Publicité
Encore un mois, une autre faille de sécurité en ligne. Cette fois, la vulnérabilité affecte celle de votre navigateur et n'est pas limitée à un seul navigateur, ni à aucun système d'exploitation. Êtes-vous affecté par le bogue de sécurité FREAK? Comment savoir et que pouvez-vous faire pour vous protéger?
Qu'est-ce que la vulnérabilité de sécurité FREAK?
Découvert grâce à la coopération entre des chercheurs de l'IMDEA, de l'INRIA et de Microsoft Research, FREAK (Factoring RSA Export Keys) exploite une faiblesse des protocoles de sécurité SSL / TLS. La faiblesse du chiffre des exportations - apparemment mise en place à la demande du NSA heureuse de la surveillance La NSA peut espionner presque tout le monde, Google achète Songza, etc. [Recueil de nouvelles techniques]Les ventes de livres en ligne ont dépassé les ventes de livres au détail, le Royaume-Uni enquête sur l'expérience Facebook, IFTTT fait Yo utile, l'expérience Oculus Rift donne une perspective à la troisième personne, et Google teste nos connaissances générales avec Smarty Pins. Lire la suite
- peut maintenant être facilement exploitée, permettant ainsi à toute personne disposant d'un ordinateur raisonnablement puissant de casser des clés publiques. Pire encore, lorsqu'il est combiné avec un attaque de l'homme du milieu Qu'est-ce qu'une attaque d'homme au milieu? Explication du jargon de sécuritéSi vous avez entendu parler d'attaques de type "homme du milieu" mais n'êtes pas sûr de ce que cela signifie, cet article est pour vous. Lire la suite (comme avec le problème avec Lenovo regroupant les logiciels malveillants Superfish sur ses ordinateurs portables Les propriétaires d'ordinateurs portables Lenovo se méfient: votre appareil peut avoir préinstallé un logiciel malveillantLe fabricant chinois d'ordinateurs Lenovo a admis que les ordinateurs portables livrés aux magasins et aux consommateurs fin 2014 avaient préinstallé des logiciels malveillants. Lire la suite ), la vulnérabilité peut être utilisée pour pirater des sites Web et les navigateurs de leurs visiteurs.En termes simples, c'est un peu un problème, non seulement pour les utilisateurs, mais aussi pour les propriétaires de sites Web. Les sites problématiques incluent les magasins en ligne et, ironiquement, étant donné l'origine de la faille, les sites Web du gouvernement américain.
Ars Technica's Dan Goodin a appelé cette vulnérabilité «Potentiellement catastrophique» tout en Craig Timberg du Washington Post déclare:
«Le problème met en lumière le danger de conséquences inattendues pour la sécurité à un moment où les hauts responsables américains, frustrés par des formes de cryptage de plus en plus puissantes sur smartphones, ont appelé les entreprises technologiques à fournir des «portes» dans les systèmes pour protéger la capacité des services répressifs et des services de renseignement à mener surveillance."
Qui est affecté?
Une liste des sites Web concernés, exacte au 6 marse, comprend businessinsider.com, groupon.com, zdnet.com, talktalk.co.uk, motorola.com, Santander.com.br, et plein d'autres. Il est particulièrement ironique que certains de ces sites touchés soient ceux qui signalent la vulnérabilité. Cela représente 9,5% des serveurs hôtes du premier million de sites Web d'Alexa, 26,3% des serveurs dans le monde étant toujours vulnérables à ce problème.
Mais comme vous auriez dû le comprendre maintenant, ce ne sont pas seulement les sites Web qui sont affectés par le bogue FREAK. Les utilisateurs aussi.
Déterminer qui est touché est simple. Si vous utilisez Windows, vous êtes concerné, mais avant que des utilisateurs non-Windows tentent d'étouffer vos ricanements de dérision, lisez ceci: les navigateurs sur d'autres plates-formes sont également affectés.
Êtes-vous affecté par FREAK?
Pour savoir si le bogue de sécurité FREAK vous affecte directement, accédez à freakattack.com/clienttest.html (aucune information utilisateur n'est requise) et lisez ce qu'il vous dit sur votre navigateur. Si vous êtes concerné, vous remarquerez quelques avertissements surlignés en rouge, comme illustré, et une liste des suites de chiffrement qui peuvent être piratées à l'aide de la vulnérabilité.
