Drown, la faille qui menace le cryptage d'un serveur HTTPS sur trois

WEB Elle permet aux pirates initiés de «décrypter les communications entre le client et le serveur et de récupérer des informations chiffrées»...

20 Minutes avec agence

— 

Photo prise le 22 janvier 2002 à Paris, de la tête de mort qui figure sur le tee-shirt officiel de la première école officielle de hackers, qui a ouvert ses portes en octobre 2001
Photo prise le 22 janvier 2002 à Paris, de la tête de mort qui figure sur le tee-shirt officiel de la première école officielle de hackers, qui a ouvert ses portes en octobre 2001 — Joel Saget AFP

Après Freak, voici une nouvelle faille du protocole TLS, qui sécurise la plupart des connexions HTTPS sur le Web. Baptisée Drown, elle a été repérée par des chercheurs allemands, américains et israéliens, qui assurent qu’elle affecte 25 % du million de sites HTTPS les plus fréquentés dans le monde (soit un serveur sur trois) et quelque 930.000 serveurs de mail (SMTP, POP, IMAP).

 

>> A lire aussi : «Freak», la faille de cryptage qui affecte des milliers de sites

 

Selon la page internet qui lui est dédiée, Drown s’insinue dans vos machines via une mauvaise configuration des serveurs qui utilisent un obsolète protocole de chiffrement (SSLv2), daté des années 1990.

Facilitée par des restrictions sur le cryptage imposées par les autorités américaines

Comment Drown procède-t-elle ? « En utilisant du chiffrement RSA pour procéder à l’échange de clef ainsi que le support de SSLv2 ou SSLv3 par le serveur », résume le site spécialisé ZDNet. Pour les novices de la faille et d’après l’étude des chercheurs (à lire ici en anglais), il s’avère simplement que tout pirate profitant de solides connaissances en la matière et ayant repéré Drown pourra « décrypter les communications entre le client et le serveur et donc récupérer des clefs de chiffrement ainsi que des informations chiffrées ».

A noter que cette attaque en règle serait facilitée par les restrictions imposées par les autorités américaines de l’ère Clinton sur les outils de chiffrement dans les années 1990. « Nos résultats montrent les dégâts que produisent les technologies de cryptographie délibérément affaiblies pour l’export sur la sécurité des systèmes modernes, y compris des décennies après que ces régulations influençant le design originel aient été abolies », estiment ainsi les chercheurs.

Un outil qui permet à chacun de tester la vulnérabilité de ses serveurs

Des experts qui affirment que, dans certains cas, un simple PC et moins d’une minutesuffisent aux pirates pour récupérer les données cryptées (mots de passe, données de santé et financières, etc.).

A noter que les chercheurs ont mis à disposition un outil de test permettant à chacun de vérifier la vulnérabilité des sites largement utilisés.