Près de 100 000 sites Web HTTPS sont menacés par une nouvelle vulnérabilité née des tentatives des États-Unis au début des années 90 de casser le cryptage utilisé par des entités étrangères..

D'après les chercheurs, la vulnérabilité 'Logjam' a été signalée pour la première fois par Ars Technica et concerne 8,4% des 1 millions de sites Web les plus fréquentés dans le monde..

"Logjam nous montre une nouvelle fois pourquoi c'est une terrible idée d'affaiblir délibérément la cryptographie, comme le FBI et certains responsables de l'application de la loi le réclament maintenant", a déclaré dans un email à Alex Alex Halderman, l'un des scientifiques à l'origine de la recherche. "C’est exactement ce que les États-Unis ont fait dans les années 90 avec des restrictions d’exportation cryptées, et aujourd’hui, cette porte dérobée est grande ouverte, menaçant la sécurité d’une grande partie du Web."

L'exploit permet aux observateurs de voir les données passant sur les connexions chiffrées, puis de les modifier pour exécuter avec succès des attaques de type "man-in-the-middle". Il est né d'une faille dans le protocole TLS (Transport Layer Security) qui permet aux sites Web et aux serveurs de messagerie d'établir des connexions cryptées avec les utilisateurs finaux. C'est dans l'échange de clés Diffie-Hellman que réside la faiblesse..

Les attaquants utilisent Logjam pour tirer parti d'un sous-ensemble de serveurs prenant en charge Diffie-Hellman, ce qui permet à deux parties qui ne se sont jamais rencontrées de configurer une clé spéciale même si elles communiquent via une connexion non sécurisée..

Pour tirer parti des connexions vulnérables, les attaquants doivent utiliser l'algorithme de tamisage numérique pour précalculer les données. Après cela, ils peuvent mener à bien des attaques d'interception contre la même connexion vulnérable..

Gardez votre navigateur à jour

Seul Internet Explorer a été mis à jour pour se protéger contre l'exploit, bien que les chercheurs aient contacté les développeurs de Chrome, Firefox et Safari pour s'assurer de la mise en œuvre d'un correctif qui rejette les connexions cryptées avec un minimum de 1024 bits..

Les chercheurs conseillent aux administrateurs de serveur de désactiver la prise en charge des suites de chiffrement DHE_EXPORT qui permettent de réduire les connexions Diffie-Hellman. Ils ont même fourni un guide sur la procédure à suivre pour le faire en toute sécurité. Pour les utilisateurs finaux, assurez-vous que votre navigateur ou votre client de messagerie est parfaitement mis à jour avec la toute dernière version..

  • Check this out: Meilleur logiciel antivirus gratuit 2015