DROWN, une faille qui rend vulnérable 33% des serveurs HTTPS

DROWN, une faille qui rend vulnérable 33% des serveurs HTTPS

Une nouvelle faille critique baptisée DROWN rendrait vulnérable un tiers des serveurs HTTPS soit environ 11,5 millions de serveurs.

Publié le 3 mars 2016 - 9:52 par François Giraud

Un tiers des serveurs HTTPS sont concernés par la faille DROWN

La faille DROWN pour « Decrypting RSA usingObsolete and Weakened eNcryption » rendrait vulnérables environ 11,5 millions de serveurs HTTPS. Cette vulnérabilité critique affecterait donc des milliers de sites Web et pourrait faire de nombreux dégâts sur la toile. Un tiers des serveurs HTTPS seraient concernés par cette faille.

Selon les chercheurs israéliens et allemands qui ont découvert cette vulnérabilité, le bug proviendrait d’un dysfonctionnement ou d’une mauvaise configuration des serveurs concernés. Ces derniers utiliseraient encore le protocole SSLv2 tandis que les nouveaux serveurs, non affectés utilisent le nouveau protocole TLS. Ce sont donc des serveurs supportant des anciennes versions (SSL) qui sont concernés, mais les chiffres sont importants puisqu’un tiers des serveurs HTTPS seraient vulnérables.

drown-attack

Publicité

La faille DROWN est une vulnérabilité critique qui affecte les serveurs HTTPS ainsi que d’autres services tels que les protocoles SSL et TLS, des protocoles cryptographiques essentiels pour la sécurité sur Internet. Ces protocoles sont utilisés au quotidien par les internautes pour naviguer sur la toile, réaliser des achats en ligne, envoyer des messages instantanés ou encore se servir d’une messagerie électronique. Cette faille pourrait permettre à des pirates de casser le cryptage des données, de dérober des informations, y compris des mots de passe, des numéros de cartes de crédit ou des données financières ou sensibles. De nombreux sites Internet sont donc vulnérables ainsi que des sites très utilisés comme « yahoo.com », « dailymotion.com », « flickr.com »,  ou encore « alibaba.com » ou « groupon.com ». Une liste des sites populaires a été établie par les deux chercheurs en sécurité informatique.

DROWN_diagram1

Pour se protéger contre la faille DROWN, les administrateurs de sites Web doivent faire attention à ce que les clés privées ne sont pas toutes utilisées avec un logiciel serveur permettant une connexion SSLv2, à savoir les serveurs Web, les serveurs SMTP, IMAP ou POP ou d’autres outils prenant en charge les protocoles TLS et SSL. Pour ceux qui utilisent OpenSSL, il faut migrer vers une version plus récente et effectuer les mises à jour. Pour ceux qui utilisent Microsoft IIS (Windows Server), il faudra désactiver SSLv2 et pour les clients qui utilisent Network Security Services (NSS) il faut désactiver par défaut SSLv2 et vérifier si la clé privée est exposée. D’autres logiciels et systèmes d’exploitation sont également concernés et les chercheurs ont mis en ligne un document technique complet au format PDF disponible via ce lien.



Ailleurs sur le web


Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *