulnérables. «Sur le million de sites les plus visités recensés par Alexa, 12% étaient vulnérables au moment où la faille a été révélée. Aujourd’hui, on est à un peu moins de 10%», constate le chercheur rattaché à l’Inria. Parmi les sites initialement concernés se trouvent celui d’American Express, de plusieurs médias américains et français ou encore de celui de la NSA, l’agence de renseignement américaine.

Le bouton «se connecter avec Facebook», implanté par le réseau social sur de nombreux autres sites partenaires, était aussi sujet à cette vulnérabilité. Cela a été corrigé par Facebook, avant la divulgation de la faille. «Mais c’était potentiellement très grave», affirme Antoine Delignat-Lavaud. «Un pirate qui parvient, grâce à cette faille, à se faire passer pour le serveur de Facebook en charge du bouton «se connecter» peut intercepter les communications sur de nombreux sites».

Pour ce qui est des navigateurs concernés, la question est plus sensible. En effet, en sécurité informatique, la pratique veut qu’une faille n’est pas dévoilée tant qu’elle n’a pas été corrigée. Dans le cas de FREAK, une entreprise concernée, Akamai, a dévoilé la vulnérabilité à ses clients. Antoine Delignat-Lavaud et ses collègues ont donc dû dévoiler les navigateurs concernés: il s’agit de versions obsolètes de Google Chrome, du navigateur proposé dans certaines versions d’Android, et de toutes les versions de Safari, le navigateur d’Apple. Apple prévoit de publier un correctif la semaine prochaine. Google, de son côté, s’est abstenu de tout commentaire, d’après l’agence Reuters.

Cependant, «d’autres navigateurs pourraient être vulnérables», reconnaît Antoine Delignat-Lavaud. «Mais tant que tous les éditeurs concernés n’ont pas été informés des détails techniques de l’attaque, il nous est impossible d’en dire plus.»

●Est-ce grave?

Tout dépend ce que l’on entend par grave. On peut dire que cette faille est grave car elle a des conséquences potentiellement importantes. En outre, elle concerne plusieurs navigateurs et un nombre important de sites, dont certains sont très visités.

Toutefois, il n’y a pas de quoi céder à la panique. «Le niveau de compétence requis pour réaliser ce type d’attaque est quand même très élevé: celui d’un gouvernement ou d’une très grande entreprise», tempère Antoine Delignat-Lavaud. Il faut par exemple parvenir à se connecter sur le réseau Wi-Fi public utilisé par sa cible. En pratique, cette faille est donc plus utile à ceux qui voudraient mener des opérations d’espionnage très ciblées.

«Nous avons déjà révélé des failles plus graves et qui n’ont pas reçu le même écho médiatique», note d’ailleurs le chercheur.

● Pourquoi en parle-t-on?

L’histoire de FREAK est intéressante. La faille vient tout droit… des années 90. À l’époque, la cryptographie était encore considérée comme problématique, et d’utilisation principalement militaire. Les États-Unis avaient alors une législation à deux vitesses pour les clés de chiffrement produites dans leur pays.

Plus une clé de chiffrement est longue, plus elle offre une protection importante. Les clés RSA utilisées couramment aujourd’hui, de 2048 ou 4096 bits, sont, en pratique, incassables aujourd’hui. Dans les années 90, les clés américaines destinées à l’export devaient avoir une longueur maximum de 512 bits. Une protection qui peut, depuis longtemps, se briser bien facilement. Pour les États-Unis, il s’agissait de ne pas donner trop de moyens à ses ennemis pour se protéger.

«Les navigateurs concernés par la faille ont gardé une trace de cette législation dans leur code. En s’interposant entre le serveur et l’utilisateur, l’attaquant peut alors convoquer ce bout de code endormi», pour fonctionner comme à la vieille époque, explique Antoine Delignat-Lavaud.

 

Source: lefigaro.fr

Suivez-nous sur Facebook pour ne rien rater de l'actualité malienne
Ecoutez les radios du Mali sur vos mobiles et tablettes
ORTM en direct Finance