FREAK : encore une faille SSL/TLS

Via FreakAttack, WebSense, NEXTINpact :

Et oui ! Encore une vulnérabilité dans SSL/TLS, ou devrais-je plutôt dire dans les implémentations OpenSSL et SecureTransport (Apple) de ces protocoles.

Lors de l’établissement d’une connexion SSL entre un serveur et un client une négociation a lieu afin de se mettre d’accord sur une « cypher suite », c’est à dire les différents moyens cryptographiques qui seront utilisés dans la suite de la communication.
Bien sûr les deux parties font en sorte de choisir les paramètres les plus sûrs pour échapper aux grandes oreilles.

Mais… certaines implémentations ont conservés une relique des lois cryptographiques américaines datant des années 90 car ces derniers refusaient que les algos créés chez eux soit utilisés par l’ennemi d’autres pays avec des tailles de clés difficiles à casser.

Bien sûr on pensait être débarrassés de tout cela mais il s’avère que dans certaines situations un attaquant en position d’homme du milieu puisse forcer un downgrade du chiffrement vers la suite EXPORT_RSA qui utilise une clé RSA de 512 bits.
Pour cela il faut que le serveur cible supporte EXPORT_RSA et que le client soit vulnérable (c’est à dire qu’il va accepter bêtement une clé RSA de 512 alors qu’il avait demandé plus solide).
Si une telle situation se vérifie alors il faut relativement peu de moyens (7 heures et demi et 104 dollars pour des serveurs EC2) pour factoriser une clé RSA de 512 bits.

Comme les serveurs web (ou autre) sont faignants ils ne prennent même pas la peine de régénérer une clé RSA à chaque nouvelle communication, ce qui fait qu’une fois une clé cassée vous pouvez la réutiliser tant que le serveur n’a pas été redémarré !

L’attaque est bien réelle et il est alors possible d’intercepter et modifier les communications à destination de www.nsa.gov si le client est vulnérable (le site de la NSA est sur un serveur Akamai qui sont vulnérables mais corrigés sous peu).

Plus d’infos sur la faille chez Cryptography Engineering.
Et pour tout savoir de SSL/TLS (y compris les précédentes attaques), rendez-vous sur StackExchange.

OpenSSL a colmaté la faille en janvier. Apple doit toujours faire un fix. Les matériels plus anciens ou laissant moins de libertés sur les updates (Android & co) sont plus vulnérables.

Une réflexion au sujet de « FREAK : encore une faille SSL/TLS »

Les commentaires sont fermés.