.

Une nouvelle vulnérabilité a été rendue publique ce mardi 3 mars dans le chiffrement des connexions SSL/TLS : FREAK (Factoring RSA EXPORT Attack Keys).
Après vérification, nous vous confirmons que notre moteur et nos sites clients n’ont pas été exposés à cette vulnérabilité. En effet, nous ne proposons pas le chiffrement “export RSA”.

Or cette attaque concerne uniquement les chiffrements « export RSA » considérés comme des chiffrements relativement faibles (clé RSA de 512 bits).
Dans une connexion sécurisée, le navigateur demande à utiliser un système de chiffrement RSA fort. Dans cette attaque, le pirate court-circuite cet échange et modifie la demande du navigateur en “export RSA”. Le serveur renvoie alors une clé RSA faible et le navigateur l’accepte bien que cela ne corresponde pas à sa demande. La connexion n’est alors protégée qu’avec une clé RSA de 512 bits. Le pirate n’a plus qu’à ensuite décrypter par force brute ce chiffrement pour avoir accès aux données dites sécurisées.

Pour en savoir plus sur cette attaque, nous vous invitons à lire cet article de Next Inpact >>

Pour savoir si votre navigateur est impacté par cette attaque, un test a été mis en ligne ici >>

L’équipe Fasterize