Cela peut surprendre, mais il y a de très vieilles failles qui persistent sur le web. On pense plus particulièrement à ROBOT, une vulnérabilité découverte il y a déjà 19 ans par un chercheur spécialisé dans la sécurité informatique, Daniel Bleichenbacher.
La faille ROBOT, le retour
La faille ROBOT n’est pas quelque chose de nouveau, puisque sa première version avait déjà été détectée en 1998. Et voici que cette attaque refait parler d’elle, et qu’elle concerne potentiellement plusieurs sites très populaires. C’est en tout cas ce qu’affirment trois experts en sécurité.
Ainsi, Hanno Böck, Juraj Somorovsky et Craig Young sont à l’origine de la redécouverte de cette faille ROBOT, estiment que beaucoup de sites peuvent potentiellement être touchés. ROBOT signifie en fait « Return Of Bleichenbacher’s Orade Threat », soit le retour de la menace oracle de Bleichenbacher, du nom de l’expert ayant découvert cette faille.
Cette technique de piratage consiste à voir et à essayer la clé de cryptage permettant le chiffrement RSA. Il s’agit plus simplement de demander au serveur visé si les lignes de texte codées sont les bonnes ou non, celui-ci répondant par l’affirmative ou la négative.
27 sites très populaires vulnérables à la faille ROBOT
C’est d’ailleurs pour cette raison que les trois experts ont parlé d’oracle pour qualifier cette faille, puisqu’à l’instar d’un oracle, le serveur répond par oui ou par non, ce qui permet ensuite au pirate d’avancer petit à petit dans son décryptage.
Comme l’ont signalé nos trois experts dans un article publié le 12 décembre dernier, ROBOT, tel un alien qui attend son heure, n’aurait pas disparu et serait susceptible de menacer 27 des 100 sites les plus visités au monde. Ce qui veut dire que le désormais incontournable Facebook serait impacté, bien que celui-ci ait mis ses serveurs à jour.
Si pour les sites les plus importants le problème devrait être vite résolu, cela pourrait être plus compliqué pour de plus petites firmes, qui n’ont pas les mêmes moyens. Sachant que ROBOT permet de récupérer mots de passe et données bancaires, il faudra pourtant qu’elles réagissent au plus vite…
