Plus de 11 millions de sites Web HTTPS à risque de nouvelle attaque DROWN, qui permet à des pirates de décrypter les communications entre le client et le serveur et donc potentiellement récupérer des informations chiffrées.
Après la vulnérabilité Heartbleed, présente dans la bibliothèque de cryptographie open source OpenSSL et qui a secoué le monde l’année dernière, une autre vulnérabilité cherche à créer la même panique. Ue faille de sécurité OpenSSL récemment découverte permet à un ancien protocole de sécurité obsolète, Secure Sockets Layer (SSLv2), d’être utilisé pour attaquer des sites web modernes.
Les webmasters ainsi que les internautes plus globalement doivent mesurer la gravité de la vulnérabilité car la quasi-totalité des banques, institutions financières et autres sites Web qui recueillent des informations personnelles identifiables (PII) utilisent le protocole HTTPS pour sécuriser les communications entre l’utilisateur et le serveur.
Surnommée DROWN (Decrypting RSA with Obsolete and Weakened eNcryption), elle pourrait impacter au moins un tiers de tous les serveurs HTTPS (33%). Les chercheurs qui ont découvert la faille ont déclaré que près de 11,5 millions de sites Web utilisant le protocole HTTPS sont des cibles potentielles.
La faille a été découverte par des chercheurs allemands, américains et israéliens. «Nous avons été en mesure d’exécuter l’attaque contre les versions vulnérables d’OpenSSL en moins d’une minute à l’aide d’un seul PC. Même pour les serveurs qui ne contiennent pas cette faille CVE-2016-0703, la variante générale de l’attaque, qui peut s’en prendre à n’importe quel serveur SSLv2, peut être réalisée en moins de 8 heures pour un coût total de 440 dollars ».
Actuellement, certains sites Web figurant dans le top Alexa sont vulnérables à cette attaque de type homme du milieu. C’est le cas par exemple de Yahoo, Sina et Alibaba.
Les chercheurs ont déclaré que les versions obsolètes d’Internet Information Services (IIS), version 7 et antérieures sont vulnérables. Il en va de même par les Network Security Service (NSS), un ensemble de librairies conçues pour supporter le développement mutli-plateforme d’applications clientes et serveurs sécurisées, sont aussi compromises (versions antérieures à la 3.13).
Vous pouvez savoir si votre site est vulnérable en utilisant le site de test créé par les chercheurs.
Dans tous les cas, si vous utilisez OpenSSL pour la sécurité, il est maintenant temps de passer à la version 1.0.2g. Les utilisateurs d’OpenSSL 1.0.1 devraient également migrer vers la version 1.0.1s.
