Faille de sécurité LOGJAM dans les implémentations SSL/TLS

Une nouvelle faille de sécurité a été découverte par des chercheurs américains et français. Elle affecte les connexions chiffrées entre un serveur Web ou d’e-mail et un utilisateur et concerne tous les protocoles reposant sur SSL (Secure Sockets Layer) ou TLS (Transport Layer Security) tels que HTTPS, SSH ou encore SMTPS.

Quel risque ?
L’exploitation de la faille se loge dans des algorithmes appelés Diffie-Hellman facilitant l’échange de clefs préalable à la sécurisation d’une connexion et consiste à tromper un serveur Web ou d’e-mail pour lui faire croire que son correspondant emploie une longueur de clef limitée. En conséquence elle le pousse à établir une communication mal protégée, qui peut alors être déchiffrée en quelques minutes via des attaques de type Man-in-the-middle.

Pour mener à bien ce type d’attaque, un hacker doit toutefois se trouver sur le même réseau que sa victime. Les services cloud, les hotspots Wi-Fi sont exposés. Les agences d’espionnage contrôlant les réseaux nationaux pourraient elles aussi exploiter cette vulnérabilité.

Qui est concerné ?
Cette vulnérabilité baptisée LOGJAM, toucherait 8,4 % du million de sites Web HTTPS les plus populaires dans le monde, ainsi qu’un grand nombre de serveurs de messagerie (environ 15 % des serveurs SMTPS).

Le rapport de sécurité fournit par les chercheurs note que les organisations et entreprises qui ont patché leur logiciel contre FREAK ne seront pas vulnérables à Logjam, étant donné que ces patchs ont éliminé la possibilité pour les logiciels d’utiliser les chiffrements plus faibles. Si vous avez fait le nécessaire en mettant à jour vos logiciels pour combler la faille Freak survenue en Mars dernier, vous êtes d’ores et déjà protégés.

Du côté navigateurs par contre, les concepteurs n’ont pas réagi pour ne pas se couper des sites exploitant encore des clefs 512 bits. Logjam va changer la donne de ce point de vue, Microsoft a déjà mis à jour Internet Explorer, Google a annoncé travailler sur un correctif, tandis que Firefox et Safari doivent suivre rapidement.
Le problème se situe du côté des serveurs mail, la plupart d’entre eux étant peu mis à jour.

Comment réagir ?

  1. Mettez à jour vos certificats SSL au profit de clés en 2048 bits (et profitez-en pour passer en SHA-256). Les chercheurs à l’origine de la découverte estiment que les clefs de 1024 bits et inférieures sont vulnérables.
  2. Mettre à jour les librairies TLS
  3. Rejeter l’initiation de communications cryptées avec des clés inférieures à 1024 bits.
  4. Déployer les versions patchées des navigateurs auprès de vos employés.

Si vous avez des doutes ?
Contacter l’équipe SSL de Nameshield group

Source d’information : https://weakdh.org/imperfect-forwar…

Parmi nos clients
Appelez-nous pour vous sider à enregistrer votre certificat SSL
Symantec Gold Partner