Ajouter un commentaire

Nouvelle vulnérabilité SSL/TLS - freak attack

Le 3 Mars 2015 une faille de sécurité concernant SSL/TLS a été découverte.

Que permet-elle ?

Bien exploitée cette dernière permettrait à une personne malintentionnée de décrypter les connexions chiffrées.

Une connexion est vulnérable si le serveur accepte les suites de chiffrement RSA_EXPORT et que le client émet lui aussi une suite de chiffrement RSA_EXPORT ou utilise une version d'OpenSSL vulnérable à CVE-2015-0204 car les clés RSA exportées sont des clés 512 bits.

Beaucoup d'appareils sont concernés qu'il s'agisse de PC, téléphone ou produit apple utilisant de vieilles versions d'Openssl.

Depuis quand existe-t-elle ?

L'export de clé RSA utilise des clés 512 bits, donc la faille est devenue exploitable dès lors que les ordinateurs ont été technologiquement capables de casser ce type de clé.

Comment vérifier si je suis impacté ?

Tous les sites web qui utilisent les suites de chiffrement RSA (TLS_RSA_EXPORT_WITH_DES40_CBC_SHA).

Vous pouvez vérifier si votre site est vulnérable en allant sur :

  • https://www.ssllabs.com/ssltest/
  • Comment la corriger ?

    Vous devez désactiver l'exportation de clé RSA. Vous devriez également désactiver toute autre suite de chiffrement connue pour être mal sécurisée et activer la confidentialité persistante.

    Si vous disposez d'une prestation mutualisée ou en infogérance complète sachez que nos équipes ont déjà fait le nécessaire.