OpenPGP : l'ANSSI règle des failles du format cryptographique - GeekParadize.Fr - Actualité High-Tech et Geek au QuotidienGeekParadize.Fr – Actualité High-Tech et Geek au Quotidien
Home / High-Tech / OpenPGP : l’ANSSI règle des failles du format cryptographique

OpenPGP : l’ANSSI règle des failles du format cryptographique

L’ANSSI publie les résultats de son audit des solutions d’implémentation du format cryptographique OpenGPG. Elle a décelé deux méthodes théoriques permettant de déchiffrer le contenu.

Alors que la NSA garde des failles de sécurité secrètes pour les exploiter elle-même, l’Agence nationale de sécurité des systèmes d’information (ANSSI) fait montre de transparence en remplissant sa mission visant à permettre à chacun de mieux sécuriser ses données et communications. L’autorité administrative française a ainsi dévoilé une étude (.pdf) de la robustesse du format de cryptographie OpenPGP normalisé par l’IETF, qui permet de chiffrer, signer et authentifier les messages échangés. Ses travaux avaient déjà été présentés dans un cercle plus confidentiel, lors de la conférence internationale de cryptographique CT-RSA, le 22 avril 2015.

En réalisant un audit de trois solutions libres implémentant cette solution (GnuPG, OpenPGP.js et End-to-End), l’ANSSI a détecté deux « fragilités théoriques ».

La première profite de la possibilité de modifier le contenu d’un message chiffré sans prendre connaissance du contenu. L’assaillant peut renvoyer le même message que celui envoyé par la cible, mais chaque fois très légèrement modifié (quelques bits seulement), et intercepter les messages d’erreurs renvoyés par le serveur du destinataire. « Chaque message soumis lui permet alors de récupérer, peu à peu, des informations sur un message chiffré ciblé par l’intermédiaire des erreurs renvoyées. Le message original peut ainsi être retrouvé, sans disposer de la clé de déchiffrement« , explique l’ANSSI.

Par ailleurs, non sans paradoxe, « l’autre fragilité concerne une protection que la RFC 4880 a introduite pour prévenir l’altération des messages par un attaquant« . D’une part le protocole a lui-même une vulnérabilité qui permet à un attaquant de convertir le message dans une version antérieure non protégée, mais en plus, certaines implémentations de la protection ont été réalisées de façon incorrecte. Au lieu de mieux protéger, le dispositif devient une cible exploitable.

L’ANSSI précise qu’elle a contacté les équipes des trois solutions GnuPG, OpenPGP.js et End-to-End. « GnuPG et End-to-End ont documenté le risque associé au traitement automatisé de messages OpenPGP. Les solutions End-to-End et OpenPGP.js ont par ailleurs été modifiées afin de limiter le risque, sans pour autant le réduire à néant« , prévient l’agence.

Elle livre certains conseils, comme le fait d’éviter d’activer l’automatisation de la confirmation du déchiffrement des messages, ou encore d’éviter de retourner des messages d’erreur trop bavards.

Si vous avez trouvé une erreur d’orthographe, veuillez nous en aviser en sélectionnant le mots et en appuyant sur Ctrl+Enter.

A propos de Sébastien T.

Grand Passionné par le High-Tech et les jeux vidéos.

A voir aussi

un service pour sécuriser le trajet

un service pour sécuriser le trajet

Un trajet imprévu à assurer pour le petit dernier, un voyage en train pour rejoindre …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Rapport de faute d’orthographe

Le texte suivant sera envoyé à nos rédacteurs :