lundi 14 octobre 2019    || Inscription
BanniereNews
 
 

Des chercheurs viennent de découvrir une importante et vieille faille qui permet des attaques sur des dizaines de milliers de sites accessibles en HTTPS, des serveurs de messagerie et d’autres services Internet. Cette faille est liée à une décision politique des années 90 relative à l’export des clés de chiffrement et pourrait expliquer en partie comment la NSA a réussi à intercepter certaines communications.

A un moment où de nombreux acteurs de l’Internet demandent à l’administration américaine de renoncer à son projet de backdoor dans les systèmes mobiles commercialisés par Apple, Google et consorts, à un moment où la Loi sur le Renseignement est en cours d’examen au Sénat français, une étude menée par des chercheurs montrent qu’il n’est vraiment pas pertinent de « jouer » avec les algorithmes de chiffrement.

Restrictions des clés à l'export

En effet, la faille découverte est liée à une décision politique de l’administration Clinton dans les années 90. A cette époque, les outils de chiffrement, considérés comme armes de guerre, avaient vu leurs possibilités restreintes dans le cas où ils seraient exportés. 

Ce fût notamment le cas du système d’échange de clés Diffie-Hellman, depuis largement utilisé. L’idée du gouvernement américain était de permettre au FBI américain et à d’autres agences gouvernementales (suivez mon regard) de casser plus facilement les clés utilisées dans les pays étrangers. En conséquence les clés vouées à l’export étaient limitées à 512 bits ce qui est plutôt faible et relativement facile à casser. Pour ne pas compliquer et permettre l'interopérabilité entre les différents serveurs (le web est par essence mondial), ces clés 512 bits furent utilisées partout et par tout le monde. J. Alex Halderman, l’un des auteurs de l’étude précise à nos confrères de Ars Technica : « Logjam (le nom attribué à cette attaque) montre une nouvelle fois que c’est une terrible idée d’affaiblir délibérément la cryptographie, comme le FBI et d’autres instances judiciaires le réclament à nouveau. C’est exactement ce que les Etats-Unis ont fait dans les années 90 avec les restrictions à l’export et aujourd’hui cette « backdoor » est largement ouverte, menaçant la sécurité d’une grande part du web ».

8,4% du Top 1 million

Le détail de l’attaque est accessible à cette adresse (https://weakdh.org/). Cette page montre que 8,4% du Top 1 million de sites HTTPS dans le monde sont vulnérables. La proportion est encore plus grande si l’on prend les clés 1024 bits, lesquelles peuvent être cassées par des attaquants disposant des ressources informatiques comme celles des agences gouvernementales. De même les protocoles SMTP+ StartTLS, Pop3S et IMAPS sont largement vulnérables. L’étude donne également quelques conseils selon que vous utilisez un serveur, un navigateur ou que vous êtes administrateur système ou développeur. Globalement, la meilleure parade consiste à utiliser des clés 2048 bits qui sont extrêmement difficiles à briser, y compris pour des agences comme la NSA.

La NSA aurait largement utilisé cette faille

Dans leur article intitulé  "Comment Diffie-Hellman est inopérant en pratique", les chercheurs spéculent sur le fait que la NSA a utilisé ces failles pour casser des millions de connexions chiffrées. Notre confrère Dan Goodin de Ars Technica rappelle qu’Edward Snowden avait révélé ces attaques de masse contre des systèmes chiffrés mais n’avait pas révélé la technique. Les chercheurs indiquent également que les mêmes techniques peuvent être utilisées pour briser les connexions SSH ou VPN.




Autres News Vie privée

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI

BLOCKCHAIN

Conférence et exposition sur les applications d'entreprise de la blockchain à Paris, cité universitaire internationale, les 13 et 14 novembre 2019. Organisés par Corp Agency.

TRUSTECH

Cet événement international dédié aux paiements, à l'identification et à la sécurité est organisé à Cannes (palais des festivals) du 26 au 28 novembre 2019. Organisé par Comexposium.

FIC

Ayant pour thème cette année "Replacer l'humain au coeur de la cybersécurité", le Forum International de la Cybersécurité occupe les 28, 29 et 30 janvier 2020 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

RSS