«Freak», la faille de cryptage qui affecte des milliers de sites

WEB Le problème vient des faibles normes de cryptage mises en place dans les années 1990...

P.B. avec AFP

— 

Un iPhone 4S d'Apple et un Samsung Galaxy S3
Un iPhone 4S d'Apple et un Samsung Galaxy S3 — Jung Yeon-Je AFP

Après Heartbleed, voici la faille «Freak». Des milliers de sites censés être sécurisés sont en fait vulnérables, mais uniquement s'ils sont visités depuis Safari (sur iOS et Mac) ou depuis le vieux navigateur par défaut d'Android. Chrome, lui, Firefox et Internet Explorer ne sont pas concernés.

Le problème vient des faibles normes de cryptage mises en place dans les années 1990 pour permettre à l'agence américaine du renseignement NSA d'espionner les communications étrangères, selon une étude publiée mardi.

La faille pourrait rendre ces sites vulnérables –y compris des sites administrés par le FBI et la NSA– aux attaques de pirates informatiques si le problème n'est pas réglé, selon cette étude menée par des chercheurs français et américains.

Permettre à la NSA d'espionner les pays hostiles

Selon les chercheurs, cette faille provient de normes de cryptage imposées par le gouvernement américain sur les logiciels destinés à l'exportation. Le but, selon eux, était de permettre aux Etats-Unis d'avoir accès à ces logiciels quand ils étaient vendus à des pays hostiles. Or même après le renforcement des règles de cryptage, certains logiciels voués à l'exportation ont continué à être régulés selon les précédentes normes.

La brèche a été découverte par les équipes de Karthikeyan Bhargavan en France à l'Institut national de recherche informatique et en automatique (Inria) et de Matthew Green aux Etats-Unis, un cryptographe à l'université de Johns Hopkins, dans le Maryland.

Une mise à jour bientôt disponible

Apple a annoncé qu'un patch correctif serait disponible la semaine prochaine. Google, qui ne contrôle qu'à moitié l'écosystème Android, a déjà mis au point une rustine, mais il appartiendra à ses partenaires de la déployer.