La faille de sécurité ‘Freak’ a permis aux hackers de voler des mots de passe et des données personnelles des utilisateurs d'iPhone et d'Android pendant des décennies

Les iPhones, Androids et Mac contenaient une porte dérobée parce que les États-Unis interdisaient l’exportation de dispositifs avec un chiffrement fort #Vulnérabilité Freak

Choquant mais vrai, les utilisateurs d’Android, d’iPhone et de Mac dans le monde entier ont été exposés à un risque de sécurité pendant les 10 dernières années, permettant aux hackers de voler des mots de passe et d’autres données personnelles, en raison d’une politique américaine qui interdisait l’exportation de dispositifs contenant un « chiffrement fort » en dehors du pays.

Des chercheurs qui ont publié leur rapport sur SmackTLS affirment que cette faille existait depuis 10 ans et que Google Inc. et Apple Inc. essaient maintenant de corriger cette vulnérabilité.

Un groupe de cryptographes d’INRIA, de Microsoft Research et d’IMDEA a découvert des vulnérabilités sérieuses dans OpenSSL (par exemple, Android) et les clients Apple TLS/SSL (par exemple, Safari) qui permettent à un attaquant « homme du milieu » (MiTM) de rétrograder les connexions de RSA « fort » à RSA « de niveau exportation ». Les chercheurs affirment que cette faille était possible parce que le gouvernement américain ne voulait pas que des dispositifs chiffrés soient exportés en dehors des États-Unis.

Tout utilisateur d’Android, d’iPhone ou de Mac ayant visité des sites gouvernementaux comme Whitehouse.gov, NSA.gov et FBI.gov ainsi que de nombreux autres sites populaires dans le monde entier a été exposé à cette faille. Les chercheurs ont constaté que la faille forçait les navigateurs à accepter une norme de sécurité facilement contournable, rendant ainsi l’appareil vulnérable. Une fois l’appareil vulnérable, il pouvait être détourné par des cybercriminels en quelques heures, affirment les chercheurs.

Expliquant tout le concept, les chercheurs ont déclaré qu’en raison de RSA « de niveau exportation », un trou dans la sécurité des navigateurs web permettait au groupe de voler des mots de passe et des données personnelles des individus. Cela a également ouvert la voie à une exploitation supplémentaire avec une attaque de masse.

La faille de sécurité, qui affecte le navigateur web Safari d’Apple pour iOS et Mac, ainsi que le navigateur web par défaut de Google pour Android, n’affecte pas Chrome et Internet Explorer.

La faille, qui a été d’abord rapportée par le Washington Post, est en cours de correction par Apple dans le navigateur web Safari dans une mise à jour la semaine prochaine. Google a déclaré qu’il avait déjà fourni un correctif pour Android à ses fabricants de smartphones. Cependant, le problème pour les utilisateurs d’Android est multiple, car ils doivent attendre que leur fabricant de smartphone publie le correctif et la plupart des grands et petits fabricants semblent à peine intéressés à publier de tels correctifs.

De plus, Google a déclaré qu’il ne fournirait pas de correctifs pour les smartphones Android 4.3 Jellybean et inférieurs pour le composant WebView qui constitue une partie vitale du navigateur Android par défaut. Par conséquent, ces plus de 1 milliard de smartphones resteront vulnérables, s’ils sont en circulation, car Google ne fournira pas de mises à jour pour eux.

Parmi les sites web, FBI.gov et Whitehouse.gov ont été corrigés, selon Cryptography Engineering, tandis que NSA.gov reste vulnérable à cette vulnérabilité.