FREAK (Factoring RSA Export Keys[1]) est un exploit informatique d'une faiblesse cryptographique dans le protocole SSL/TLS (utilisé, entre autres, dans HTTPS) qui est le résultat de faiblesses délibérés créées il y a des décennies et introduites dans les implémentations des protocoles SSL/TLS pour assurer sa conformité avec les lois américaines concernant les exportations(en)[1].
Description
Ainsi, les logiciels en question ne devaient utiliser que des paires de clés publiques de chiffrement RSA avec 512 bits ou moins, dans le but de permettre à la National Security Agency (NSA) de facilement casser ce chiffrement, tout en limitant cette possibilité aux autres organisations avec des ressources informatiques de moindres envergures.
Cependant en 2015, les augmentations de la puissance de calcul rendent l'opération de cassage possible par toute personne ayant accès à des ressources informatiques relativement modestes, par exemple via un service de cloud computing. Combiné avec la capacité d'une attaque de l'homme du milieu (HDM), cela représente un exploit sensible pour la sécurité de nombreux systèmes.
Alors que l'exploit est découvert et officialisé seulement en 2015, ses vulnérabilités sous-jacentes étaient présentes depuis les années 1990 où la politique de limitation des trop fortes capacités de chiffrement des données est abandonnée[1].
L'identifiant CVE de cet exploit est CVE-2015-0204.
Notes et références
(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « FREAK » (voir la liste des auteurs).