FREAK affecte de nombreux produits BlackBerry
Corrigée par Apple, Google et Microsoft avec des mises à jour logicielles, la vulnérabilité FREAK reste répandue. BlackBerry vient d’admettre qu’elle affecte une grande part de ses produits.
BlackBerry vient de publier une note d’information relative à la vulnérabilité FREAK et à ceux de ses produits concernés. Et la liste est longue.
Pour mémoire, la vulnérabilité FREAK permet de dégrader la sécurité des connexions TLS jusqu’à un niveau de chiffrement n’offrant… aucune sécurité. Un héritage remontant à la naissance de SSL, alors que les Etats-Unis refusaient que le chiffrement fort ne quitte leurs frontières. Une politique abandonnée il y a plus de 15 ans, mais dont l’implémentation est encore présente sur environ un tiers des sites Web supportant SSL.
Alors que FREAK ne semblait initialement concerner qu’OS X, iOS et Android, elle s’est avérée affecter également Windows et concerner de nombreux serveurs connectés à Internet. Mais Apple, Google et Microsoft ont publié des correctifs.
De son côté, BlackBerry indique que BlackBerry OS 10 est affecté par FREAK, de même que BlackBerry OS 7.1 et antérieurs. Ses serveurs BES 10 et 12 sont concernés – mais pas BES5.
Sa solution Secure Work Space pour Android est elle aussi concernée, de même que Work Browser et Work Connect pour iOS.
Certaines versions de BBM pour Android et iOS, sont impactées, tandis que toutes celles pour BlackBerry 10 le sont. Toutes les versions de BBM Meetings sont en outre affectées, toutes plateformes confondues.
Dans sa notice d’information, BlackBerry indique « travailler rapidement à enquêter sur la vulnérabilité et pour déterminer comment limiter au mieux le risque client ».
Le Canadien assure en outre ne pas avoir connaissance d’attaque visant ses clients et exploitant cette vulnérabilité.
Ne proposant pas de palliatif, pour l’heure, BlackBerry souligne que, pour réussir une attaque de type man-in-the-middle en exploitant FREAK, sur BES10 et 12, il faudrait « que l’attaquant ait compromis l’intranet ». Et de souligner que le risque est encore réduit si les données transmises sur SSL sont déjà chiffrées avant envoi.