La faille Freak révélée cette semaine a été présentée comme touchant les navigateurs par défaut et Chrome sur Android, et le navigateur Safari d'Apple. Côté serveur, des versions peu récentes d'OpenSSL, sur les systèmes de type Unix, étaient concernées.

En fait le problème est beaucoup plus étendu que cela, et ça n'a absolument rien d'étonnant. En effet, cette faille est avant tout une faille législative. Les autorités américaines ont voulu, jusqu'en 1990, que les solutions de chiffrements des produits américains vendus à l'exportation soient suffisamment faibles pour être éventuellement cassées plus tard par les services secrets. D'ou l'existence d'une clé spéciale pour les communications SSL/TLS "export RSA", codées sur 512 bits seulement, ce qui est insuffisant de nos jours.

Il est un produit américain très largement exporté, qui a forcément été concerné par cette loi : Windows. Et il apparaît que Microsoft, comme Microsoft et Apple, a laissé courir les choses après 1990, en continuant de supporter cette fameuse clé export RSA. Là aussi, une attaque de type homme du milieu dans une communication SSL entre un client Windows/Internet Explorer d'un côté ou un serveur Windows de l'autre côté, ou les deux bien évidemment, permet d'imposer une clé export RSA 512 bits décodée, donc au final d'intercepter la communication et la lire en clair.

Microsoft vient de le confirmer dans une alerte de sécurité. Tous les systèmes à partir de Windows Vista SP2, autant dire tous les Windows, sont concernés.

Dans son alerte, la firme de Redmond précise qu'elle n'a pas connaissance d'attaque exploitant cette vulnérabilité à ce jour et donne, en attendant que les correctifs soient publiés, des indications pour remédier au problème.

Microsoft travaille à l'élaboration du correctif, mais n'a pas donné de date en ce qui concerne sa disponibilité.