20150303 - Attaque Freak
Une nouvelle faille de sécurité liée au protocole SSL/TLS a été découverte le 3 mars 2015. Cette dernière, appelée Freak, permet à un attaquant d'intercepter des connexions HTTPS entre un client vulnérable et un serveur puis de les forcer à utiliser un niveau de chiffrement allégé que l'attaquant peut facilement casser afin de récupérer des informations sensibles.
Il existe 2 familles de risque :
Côté serveur
- ne pas autoriser de cipher faible (export)
«Servers that accept RSA_EXPORT cipher suites put their users at risk» - les ciphers conseillés par TBS sur les apache et produit unix sont sûr
- concernant les serveurs de type Microsoft, il est difficile voir impossible de changer
cela
voir https://technet.microsoft.com/en-us/library/security/3046015
Côté client
- Pour IE voir https://technet.microsoft.com/en-us/library/security/3046015
- Pour Safari il n'existe pas encore de patch
- Pour les clients unix utilisant OpenSSL : il faut upgrade OpenSSL car les vulnérables sont OpenSSL before 0.9.8zd, 1.0.0 before 1.0.0p, and 1.0.1 before 1.0.1k