FREAK : Microsoft confirme que Windows est affecté

Microsoft vient de confirmer que toutes les versions de Windows actuellement supportées sont affectées par la vulnérabilité FREAK.

Pour mémoire, celle-ci permet de dégrader la sécurité des connexions TLS jusqu’à un niveau de chiffrement n’offrant… aucune sécurité. Un héritage remontant à la naissance de SSL, alors que les Etats-Unis refusaient que le chiffrement fort ne quitte leurs frontières. Une politique abandonnée il y a plus de 15 ans, mais dont l’implémentation est encore présente sur environ un tiers des sites Web supportant SSL.

Dans une note d’information, Microsoft indique que cette vulnérabilité affecte Windows Vista, Windows 7, Windows 8/8.1, mais également Windows Server 2003/2008/2012, et enfin Windows RT.

Toutefois, l’éditeur précise que les versions serveur de son système d’exploitation ne sont pas vulnérables dans leur configuration par défaut : elles ne le sont que pour les modes de chiffrement historiquement réservés à l’exportation sont manuellement activés.

Microsoft n’a pas indiqué quand un correctif pour la vulnérabilité FREAK serait distribué. Toutefois, celui-ci pourrait arriver avec le train de rustines de ce mardi 10 mars ou, à défaut, sous la forme d’une mise à jour indépendante du cycle normal de l’éditeur.

En attendant, Microsoft décrit une solution temporaire s’appuyant sur la désactivation des modes de chiffrement historiquement réservés à l’exportation dans le registre de Windows.