Navigateurs vulnérables
Six navigateurs sont concernés, sur cinq plates-formes, Mac OS X, Blackberry et Linux inclus.
- Les utilisateurs d'Internet Explorer doivent respecter les Avis de sécurité Microsoft avant de procéder. Jusqu'à ce qu'un correctif soit déployé, il est plus simple d'éviter d'utiliser IE, car la solution de contournement est potentiellement destructrice pour certaines tâches.
- Pour Chrome sur Mac OS, un correctif est maintenant disponible, vous pouvez donc mettre à jour OS X de la manière habituelle pour résoudre ce problème.
- Les utilisateurs de Safari (sur OS X et iOS) devront attendre, ce qui en fait une bonne occasion de passer à Chrome ou Firefox.
- De manière inquiétante, le navigateur Android et Chrome pour Android sont affectés par cela, sans aucun signe de mise à jour pour le moment. Malgré cela, vous ne devez pas utiliser le navigateur de stock car il est susceptible de divers autres problèmes.
- Les utilisateurs de Blackberry - dont nous savons qu'il y en a encore beaucoup, si la réaction à mon semaine avec un Blackberry Z10 Vivre avec un BlackBerry: Lame Duck ou une véritable alternative Android?Le nouveau BlackBerry Z10 est certes impressionnant - mais en quoi son utilisation se compare-t-elle à l'utilisation d'un nouveau combiné Android ou Windows Phone? J'ai décidé de le découvrir. Lire la suite est quelque chose à passer - sont également touchés.
- Les utilisateurs d'Opera sur Mac OS X et Linux sont sensibles à la vulnérabilité FREAK, sans indication au moment de la rédaction de correctifs imminents.
Comme vous auriez dû le remarquer, il y a un gagnant clair ici: Mozilla Firefox. Si une version est disponible pour votre système d'exploitation, nous vous recommandons de changer Passer de Chrome: comment faire de Firefox un chez-soiVous avez donc décidé que Firefox est le meilleur navigateur pour vous. Pouvez-vous faire quelque chose pour rendre Firefox moins un environnement étranger? Oui! Lire la suite . Cela dit, Chrome pour Windows semble également être sûr.
Agissez maintenant: tuez le bogue FREAK
S'il doit y avoir une touche d'argent à tout cela, c'est que les principaux magasins en ligne sont restés inchangés, et que Mozilla Les propriétaires de Firefox - longtemps décrits comme une race mourante face à Google Chrome - peuvent se sentir justifiés de s'en tenir aux plus sécurisés option.
Certains changements de comportement sont nécessaires. Supprimez Internet Explorer si vous êtes sous Windows et passez à Firefox sur n'importe quelle plate-forme où il peut être utilisé (après tout, c'est sans doute plus flexible que Google Chrome Firefox Freedom! Quatre choses que Chrome ne permet pas aux utilisateurs de faireVous pensez que Chrome peut tout faire? Détrompez-vous. Voici quatre choses que les utilisateurs de Firefox peuvent faire facilement que les utilisateurs de Chrome ne peuvent pas faire. Lire la suite ). Comme toujours, vous devez maintenir un pare-feu actif, qu'il soit intégré à votre système d'exploitation ou fourni par une société tierce de confiance.
Enfin, assurez-vous d'accepter et d'installer toutes les mises à jour du système d'exploitation au cours des prochaines semaines afin de supprimer le bogue de sécurité FREAK.
Laissez vos questions dans les commentaires.
Crédit d'image en vedette: Femme, tenue, ordinateur portable, via, Shutterstock
Crédit d'image: HTTPS et symbole de verrouillage via Shutterstock, Alexander Supertramp / Shutterstock.com,
Christian Cawley est rédacteur en chef adjoint pour la sécurité, Linux, le bricolage, la programmation et la technologie expliquée. Il produit également le podcast vraiment utile et possède une vaste expérience en matière de support de bureau et de logiciels. Contributeur au magazine Linux Format, Christian est un bricoleur de Raspberry Pi, un amoureux des Lego et un fan de jeux rétro.