Des chercheurs viennent de découvrir une importante et vieille faille qui permet des attaques sur des dizaines de milliers de sites accessibles en HTTPS, des serveurs de messagerie et d’autres services Internet. Cette faille est liée à une décision politique des années 90 relative à l’export des clés de chiffrement et pourrait expliquer en partie comment la NSA a réussi à intercepter certaines communications.

A un moment où de nombreux acteurs de l’Internet demandent à l’administration américaine de renoncer à son projet de backdoor dans les systèmes mobiles commercialisés par Apple, Google et consorts, à un moment où la Loi sur le Renseignement est en cours d’examen au Sénat français, une étude menée par des chercheurs montrent qu’il n’est vraiment pas pertinent de « jouer » avec les algorithmes de chiffrement.

Restrictions des clés à l'export

En effet, la faille découverte est liée à une décision politique de l’administration Clinton dans les années 90. A cette époque, les outils de chiffrement, considérés comme armes de guerre, avaient vu leurs possibilités restreintes dans le cas où ils seraient exportés. 

Ce fût notamment le cas du système d’échange de clés Diffie-Hellman, depuis largement utilisé. L’idée du gouvernement américain était de permettre au FBI américain et à d’autres agences gouvernementales (suivez mon regard) de casser plus facilement les clés utilisées dans les pays étrangers. En conséquence les clés vouées à l’export étaient limitées à 512 bits ce qui est plutôt faible et relativement facile à casser. Pour ne pas compliquer et permettre l'interopérabilité entre les différents serveurs (le web est par essence mondial), ces clés 512 bits furent utilisées partout et par tout le monde. J. Alex Halderman, l’un des auteurs de l’étude précise à nos confrères de Ars Technica : « Logjam (le nom attribué à cette attaque) montre une nouvelle fois que c’est une terrible idée d’affaiblir délibérément la cryptographie, comme le FBI et d’autres instances judiciaires le réclament à nouveau. C’est exactement ce que les Etats-Unis ont fait dans les années 90 avec les restrictions à l’export et aujourd’hui cette « backdoor » est largement ouverte, menaçant la sécurité d’une grande part du web ».

8,4% du Top 1 million

Le détail de l’attaque est accessible à cette adresse (https://weakdh.org/). Cette page montre que 8,4% du Top 1 million de sites HTTPS dans le monde sont vulnérables. La proportion est encore plus grande si l’on prend les clés 1024 bits, lesquelles peuvent être cassées par des attaquants disposant des ressources informatiques comme celles des agences gouvernementales. De même les protocoles SMTP+ StartTLS, Pop3S et IMAPS sont largement vulnérables. L’étude donne également quelques conseils selon que vous utilisez un serveur, un navigateur ou que vous êtes administrateur système ou développeur. Globalement, la meilleure parade consiste à utiliser des clés 2048 bits qui sont extrêmement difficiles à briser, y compris pour des agences comme la NSA.

La NSA aurait largement utilisé cette faille

Dans leur article intitulé  "Comment Diffie-Hellman est inopérant en pratique", les chercheurs spéculent sur le fait que la NSA a utilisé ces failles pour casser des millions de connexions chiffrées. Notre confrère Dan Goodin de Ars Technica rappelle qu’Edward Snowden avait révélé ces attaques de masse contre des systèmes chiffrés mais n’avait pas révélé la technique. Les chercheurs indiquent également que les mêmes techniques peuvent être utilisées pour briser les connexions SSH ou VPN.




Autres News Vie privée

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143658
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI