Apple a rapidement bouché la faille FREAK dans OS X et iOS, en mettant à jour ses différents systèmes d’exploitation rapidement après la découverte de ce problème de sécurité. Cette vulnérabilité, héritage d’un temps lointain (les années 90) où le gouvernement américain avait imposé aux éditeurs de logiciels des systèmes de chiffrement faibles, était restée béante jusqu’à début mars (lire : Faille de sécurité : le FREAK, c’est pas chic). Mais si Apple s’est chargée de ses propres failles, la vulnérabilité SSL/TSL est toujours présente dans des centaines d’applications tierces.
Les chercheurs en sécurité de FireEye ont testé un certain nombre d’applications les plus populaires sur le Play Store de Google et l’App Store d’Apple. Une grande partie est étanche aux attaques FREAK, mais ces spécialistes ont tout de même dénombré 1 999 logiciels susceptibles d’être attaqués par la faille : 1 228 apps Android qui cumulent plus d'un million de téléchargements, 771 sur les 14 079 apps iOS testées. Ces applications peuvent subir une attaque « man in the middle » par laquelle des pirates peuvent subtiliser des données confidentielles sensibles. Pour prouver ses dires, FireEye a mis en ligne la capture (ci-dessus) d’un fichier de données en clair extrait d’une app vulnérable.
Néanmoins, sur les 771 applications iOS identifiées par les chercheurs, seules 7 peuvent être exploitées par FREAK sous iOS 8.2, la dernière version du système d’exploitation.
Source : ars technica
