Cloud, sites web et Windows : les victimes de Freak s’allongent

Après la découverte de la faille Freak, la liste des sites et navigateurs vulnérables s’allonge avec les fournisseurs de Cloud et Internet Explorer pour Windows.

C’est ce que l’on appelle des répliques. En début de semaine des chercheurs français ont publié leurs travaux sur la découverte d’une faille dans les navigateurs Apple et Android. Cette vulnérabilité nommée Freak donne la possibilité à des attaquants de dégrader la qualité des clés de chiffrement pour les contourner plus facilement. Ce défaut provient de l’héritage d’une politique de sécurité des Etats-Unis dans les années 90 qui proposaient à l’exportation des clés de chiffrement plus faciles à surveiller. Les chercheurs ont montré que plusieurs sites étaient vulnérables comme celui de la NSA ou de la Maison Blanche.

Des centaines de services Cloud touchés et des sites à foison

Après la découverte de la faille, un premier bilan a été mené sur l’étendue des dégâts. Sur son blog, Skyhigh Networks (analyste de la sécurité du Cloud) a réalisé un audit sur les différents services Cloud (environ 10 000) et a constaté qu’environ 766 fournisseurs de Cloud étaient vulnérables, et non corrigés, à Freak. « Ces services comprennent des acteurs de premier plan dans la sauvegarde, les RH, la sécurité, les outils de collaboration, le CRM, les ERP, le stockage Cloud », souligne la société. Ce qui lui fait dire que sur son panel de clients (environ 350), 99% utilisent au moins un service Cloud qui n’a pas reçu de correctif. En sachant que selon Skyhigh, chaque société utilise en moyenne 122 services Cloud vulnérables.

Sur un autre site, freackattack.com qui permet de savoir si son navigateur est exposé à Freak, a dressé une liste de noms de domaines recensés parmi le top 10 000 du site Alexa susceptibles d’être impactés par la faille. On constate la présence de site français comme Bouygues Telecom, Ventes-Privées, priceminister.com, leparisien.fr ou doctissimo.fr. La liste comprend également des références internationales comme MIT.edu ou usajobs.gov.

Windows touché et patchs en attente

Microsoft a indiqué que l’implantation de SSL/TLS dans l’ensemble des versions de Windows était exposée à Freak. Dans son avis, la firme américaine est « consciente d’une vulnérabilité de contournement d’une fonctionnalité de sécurité dans Secure Channel (Schannel) qui affecte toutes les versions de Microsoft Windows ». Pour l’instant Microsoft n’a pas publié de patch pour résoudre le problème dans Internet Explorer. Il suggère quelques actions à mener sur son site notamment en modifiant la base de registre. Vous pouvez faire le test sur cette page et vérifier que votre navigateur est touché ou pas (cf photo ci-dessous).

Freakattack

Côté correctif, il faudra attendre encore un peu. Google et Apple ont annoncé que les patchs arriveront la semaine prochaine. Pour Microsoft, deux options sont envisagées : soit une correction lors du prochain Patch Tuesday, soit une mise à jour exceptionnelle.

A lire aussi

OpenSSL met au jour sa politique d’annonces des vulnérabilités
OpenSSL encore touché par des failles de sécurité

 Crédit Photo @alphaspirit-Shutterstock