Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Faille FREAK : Apple propose un correctif pour Apple TV, OS X et iOS

Les comptes de la cryptage
Logiciel 2 min
Faille FREAK : Apple propose un correctif pour Apple TV, OS X et iOS

Apple vient de déployer des mises à jour de sécurité pour ses différents systèmes d'exploitation touchés par la faille FREAK. Sont concernés : trois versions d'OS X (Mountain Lion, Maverick et Yosemite), Apple TV 7.1 et iOS 8.2.

Il y a quelques jours, la faille FREAK (Factoring RSA EXPORT Attack Keys) était dévoilée. Au lieu d'utiliser un système de chiffrement fort avec une clé RSA suffisamment robuste, un pirate pouvait intercepter les communications entre un navigateur et le un serveur (attaque de type homme du milieu) afin de forcer un niveau relativement faible : 512 bits seulement.

FREAK éradiqué des systèmes d'exploitation Apple

Comme nous avions pu le remarquer, Safari était notamment touché et Apple annonçait travailler sur un correctif qui devait arriver cette semaine. C'est désormais le cas avec une mise à jour de sécurité estampillée 2015-002 pour OS X Mountain Lion (10.8.5), Mavericks (10.9.5) et Yosemite (10.10.2). Notez que ce n'est pas la seule faille bouchée puisqu'il est également question des CVE-2015-1061 et CVE-2015-1066. DE son côté, Yosemite a droit à un correctif spécial pour iCloud Keychain (CVE-2015-1065) et son noyau (CVE-2014-4496).

Le système d'exploitation des Mac n'était pas le seul concerné et des correctifs sont également disponibles pour les Apple TV de troisième génération minimum (Apple TV 7.1) ainsi que pour les terminaux mobiles sous iOS 8.2. Là encore, d'autres failles sont bouchées au passage et le détail des notes de versions se trouve par ici pour AppleTV et par là pour iOS.

Microsoft prépare aussi son correctif

Pour rappel, Microsoft avait également indiqué que plusieurs de ses systèmes d'exploitation étaient concernés : Windows Server 2003 (SP2), Vista (SP2), Server 2008 (SP2), 7 (SP1), 2008 R2 (SP1), 2012, 2012 R2, RT, 8 et 8.1. Des correctifs sont en préparation et Microsoft donne quelques conseils sur cette page en attendant qu'ils soient mis en ligne.

 

11 commentaires
Avatar de vcs2600 INpactien
Avatar de vcs2600vcs2600- 10/03/15 à 14:01:31

Je pensais que les encryptages 512 bits étaient déjà sacrément robustes !

Avatar de Edtech Abonné
Avatar de EdtechEdtech- 10/03/15 à 14:06:07

 Je vois que pour Microsoft, il n'y a que SChannel de touché. Je suppose que IE ne l'utilise pas vu que les tests donne IE résistant à cette faille. Par contre, des tonnes d'applications tiers doivent l'utiliser...

Avatar de Yseader INpactien
Avatar de YseaderYseader- 10/03/15 à 14:06:31
Avatar de jb18v Abonné
Avatar de jb18vjb18v- 10/03/15 à 14:09:38

dans les années 90 oui, mais avec du matériel récent (et du GPGPU), c'est l'affaire de quelques heures :D

Avatar de Glyphe INpactien
Avatar de GlypheGlyphe- 10/03/15 à 14:09:43

déjà on parle de chiffrement :francais:

Et ensuite il y a deux types de chiffrement à ne pas confondre, sur de l'AES en symétrique on va parler de chiffrement en 128 bits ou 256 bits. Tandis que sur du RSA en asymétrique on est dans du 1024 bits (faible à ne plus utiliser), 2048 bits (recommandé) ou 4096bits.

Ces deux chiffrements diffèrent par leurs algorithmes et ne peuvent être comparé directement sur la longueur des clés de chiffrement.

Avatar de vcs2600 INpactien
Avatar de vcs2600vcs2600- 10/03/15 à 14:14:10

Glyphe a écrit :

déjà on parle de chiffrement :francais:

Et ensuite il y a deux types de chiffrement à ne pas confondre, sur de l'AES en symétrique on va parler de chiffrement en 128 bits ou 256 bits. Tandis que sur du RSA en asymétrique on est dans du 1024 bits (faible à ne plus utiliser), 2048 bits (recommandé) ou 4096bits.

Ces deux chiffrements diffèrent par leurs algorithmes et ne peuvent être comparé directement sur la longueur des clés de chiffrement.

Ah voilà !  Je réagissais par rapport à un chiffrement AES, et là je me disais que 512 bits en AES, c'était quand même pas rien à décapsuler. 
Merci pour la précision !

Avatar de Glyphe INpactien
Avatar de GlypheGlyphe- 10/03/15 à 14:21:02

L' AES en 512 bits n'existe tout simplement pas. AES ne fournit que du 128, 192 et 256 bits.

Ici on parlait donc de RSA 512 bits qui lui est vraiment cassé et très faible à l'heure actuelle. Il était recommandé il y a largement plus de 10 ans. Petit tableau comparatif :

Symmetric     RSA/DSA/DH       ECC     Hash
80                                1024           160       160
112                              2048           224       224      <-- Niveau minimum recommandé actuellement.
128                              3072           256       256      <-- Niveau recommandé
256                              15360        512       512  

Édité par Glyphe le 10/03/2015 à 14:23
Avatar de Aldayo Abonné
Avatar de AldayoAldayo- 10/03/15 à 18:17:00

En tout cas, depuis la mise à jour, ma CG n'est plus reconnu !!

Plus de GTX670, plus d'écran 4K, bref, je retourne sur la GT120 de base avec un LCD 17" :grrr:

Édité par Aldayo le 10/03/2015 à 18:17
Avatar de Patch INpactien
Avatar de PatchPatch- 10/03/15 à 18:38:02

vcs2600 a écrit :

Je pensais que les encryptages chiffrements 512 bits étaient déjà sacrément robustes !

Avatar de Zorglob INpactien
Avatar de ZorglobZorglob- 12/03/15 à 08:38:51

Aldayo a écrit :

En tout cas, depuis la mise à jour, ma CG n'est plus reconnu !!

Plus de GTX670, plus d'écran 4K, bref, je retourne sur la GT120 de base avec un LCD 17" :grrr:

C'estn un pb mineur. Si tu es longtemps dans la panade, dis le moi, je te ... sauve :transpi:

Il n'est plus possible de commenter cette actualité.
Page 1 / 2