FREAK : De nombreux services Cloud affectés

Après Windows, OS X, iOS et Android, la vulnérabilité Freak s’avère affecter également plusieurs centaines de services Cloud. Et de nombreux sites Web restes concernés.

En fin de semaine dernière, Skyhigh alertait, dans un billet de blog, sur la situation préoccupante des fournisseurs de services Cloud face à la vulnérabilité FREAK. Selon lui, rien moins que 766 d’entre eux étaient affectés 24h après la révélation de la vulnérabilité : « les équipes de renseignement de Skyhigh cherchent les vulnérabilités et les brèches de sécurité de milliers de fournisseurs Cloud », et les services affectés par FREAK recouvrent « quelques uns des leaders de la sauvegarde, des ressources humaines, de la sécurité, de la collaboration, de la GRC, de l’ERP, du stockage Cloud ». Selon Skyhigh, sur plus de 350 de ses clients, « 99 % utilisent au moins un fournisseur Cloud qui n’a pas encore appliqué de correctif, et une entreprise utilise en moyenne 122 services vulnérables ».

Freak

Pour mémoire, la vulnérabilité FREAK permet de dégrader la sécurité des connexions TLS jusqu’à un niveau de chiffrement n’offrant… aucune sécurité, un héritage remontant à la naissance de SSL, alors que les Etats-Unis refusaient que le chiffrement fort ne quitte leurs frontières. Une politique abandonnée il y a plus de 15 ans, mais dont l’implémentation est encore présente sur environ un tiers des sites Web supportant SSL.

Alors que FREAK ne semblait initialement concerner qu’OS X, iOS et Android, elle s’avère affecter également Windows et concerner de nombreux serveurs connectés à Internet.

Qualys propose un outil de test de la vulnérabilité de serveurs connectés à Internet, capable de détecter FREAK, de même que KeyCDN. Selon le site FreakAttack.com, quelque 26,3 % des serveurs HTTPS sont encore vulnérables, une semaine après la divulgation de la vulnérabilité, une proportion inchangée.

Parmi les sites concernés, on trouve encore ceux de Vente Privée, du Parisien, de Doctissimo, ou encore de Bouygues Telecom et celui de Groupon.

Plus grave, les sites Web de certaines banques sont également affectés, comme ceux d’Axis Bank, en Inde, ou encore de Santander au Brésil.

Certains systèmes de VPN SSL d’entreprise peuvent également être concernés, comme des tests réalisés par la rédaction ont pu le montrer.

Pour approfondir sur Cloud