Apple vient de déployer des mises à jour de sécurité pour ses différents systèmes d'exploitation touchés par la faille FREAK. Sont concernés : trois versions d'OS X (Mountain Lion, Maverick et Yosemite), Apple TV 7.1 et iOS 8.2.
Il y a quelques jours, la faille FREAK (Factoring RSA EXPORT Attack Keys) était dévoilée. Au lieu d'utiliser un système de chiffrement fort avec une clé RSA suffisamment robuste, un pirate pouvait intercepter les communications entre un navigateur et le un serveur (attaque de type homme du milieu) afin de forcer un niveau relativement faible : 512 bits seulement.
FREAK éradiqué des systèmes d'exploitation Apple
Comme nous avions pu le remarquer, Safari était notamment touché et Apple annonçait travailler sur un correctif qui devait arriver cette semaine. C'est désormais le cas avec une mise à jour de sécurité estampillée 2015-002 pour OS X Mountain Lion (10.8.5), Mavericks (10.9.5) et Yosemite (10.10.2). Notez que ce n'est pas la seule faille bouchée puisqu'il est également question des CVE-2015-1061 et CVE-2015-1066. DE son côté, Yosemite a droit à un correctif spécial pour iCloud Keychain (CVE-2015-1065) et son noyau (CVE-2014-4496).
Le système d'exploitation des Mac n'était pas le seul concerné et des correctifs sont également disponibles pour les Apple TV de troisième génération minimum (Apple TV 7.1) ainsi que pour les terminaux mobiles sous iOS 8.2. Là encore, d'autres failles sont bouchées au passage et le détail des notes de versions se trouve par ici pour AppleTV et par là pour iOS.
Microsoft prépare aussi son correctif
Pour rappel, Microsoft avait également indiqué que plusieurs de ses systèmes d'exploitation étaient concernés : Windows Server 2003 (SP2), Vista (SP2), Server 2008 (SP2), 7 (SP1), 2008 R2 (SP1), 2012, 2012 R2, RT, 8 et 8.1. Des correctifs sont en préparation et Microsoft donne quelques conseils sur cette page en attendant qu'ils soient mis en ligne.
Commentaires (11)
#1
Je pensais que les encryptages 512 bits étaient déjà sacrément robustes !
#2
Je vois que pour Microsoft, il n’y a que SChannel de touché. Je suppose que IE ne l’utilise pas vu que les tests donne IE résistant à cette faille. Par contre, des tonnes d’applications tiers doivent l’utiliser…
#3
Le FREAK, c’est chic " />
#4
dans les années 90 oui, mais avec du matériel récent (et du GPGPU), c’est l’affaire de quelques heures " />
#5
déjà on parle de chiffrement " />
Et ensuite il y a deux types de chiffrement à ne pas confondre, sur de l’AES en symétrique on va parler de chiffrement en 128 bits ou 256 bits. Tandis que sur du RSA en asymétrique on est dans du 1024 bits (faible à ne plus utiliser), 2048 bits (recommandé) ou 4096bits.
Ces deux chiffrements diffèrent par leurs algorithmes et ne peuvent être comparé directement sur la longueur des clés de chiffrement.
#6
#7
L’ AES en 512 bits n’existe tout simplement pas. AES ne fournit que du 128, 192 et 256 bits.
Symmetric RSA/DSA/DH ECC Hash
#8
En tout cas, depuis la mise à jour, ma CG n’est plus reconnu !!
Plus de GTX670, plus d’écran 4K, bref, je retourne sur la GT120 de base avec un LCD 17” :grrr:
#9
#10
#11
J’ai fait une réparation des autorisations et surtout, Nvidia à sortie une nouvelle version de ses WebDriver " />
Ma GTX670 refonctionne à merveille " />