Qu'est-ce que la vulnérabilité SWEET32 ?
La vulnérabilité SWEET32, a été découverte par deux chercheurs français, travaillant à l'INRIA : Karthikeyan Bhargavan et Gaëtan Leurent.
Cette faille est référencée sous deux CVE :
CVE-2016-2183 et
CVE-2016-6329. C'est une attaque
SSL qui cible uniquement les algorithmes de chiffrements utilisant des blocs de 64 bits. C'est le cas de Blowfish ou Triple-DES.
Il est alors possible de décrypter la clé de chiffrement si on obtient suffisamment de données cryptées (plusieurs centaines de Go).
Quels sont les protocoles impactés ?
Quand on parle de faille SSL, on pense immédiatement à HTTPS. Mais SSL est utilisé dans la plupart des protocoles qui utilient un cryptage. C'est donc aussi le cas des flux garantissant la confidentialité des mails (SMTPS, IMAPS, POP3S), et la confidentialité de vos échanges (VPN à base d'OpenVPN ou à base d'OpenSSL).
Qui est vulnérable ?
Pour être vulnérable à SWEET32, il suffit juste d'utiliser l'algorithme Blowfish ou Triple-DES pour le cryptage de ses informations. En clair, si vous utilisez OpenSSL inférieure à la version 1.1.0 avec une configuration par défaut, vous êtes très probablement vulnérable.
Quel est le moyen le plus simple pour se protéger de SWEET32 ?
Cette vulnérabilité date de 2016. Les systèmes d'exploitation ont eu largement le temps de corriger cette vulnérabilité. Donc si votre OpenSSL est encore en version inférieure à 1.1.0, nous vous conseillons de mettre votre système d'exploitation à jour le plus rapidement possible.
Il n'est pas nécessaire de changer votre certificat SSL, du moment que votre serveur web interdit les algorithmes de cryptages considérés comme faibles (Blowfish et Triple-DES dans notre cas).
Besoin de plus d'information ?
Un site web officiel a été créé pour cette vulnérabilité :
https://sweet32.info/
Tags
VULNERABILITÉ CRYPTOGRAPHIQUE
CRYPTOGRAPHIE
Inscription à notre lettre d'information
Inscrivez-vous à notre
lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.
