Freak : une menace qui va au-delà des navigateurs Web

Selon le site FreakAttack.com, quelque 26,3 % des serveurs HTTPS à travers le monde sont encore concernés par la vulnérabilité FREAK, près de deux semaines après sa divulgation, une proportion inchangée.

Pour mémoire, la vulnérabilité FREAK permet de dégrader la sécurité des connexions TLS jusqu’à un niveau de chiffrement n’offrant… aucune sécurité. Un héritage remontant à la naissance de SSL, alors que les Etats-Unis refusaient que le chiffrement fort ne quitte leurs frontières. Une politique abandonnée il y a plus de 15 ans, mais dont l’implémentation est encore présente sur environ un tiers des sites Web supportant SSL.

Alors que FREAK ne semblait initialement concerner qu’OS X, iOS et Android, elle s’est avérée affecter également Windows et de nombreux produits BlackBerry. Apple, Google et Microsoft ont de leur côté déjà publié des correctifs.

Mais si la vulnérabilité a surtout été médiatisée pour son composant poste de travail, il est susceptible de concerner d’autres types de clients. De quoi éveiller la curiosité quant à la vulnérabilité de systèmes serveurs d’entreprise. Des tests réalisés par la rédaction ont permis d’identifier des serveurs VPN SSL affectés.

Dans une note d’information, Riverbed indique que ses produits Stingray Trafic Manager sont vulnérables et explique comment y remédier. BlueCoat reconnaît également que certains de ses produits sont affectés, de même que CA Technologies, ou encore IPSwitch pour certains de ses produits MoveIt de transfert de fichiers sécurisé, et en fonction des configurations. Et Il en va de même pour certains produits Sophos pour la protection des postes de travail.

Au final, DigiCert recommande de mettre à jour tous les systèmes serveurs utilisant OpenSSL avec une version corrigée. Et la même chose vaut côté client. Le rapport de vulnérabilité CVE-2015-0204 fait d’ailleurs le point sur l’impact de la vulnérabilité, côté clients basés sur OpenSSL. Et de renvoyer par exemple vers la note d’information de Cisco, présentant une impressionnante liste de produits encore en phase d’examen et une non moins impressionnante liste de produits clairement affectés, dont les dernières versions d’AnyConnect Secure Mobility Client pour Android et iOS.

FortiMail, de Fortinet, est également concerné, de même que certains produits NetApp, certains versions de HP-UX, mais aussi Debian. Mandriva a proposé des mises à jour, de même que SuSE. D’autres sont disponibles pour RHEL et CentOS. Splunk a mise à jour Splunk Enterprise en version 6.2.2 pour corriger la vulnérabilité.

De son côté, Tenable propose des composants mis à jour pour son tableau de bord SecurityCenter, afin de faciliter la détection de systèmes vulnérables à FREAK dans un environnement de production. Et cela aux côtés de deux plug-ins ad hoc pour le célèbre scanner de vulnérabilités Nessus.