Apple et Microsoft corrigent la vulnérabilité FREAK
Apple et Microsoft ont pris la suite de Google en distribuant des mises à jour corrigeant la vulnérabilité FREAK, une semaine après sa divulgation.
Apple et Microsoft ont pris la suite de Google en distribuant des mises à jour corrigeant la vulnérabilité FREAK, une semaine après sa divulgation.
Pour mémoire, des chercheurs d’une équipe associant Inria et Microsoft ont levé le voile, la semaine passée, sur plusieurs vulnérabilités, voire failles, présentent dans diverses implémentations du protocole de chiffrement des communications en ligne TLS.
Dans un billet de blog, Matthew Green décrivait l’une d’elle, dite « Freak » : « un vilain bogue présent dans certains serveurs et clients TLS/SSL et qui a le potentiel de dégrader la sécurité de vos connexions TLS jusqu’à quelque chose qui n’a plus rien de sûr ». Cela concerne les clients OpenSSL – donc Android, notamment – et TLS/SSL d’Apple : avec eux, il devient possible de conduire une attaque de type man-in-the-middle « pour dégrader les connexions d’un mode RSA fort à un mode RSA de niveau exportation ». Un mode très limité, s’appuyant sur des clés à seulement 512 bits. Celui-ci remonte à la naissance de SSL, alors que les Etats-Unis refusaient que le chiffrement fort ne soit exporté.
Initialement, seuls Android et iOS/OS X semblaient concernés. Mais Microsoft a confirmé que Windows l’était également. De nombreux services Cloud le seraient également, de même que des systèmes de VPN SSL d’entreprise.
Google et Apple sur les dents
Google a été le premier à fournir une mise à jour aux constructeurs de terminaux Android. Apple et Microsoft lui ont emboîté le pas.
Apple vient de rendre disponible la mise à jour de sécurité 2015-002 pour OS X, ainsi que des correctifs comparables pour son Apple TV et iOS. La mise à jour d’OS X est disponible pour les versions Moutain Lion 10.8.5, Mavericks 10.9.5, et Yosemite 10.10.2.
Dans un billet de blog, le consultant indépendant Graham Cluley estime que « nous devrions être reconnaissants qu’Apple semble avoir corrigé la vulnérabilité FREAK pour ses utilisateurs dans un délai relativement court ». Et de relever que la dernière mise à jour d’iOS intègre un correctif pour une vulnérabilité qui aurait permis à des pirates de relancer à distance un iPhone en envoyant un SMS formaté spécifiquement pour exploiter cette faille.
La réponse de Microsoft
L’éditeur de Redmond a également réagi rapidement, intégrant un correctif pour FREAK dans son lot de mises à jour de sécurité de mars. Ce lot intègre également un correctif pour plusieurs vulnérabilités critiques affectant Internet Explorer, en versions 6 et ultérieures, dont une pouvant être exploitée pour lancer des attaques par hameçonnage et injecter du code malicieux dans le navigateur de l’utilisateur.
Un autre correctif vient combler des vulnérabilités affectant VBScript, et permettant l’exécution de code malicieux à distance.
Un troisième, référencé MS15-20, est plus surprenant : il corrige une vulnérabilité de Microsoft Windows qui peut être exploitée pour exécuter du code à distance… et s’avère très proche d’une vulnérabilité qui a été mise à profit par les auteurs d’un logiciel malveillant bien connu, mais plus tout jeune : Stuxnet.
De fait, comme le souligne Michael Mimoso chez Kaspersky, un précédent correctif de Microsoft pour cette vulnérabilité s’avère avoir été incomplet et avoir laissé, au final, les utilisateurs de Windows vulnérables durable de nombreuses années.