Alors qu’on annonçait que seulement Safari et le navigateur d’Android étaient vulnérables à la faille Freak, Microsoft annonce que c’est aussi le cas de Windows.
L’annonce de la faille Freak a mis en émoi tout internet vu qu’il s’agit d’une vulnérabilité qui touche à la sécurité du chiffrement. Dans un premier temps, seuls les navigateurs Safari pour OS X et iOS, ainsi que l’ancien navigateur d’Android, étaient annoncés vulnérables.
La liste s’est désormais allongée vu que Microsoft a publié un avis de sécurité pour prévenir les utilisateurs de Windows que le système d’exploitation est également vulnérable à Freak. « La vulnérabilité permet à un attaquant de forcer la rétrogradation des suites de chiffrement dans une connexion SSL/TLS sur un système Windows client », a indiqué l’éditeur de Redmond.
La vulnérabilité se situe plus exactement dans le Microsoft Secure Channel (Schannel), c’est-à-dire l’implémentation de SSL/TLS, une API qui contient les protocoles de sécurité pour l’authentification et les communications avec chiffrement, notamment HTTPS.
Freak concerne également le navigateur BlackBerry, Opera pour OS X et Linux, et Chrome.
À l’heure actuelle, aucun rapport ne mentionne une exploitation de la faille Freak. Une attaque est à priori relativement complexe à mettre en œuvre.
Microsoft précise encore qu’un correctif sera proposé lors du prochain Patch Tuesday, mardi prochain, ou hors cycle.
Il est bon de souligner que Chrome pour OS X doit être mis à jour avec la dernière version, alors qu’une version de Chrome pour Android n’est pas encore disponible pour corriger cette vulnérabilité.