Votre site Web est-il à l’abri de FREAK Attack ?
La sécurité Web se passe sous réserve ces jours-ci. Il y a toujours quelque chose pour occuper Security Expert et le nom des vulnérabilités est un peu accrocheur comme Heart Bleed, Poodle et maintenant Freak Attack.
Dans ce guide, je vais vous expliquer comment identifier si votre site Web est affecté et la procédure pour corriger les vulnérabilités.
Table des matières
Introduction
Si vous êtes intéressé ou ne connaissez pas Freak Attack, voici quelques mots. Karthikeyan Bhargavan a découvert la vulnérabilité d’attaque FREAK à l’INRIA à Paris.
Il a été annoncé le 3 mars 2015 qu’une nouvelle vulnérabilité SSL/TLS permettrait à un attaquant d’intercepter une connexion HTTPS entre un client et un serveur vulnérables et de les forcer à utiliser un cryptage faible. Cela aidera un attaquant à voler ou à manipuler des données sensibles.
Vérifiez si votre serveur est vulnérable
Si votre serveur Web accepte les suites de chiffrement RSA_EXPORT, vous courez un risque. Vous pouvez effectuer une vérification par rapport à votre URL HTTPS sur le lien suivant.
Correction de la vulnérabilité de sécurité des attaques FREAK
Serveur HTTP Apache – vous pouvez désactiver les suites de chiffrement EXPORT en ajoutant ci-dessous dans votre fichier de configuration httpd.conf ou SSL.
SSLCipherSuite !EXPORT
Vous avez peut-être déjà une ligne SSLCipherSuite dans votre fichier de configuration. Si c’est le cas, il vous suffit d’ajouter !EXPORT à la fin de la ligne.
Si vous êtes nouveau dans la configuration, vous pouvez lire mon Guide de sécurité et de renforcement du serveur Web Apache.
Nginx – ajoutez ce qui suit dans votre fichier de configuration.
ssl_ciphers '!EXPORT';
De plus, vous pouvez utiliser le Générateur de configuration SSL ou Configuration recommandée par Mozilla à protéger avec les vulnérabilités SSL/TLS.
En tant que propriétaire de site Web ou ingénieur en sécurité, vous devez effectuer régulièrement une analyse de sécurité de votre site Web pour détecter toute nouvelle vulnérabilité et être averti.
Vous pouvez également être intéressé par la résolution de l’attaque Logjam.
Vous avez apprécié la lecture de l’article ? Que diriez-vous de partager avec le monde ?