Facebook et Paypal vulnérables à une faille vieille de 19 ans


Outre facebook et paypal, ce sont bien 27 sites sur les 100 plus gros du web qui sont vulnérables à cette faille. Et c’est grave, puisqu’elle a permis aux pirates d’enregistrer tous les échanges pour par la suite les décrypter.

La liste des personnes infectées est inexistante si bien qu’on ne peut chiffrer réellement l’impact que ce bug cryptographique a eu. Depuis, les sites vulnérables ont colmaté la brèche et le silence règne, mais jusqu’à quand ?

Car cette faille « Robot » ou plutôt ce bug cryptographique n’est pas récent et pourrait même être majeur s’il s’agissait d’une personne physique puisqu’il  aurait 19 ans aujourd’hui. Ce bug cryptographique permet de récupérer la clé qui chiffre les flux d’une session TLS/SSL et donc d’espionner les échanges. Déterrée par les chercheurs en sécurité Hanno Böck, Juraj Somorovsky et Craig Young en 1998, ce bug est encore terriblement d’actualité. La faille découverte était basée sur un bug dans un protocole d’échanges de clés SSL/TLS basé sur RSA, un algorithme de chiffrement asymétrique. Elle permettait à un attaquant de retrouver la clé de session d’un échange TLS/SSL et de le déchiffrer. Bien qu’elle ait été patchée au moment de sa découverte en 1998, les correctifs ont été mal implémentés.

Mais rendez-vous compte du nombre de victimes qu’elle a dû faire en 19 ans. Le problème, c’est que ce sont les personnes qui ne supportent pas le chiffrement RSA qui sont le plus vulnérable et c’est assez mauvais donc car une fois dépassé le cryptage RSA, le pirate informatique peut enregistrer tous les échanges et par la suite les décrypter. Le nombre de serveurs web impactés est loin d’être négligeable. En effectuant leurs tests, les chercheurs ont donc trouvé 27 sites vulnérables parmi les 100 plus gros de la toile. Parmi ces sites figurait notamment Facebook et Paypal qui, depuis, nous le disions plus haut, ont soigné la blessure. Un test est disponible en ligne pour savoir les sites que vous fréquentez sont aussi vulnérables. En revanche, les chercheurs n’ont pas encore publié de code d’attaque, histoire de laisser le temps aux administrateurs web de procéder à des mises à jour.

Tout cela ne nous rassure pas encore mais nous commençons à être habitués. Outre lorsque nous sortons de chez nous, nous savons que nous risquons une attaque physique mais que maintenant cela se propage jusque dans notre domaine intime, celui de notre vie numérique. Et Dieu sait que nous en donnons des informations confidentielles et ce en toute impunité et en toute confiance. La grande question, c’est faut-il essayer par tous les moyens de colmater les brèches à chaque fois ou faut-il entièrement revoir le système ?

Ces questions-là, des tas d’experts se la pose tous les jours mais sans obtenir de réponses car la tache est immense. Il faut des collaborations et des conférences permanentes sur le sujet et ne jamais s’arrêter de s’interroger. Le public doit être protégé en priorité et nul ne devrait accéder à des informations privées, espérons juste que cela devienne réalisable un jour. en attendant, continuez à vous protéger du mieux possible et rester à l’actualité des dernières news en matière crypto-criminalité.

 

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s

Propulsé par WordPress.com.

Retour en haut ↑

%d blogueurs aiment cette page :