Freak : alerte (aussi) sur les applications mobiles
FireEye montre comment la vulnérabilité Freak affecte bien au-delà des seuls navigateurs Web.
Alors qu’elle semblait initialement ne concerner qu’OS X, iOS et Android, la vulnérabilité Freak s’est avérée affecter également Windows. Apple, Google et Microsoft ont déjà publié des correctifs. Mais la vulnérabilité va au-delà des seuls navigateurs Web et peut concerner de nombreux systèmes clients utilisant un chiffrement SSL/TLS, parfois même, sinon souvent, à l’insu de leurs développeurs.
Pour mémoire, la vulnérabilité FREAK permet de dégrader la sécurité des connexions TLS jusqu’à un niveau de chiffrement n’offrant… aucune sécurité. Un héritage remontant à la naissance de SSL, alors que les Etats-Unis refusaient que le chiffrement fort ne quitte leurs frontières. Une politique abandonnée il y a plus de 15 ans, mais dont l’implémentation est encore présente sur environ un tiers des sites Web supportant SSL.
Des outils permettent, en ligne, de tester la vulnérabilité d’un navigateur Web et la configuration d’un serveur SSL/TLS. Mais comme le relève FireEye dans un billet de blog, des outils comme ceux proposés par FreakAttack.com « ne dédient les vérifications de sécurité côté client qu’aux navigateurs web ». Et pour le spécialiste de la sécurité, c’est très insuffisant. D’où sa décision « d’examiner des applications iOS et Android pour leur posture de sécurité vis-à-vis de l’attaque Freak, en tant que clients ».
Sur 11 000 applications Android téléchargées plus d’un million de fois, 1228 sont vulnérables
Et le bilan est préoccupant. Sur près de 11 000 applications Android téléchargées plus d’un million de fois, 1228 s’avèrent vulnérables : « 664 utilisent la librairie OpenSSL intégrée à Android, et 564 disposent de leur propre librairie OpenSSL compilée ». Les premières bénéficieront donc de la mise à jour proposée par Google, après sont installation. Mais les secondes devront attendre une mise à jour de leurs éditeurs respectifs.
Côté, iOS, c’est un peu mieux : 771 applications sur 14 079 applications « populaires » sont vulnérables, « sur toutes les versions d’iOS antérieures à la 8.2 ». Et sept d’entre elles exploitent leur propre « version vulnérable d’OpenSSL et restent vulnérables sous iOS 8.2 ».
Reste que certaines applications vulnérables concernent des domaines sensibles, que l’on parle de vie privée, de données de paiement, ou d’informations professionnelles. Le 10 mars dernier, FireEye relevait encore une centaine d’applications vulnérables dans le domaine de la photo, plus de 60 dans celui des réseaux sociaux, une trentaine dans le domaine bancaire, ou encore près de 20 pour le shopping.
De quoi montrer, encore une fois, que Freak concerne bien au-delà des seuls navigateurs Web.