Des Français découvrent une importante faille de sécurité sur Internet

• Sécurité Informatique

Une équipe de l'Inria a découvert Freak, une vulnérabilité informatique qui peut compromettre les connexions sécurisées sur Internet. La législation américaine des années 1990 est mise en cause.

Les failles de sécurité informatique sont des marques comme les autres. Après «Heartbleed» qui a fait saigner Internet et «Sandworm» qui a grignoté Windows XP, voici le monstre «Freak». Derrière cet acronyme barbare, signifiant en anglais «Attaque par factorisation des clés RSA-Export», se cache une faille touchant des millons de sites Internet.

Antoine Delignat-Lavaud est chercheur à l'Inria, à Paris, et fait partie de l'équipe qui a découvert Freak. Il décrypte avec Le Figaro les enjeux de cette nouvelle faille médiatique.

● En quoi consiste Freak?

Freak touche au protocole HTTPS, qui détermine les communications entre un navigateur Internet et un serveur. Ce protocole, généralement employé par les sites qui gèrent des données personnelles comme les banques, les administrations ou les réseaux sociaux, a deux fonctions. D'une part, il permet, grâce à un certificat, de s'assurer de l'identité du serveur avec lequel un appareil communique. Une connexion sécurisée de la sorte certifie que le site de télédéclaration des impôts provient bien du gouvernement. Les échanges entre un site à l'adresse en «https» et le navigateur sont, quant à eux, chiffrés. Pour ce faire, le protocole HTTPS utilise divers algorithmes de cryptographie afin de chiffrer les communications entre les deux parties.

C'est là que le bât blesse. Lorsque la faille Freak est exploitée, «l'utilisateur croit utiliser une suite d'algorithmes sécurisée», explique Antoine Delignat-Lavaud. «Mais l'attaquant force le navigateur à utiliser des algorithmes de cryptographie très faibles». La faiblesse de ces algorithmes fait qu'un attaquant peut en venir à bout en quelques heures. La sécurité des échanges n'est alors plus assurée, et un potentiel assaillant peut alors se faire passer pour un site vulnérable à Freak. C'est ce qu'on appelle une attaque «Man-in-the-Middle»: l'internaute et son navigateur croient qu'ils communiquent avec un site sécurisé, alors la connexion passe par une troisième entité, contrôlée par un potentiel pirate. Ce dernier peut alors intercepter toutes les données (bancaires, personnelles) qui transitent lors de la connexion.

Lire la suite

Source Le figaro le 05 mars 2015

A lire également :

• Facebook victime d'une nouvelle panne
• Un virus cible les iPhone et iPad déverrouillés
• Une nouvelle faille de sécurité menace les smartphones Android
• Une Jeep piratée et stoppée à distance sur une autoroute
• Minds, un nouveau réseau social adoubé par les Anonymous
• Cybercriminalité : les nouvelles cibles
• Informatique: les entreprises mal protégées
• Cette faille de sécurité qui menace les clients d'Apple
• La Maison-Blanche piratée par des russophones
• Le site de l'association des Maires de Gironde infiltré
• Un logiciel espion découvert sur les ordinateurs Lenovo
• La NSA disposerait d'un nouveau logiciel espion
• Fuite de données en raison de bases de données mal configurées
• Mobilisation internationale pour renforcer le contrôle d'Internet
• USA: un projet de loi sur la cybersécurité USA: un projet de loi sur la cybersécurité
• Russie - Cybersecurite: création d'un systeme de protection des sites publics
• "Regin" lié aux USA et au Royaume-Uni
• Un puissant logiciel d'espionnage découvert
• L'histoire des "hackers russes" effraie l'Angleterre
• Des milliers de webcams piratées
• Des images de milliers de caméras de surveillance piratées diffusées sur Internet
• Faille dans Certicode : des millions d'euros dérobés à la Banque Postale
• Des pirates russes ont espionné l'Otan
• Shellshock, la faille qui sème la panique
• Bash Unix/Linux : une faille critique identifiée, et exploitée
• Un malware affecte 75.000 iPhones jailbreakés
• Mozilla Developer Network : 76 000 comptes dans la nature
• Cyber-risques : 559 failles recensées dans le monde au premier semestre (étude SafeNet)
• Amazon Web Services : un nid à malware selon Solutionary
• Google monte une équipe de supers hackers pour traquer les failles informatiques
• Piratage informatique «Blackshades»: 70 utilisateurs identifiés en France
• Un hacker allemand a piraté le site web de la NSA
• Microsoft laisse une faille béante dans les vieux Windows XP
• Bug Heartbleed : les clés de chiffrement privées bel et bien compromises
• Importante faille de sécurité sur Internet
• Un Bug d’Heart Bleed Pourrait Compromettre une Grande Partie de l’Internet
• Un virus informatique soupçonné d'être sponsorisé par un État
• Alerte aux «cryptolockers», ces nouveaux pirates informatiques venus de l'Est
• Opération Emmental : 34 banques ciblées par des pirates

---

Retour à la liste