Qu'est-ce que la vulnérabilité FREAK ?

La vulnérabilité FREAK, a été découverte par un checheur français, travaillant à l'INRIA.

Cette faille est référencée CVE-2015-0204. C'est une attaque SSL permettant de faciliter le décryptage de la communication HTTPS. L'attaquant offre au serveur une clé RSA faible, le cryptage qui en résulte permet une attaque par brute force pour décrypter le flux, et donc pouvoir lire en clair le flux HTTPS décrypté.

C'est donc une vulnérabilité favorisant les attaques de type "Man in the Middle" ou par détournement de flux.

Quels sont les protocoles impactés ?

Quand on parle de faille SSL, on pense immédiatement à HTTPS. Mais SSL est utilisé dans la plupart des protocoles qui utilient un cryptage. C'est donc aussi le cas des flux garantissant la confidentialité des mails (SMTPS, IMAPS, POP3S), et la confidentialité de vos échanges (VPN à base d'OpenVPN ou à base d'openssl).

Qui est vulnérable ?

Pour être vulnérable à FREAK, il faut deux conditions :

1. Utiliser une version d'OpenSSL vulnérable sur votre serveur web :

• version inférieure à 0.9.8zd ou
• version inférieure à 1.0.0p ou
• version inférieure à 1.0.1k
Toutes les versions supérieures ou égales à 1.0.1k d'OpenSSL sont immunisées contre cette vulnérabilité.


2. Utiliser la configuration par défaut de votre serveur web. Votre serveur web a besoin de tuning SSL afin de se prémunir de cette attaque. Nous vous conseillons d'utiliser le configurateur de Mozilla pour configurer correctement votre serveur web.

Quel est le moyen le plus simple pour se protéger de FREAK ?

Cette vulnérabilité date de 2015. Les systèmes d'exploitation ont eu largement le temps de corriger cette vulnérabilité. Donc si votre OpenSSL est encore en version inférieure à 1.0.1k, nous vous conseillons de mettre votre système d'exploitation à jour le plus rapidement possible.

Il n'est pas nécessaire de changer votre certificat SSL, du moment que votre serveur web interdit les algorithmes de cryptages considérés comme faibles.

Tags

VULNERABILITÉ CRYPTOGRAPHIQUE VPN

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...