FREAK (faille informatique)

Cet article est une ébauche concernant la sécurité de l'information.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

FREAK (de l'anglais Factoring RSA Export Keys^[1]) est une faille informatique exploitant une faiblesse cryptographique dans le protocole SSL/TLS (utilisé, entre autres, dans HTTPS).

Contexte

L'exploit informatique FREAK est le résultat de faiblesses délibérés créées il y a des décennies et introduites dans les implémentations des protocoles SSL/TLS pour assurer sa conformité avec les lois américaines concernant les exportations (en)^[1]. Les logiciels en question ne devaient utiliser que des paires de clés publiques de chiffrement RSA avec 512 bits ou moins, dans le but de permettre à la National Security Agency (NSA) de facilement casser ce chiffrement, tout en limitant cette possibilité aux autres organisations avec des ressources informatiques de moindres envergures^[2].

Depuis les années 1990 où la politique de limitation des trop fortes capacités de chiffrement des données est abandonnée, mais le protocole est toujours d'usage dans les systèmes qui se modernisent^[1].

Dès les années 2010, les augmentations de la puissance de calcul rendent l'opération de cassage du chiffrement possible par toute personne ayant accès à des ressources informatiques relativement modestes, par exemple via un service de cloud computing. Combiné avec la capacité d'une attaque de l'homme du milieu (HDM), cela représente un exploit sensible pour la sécurité de nombreux systèmes.

Découverte

La faille est découverte en 2015 par une équipe de chercheurs de l'INRIA, Microsoft Research et l'IMDEA (Instituto Madrileño de Estudios Avanzados)^[3].

Selon des chercheurs de l'université du Michigan, 35% des 14 millions de sites web audités étaient vulnérables à la faille, dont nsa.gov, irs.gov, et connect.facebook.com. Le navigateur Google Chrome n'était pas touché mais le navigateur mobile natif des systèmes Android l'était^[2].

Trois chercheurs chinois ont analysé les applications de Google Play et du App Store d'Apple, et ont estimé à 6,3 milliards le nombre d'installations d'applications vulnérables (audit sur 10 985 applications affichant plus de 1 million de téléchargements sur Play Store, 14 079 applications populaires sur le App Store)^[4]. De nombreux services de Blackberry sont également touchés^[5].

Nadia Heninger, cryptographe à l'université de Pennsylvanie, a estimé à 7 heures le temps nécessaire en 2015 pour cracker une clé 512 bits avec des serveurs Amazon^[2].

OpenSSL, utilisé par de nombreux services, annonce avoir corrigé le problème en janvier 2016^[6].

Identifiant

L'identifiant CVE de cet exploit est CVE-2015-0204.

Notes et références

↑ ^{a b et c} « Freak, la faille de sécurité qui inquiète Apple et Google » [archive du 2 avril 2015], sur www.lesechos.fr (consulté le 23 décembre 2025)
↑ ^{a b et c} (en-US) « ‘FREAK’ flaw undermines security for Apple and Google users, researchers discover », The Washington Post,‎ 4 mars 2015 (ISSN 0190-8286, lire en ligne, consulté le 23 décembre 2025)
↑ (en) « Attack of the week: FREAK (or ‘factoring the NSA for fun and profit’) », sur A Few Thoughts on Cryptographic Engineering, 3 mars 2015 (consulté le 23 décembre 2025)
↑ (en) Darren Pauli, « Sensitive apps with 6.3 BILLION downloads found open to FREAK », The Register,‎ 18 mars 2015 (lire en ligne [archive du 8 mars 2024], consulté le 23 décembre 2025)
↑ (en) Richard Chirgwin, « BlackBerry joins the FREAK show », The Register,‎ 17 mars 2015 (lire en ligne [archive du 16 février 2025], consulté le 23 décembre 2025)
↑ Jeremy Kirk, « OpenSSL corrige un problème dans sa librairie de chiffrement », sur LeMondeInformatique, 29 janvier 2016 (consulté le 23 décembre 2025)

Liens externes

Site officiel

[lesechos-1] {a b et c} « Freak, la faille de sécurité qui inquiète Apple et Google » [archive du 2 avril 2015], sur www.lesechos.fr (consulté le 23 décembre 2025)

[:0-2] {a b et c} (en-US) « ‘FREAK’ flaw undermines security for Apple and Google users, researchers discover », The Washington Post,‎ 4 mars 2015 (ISSN 0190-8286, lire en ligne, consulté le 23 décembre 2025)

[3] (en) « Attack of the week: FREAK (or ‘factoring the NSA for fun and profit’) », sur A Few Thoughts on Cryptographic Engineering, 3 mars 2015 (consulté le 23 décembre 2025)

[4] (en) Darren Pauli, « Sensitive apps with 6.3 BILLION downloads found open to FREAK », The Register,‎ 18 mars 2015 (lire en ligne [archive du 8 mars 2024], consulté le 23 décembre 2025)

[5] (en) Richard Chirgwin, « BlackBerry joins the FREAK show », The Register,‎ 17 mars 2015 (lire en ligne [archive du 16 février 2025], consulté le 23 décembre 2025)

[6] Jeremy Kirk, « OpenSSL corrige un problème dans sa librairie de chiffrement », sur LeMondeInformatique, 29 janvier 2016 (consulté le 23 décembre 2025)

[1]

[2]

[3]

[4]

[5]

[6]

v · m Hacking dans les années 2010
Incidents	Opération Titstorm (en) (2010) Opération Shady RAT (2006-2011) Operation Payback (2010) Piratage de DigiNotar (2011) Operation Tunisia (2011) Piratage du PlayStation Network (2011) Operation AntiSec (en) (2011-12) United States v. Swartz (en) (2010) Fuites de Stratfor par Wikileaks (en) (2012-13) Piratage LinkedIn (2012) Cyberattaque contre la Corée du Sud (2013) Piratage Snapchat (2014) Opération Tovar (en) (2014) Fuite des photos de personnalités d'août 2014 Cyberattaque contre JPMorgan Chase (2014) Piratage de Sony Pictures Entertainment (2014) Cyberattaque contre TV5 Monde (2015) Violation de données de l'OPM (2015) Cyber-braquage de la banque centrale du Bangladesh (2016) Cyberattaque WannaCry (2017) Cyberattaque Adylkuzz (2017) Cyberattaque NotPetya (2017)
Groupes	AnonGhost Anonymous (événements associés) Armée électronique syrienne Bureau 121 Dark Basin Derp Equation Group GNAA (simple) Goatse Security Hacking Team LulzRaft LulzSec NullCrew (en) OurMine RedHack TeaMp0isoN (en) Tailored Access Operations UGNazi Unité 61398 The Shadow Brokers
Hackers individuels	Donncha O'Cearbhaill Jeremy Hammond George Hotz Guccifer « Sabu » Hector Monsegur (en) Topiary (en) The Jester weev Jan Krissler (Starbug)
Vulnérabilités découvertes	Heartbleed (2014) Shellshock (2014) POODLE (2014) FREAK (2015) JASBUG (en) (2015) Stagefright (2015) DROWN (2016) Badlock (en) (2016) Dirty COW (2016) EternalBlue (2017) Meltdown (2018) Spectre (2018) ZombieLoad (2019) Kr00k (2019)
Logiciels malveillants	Babar Careto / The Mask (en) CryptoLocker Dexter Duqu FinFisher Flame Jigsaw Gameover ZeuS (en) Mahdi Metulji botnet (en) NSA ANT catalog (en) R2D2 (trojan) Regin Shamoon (en) Stars virus Stuxnet TeslaCrypt Petya Triton VPNFilter Wirelurker