La faille baptisée FREAK (Factoring attack on RSA-EXPORT Keys) découle d’une vieille restriction imposée par le gouvernement américain (et levée dans les années 1990) qui interdisait l’exportation des technologies de chiffrement.
Elle est liée à l’utilisation d’un chiffrement asymétrique faible, reposant sur une clef 512-bit, qu’on peut facilement cracker de nos jours en force brute.
Cette ancienne faille, récemment mise au jour, peut déboucher, une fois la clef déchiffrée, sur une attaque de type « man-in-the-middle », et permettre à une personne malveillante d’espionner le trafic web d’un ordinateur, même si celui-ci surfe sur des sites sécurisés en https.
D’après les chercheurs qui ont dévoilé la faille, elle serait exploitable aujourd’hui sur plus de 1/3 des sites sécurisés, en les forçant à utiliser ce chiffrement faible pour ensuite pouvoir attaquer les ordinateurs qui s’y connectent. Des sites tels que americanexpress.com, businessinsider.com ou encore bloomberg.com seraient concernés.
Ryan James, porte parole d’Apple, vient d’annoncer qu’un correctif avait été développé par la Pomme pour contrer cette faille qui touche Safari, mais aussi Chrome. Le correctif sera mis à la disposition des utilisateurs dès la semaine prochaine.
Du côté de Google, on annonce qu’un correctif a déjà été mis à la disposition des partenaires, sans toutefois préciser le calendrier de déploiement.