Microsoft a confirmé que tous les ordinateurs Windows sont exposés à un exploit HTTPS appelé FREAK qui a déjà affecté de nombreux appareils Android et Apple..

Le bogue avait été révélé lundi et on pensait que les ordinateurs fonctionnant sous Windows n'étaient pas affectés par l'exploit existant depuis plus de 10 ans et permettaient aux attaquants de déchiffrer facilement le trafic envoyé via une connexion HTTPS entre les utilisateurs finaux et les sites Web..

Des attaques peuvent être perpétrées lorsqu'un utilisateur final sur un périphérique vulnérable se connecte à un site protégé par HTTPS qui est également vulnérable, et que les sites à risque utilisent ceux qui utilisent le chiffre faible qui était censé être retiré depuis longtemps..

FREAK, qui désigne l'attaque par factorisation des clés RSA-EXPORT, permet aux utilisateurs surveillant le trafic d'introduire des paquets malveillants dans le flux de trafic, ce qui oblige l'utilisateur final et le site à utiliser une clé de chiffrement de 512 bits plus faible lors d'une session Web chiffrée..

Les pirates peuvent collecter des informations transmises lors de cet échange en utilisant le cloud pour prendre en compte la clé privée sous-jacente du site Web. Ce processus ne coûte que 100 USD (environ 66 £), et dure environ sept heures. Une fois que cela a eu lieu, l'attaquant peut agir en tant que site officiel protégé par HTTPS pour potentiellement lire ou modifier les données circulant entre le site et les utilisateurs finaux..

Pas de patch Windows

Un rapport de chercheurs en sécurité sur FREAKattack.com a révélé l'ampleur du problème: 36% des 14 millions de sites protégés par HTTPS étudiés utilisaient un chiffrement faible..

Apple et Google ont déjà publié des mises à jour qui contournent le problème et, bien que Microsoft n'ait pas encore développé de correctif pour contourner le problème qui affecte toutes les versions grand public de Windows, il conseille aux utilisateurs d'appliquer une solution de contournement décrite ici..

Via: Ars Technica

  • Pourquoi devez-vous chiffrer les données dans le cloud?