WEB - Elle permet aux pirates initiés de «décrypter les communications entre le client et le serveur et de récupérer des informations chiffrées»…
Après Freak, voici une nouvelle faille du protocole TLS, qui sécurise la plupart des connexions HTTPS sur le Web. Baptisée Drown, elle a été repérée par des chercheurs allemands, américains et israéliens, qui assurent qu'elle affecte 25 % du million de sites HTTPS les plus fréquentés dans le monde (soit un serveur sur trois) et quelque 930.000 serveurs de mail (SMTP, POP, IMAP).
Selon la page internet qui lui est dédiée, Drown s'insinue dans vos machines via une mauvaise configuration des serveurs qui utilisent un obsolète protocole de chiffrement (SSLv2), daté des années 1990.
Facilitée par des restrictions sur le cryptage imposées par les autorités américaines
Comment Drown procède-t-elle ? « En utilisant du chiffrement RSA pour procéder à l'échange de clef ainsi que le support de SSLv2 ou SSLv3 par le serveur », résume le site spécialisé ZDNet. Pour les novices de la faille et d'après l'étude des chercheurs
(à lire ici en anglais), il s'avère simplement que tout pirate profitant de solides connaissances en la matière et ayant repéré Drown pourra « décrypter les communications entre le client et le serveur et donc récupérer des clefs de chiffrement ainsi que des informations chiffrées ».
A noter que cette attaque en règle serait facilitée par les restrictions imposées par les autorités américaines de l'ère Clinton sur les outils de chiffrement dans les années 1990. « Nos résultats montrent les dégâts que produisent les technologies de cryptographie délibérément affaiblies pour l'export sur la sécurité des systèmes modernes, y compris des décennies après que ces régulations influençant le design originel aient été abolies », estiment ainsi les chercheurs.