du 02 juillet 2019
Date

Choisir une autre édition

OpenPGP : des certificats « empoisonnés » se propagent et bloquent des installations

Les certificats de Robert J. Hansen (alias rjh) et Daniel Kahn Gillmor (dkg), deux contributeurs de haut niveau à OpenPGP, ont été « empoisonnés » via « une attaque exploitant un défaut du protocole OpenPGP lui-même », explique Hansen. Plus tard, celui de Kristian Fiskerstrand s'est ajouté à la liste.  

« Quiconque tente d'importer un certificat "empoisonné" dans une installation OpenPGP vulnérable la bloquera très probablement d'une manière difficile à déboguer ». Problème, ces certificats sont déjà sur les serveurs de clés SKS et se répandent donc au fil des importations/vérifications. 

Hansen ajoute que cette attaque ne peut pas être atténuée par les serveurs de clés SKS pour l'instant à cause de leur manière de fonctionner. Les futures versions d'OpenPGP auront certainement des mécanismes de défense, mais aucun délai n'est donné et tout le monde ne profitera certainement pas de cette mise à jour. 

Actuellement, la meilleure protection est d'arrêter de recevoir des informations des serveurs de clés SKS. Si une petite poignée de certificats sont pour le moment concernés, leur nombre ira certainement croissant selon Hansen, augmentant ainsi les risques.

Daniel Kahn Gillmor arrive à la même conclusion et propose donc les mêmes mesures de protection pour le moment : « Mon identité cryptographique publique a été spammée à un point tel qu'elle est inutilisable [...] N'actualisez pas mon certificat OpenPGP à partir du réseau de serveur de clés SKS ». Il recommande à la place d'utiliser « un serveur de clés "contraint", tel que keys.openpgp.org » et « un client de messagerie compatible avec Autocrypt ». Il donne de plus amples détails sur son blog.

Il ajoute que « SKS est connu pour être vulnérable à ce type de spams de certificats et est difficile à atténuer en raison du mécanisme de synchronisation ». Le module de chiffrement Enigmail pourrait ainsi devenir inutilisable avec un certificat « empoison » de cette manière. 

Hansen en profite enfin pour pousser un coup de gueule contre certains utilisateurs qui ne mettent jamais (ou presque) à jour leur installation : « Ils sont foutus. Tôt ou tard, ils vont importer un certificat empoisonné [...] Cela pourrait arriver demain ou dans cinq ans ».

« La prochaine version d’Enigmail n’utilisera plus le réseau SKS par défaut. Génial ! Mais qu'en est-il des utilisateurs Enigmail existants ? Ils verront une signature, cliqueront sur "Import Key", et ... bam. Ils ne vont probablement pas penser à une attaque malveillante empoisonnant les certificats. Ils vont penser "c'est de la merde" et s'en aller ».

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Depuis plusieurs années, la société met en avant son attachement au solaire et à l'éolien : « En 2017, nous sommes devenus la première entreprise de notre taille à compenser notre consommation annuelle d'électricité avec des énergies renouvelables (et nous l'avons refait en 2018) ».

Sundar Pichai annonce aujourd'hui la signature de 18 nouveaux contrats (aux États-Unis, au Chili et en Europe) pour un total de 1 600 MW supplémentaires, dont une bonne partie en solaire. « Ensemble, ces accords augmenteront de plus de 40 % notre portefeuille mondial d'accords sur l'éolien et le solaire, pour atteindre 5 500 MW ».

Copié dans le presse-papier !

Hier matin, Next INpact révélait le jugement du TGI de Paris ordonnant à Valve d’autoriser la revente de jeux achetés sur Steam. 

Dans un communiqué publié après coup, l’UFC-Que Choisir a annoncé qu’elle étendrait cette action à d’autres plateformes.

Comme nous l’anticipions, Valve a décidé de faire appel. Doug Lombardi, responsable du marketing chez l’éditeur de jeux vidéo, a indiqué à PC Gamers qu’il allait faire appel : 

« Nous sommes en désaccord avec la décision du tribunal de grande instance de Paris et nous ferons appel. La première décision sera donc sans effet sur Steam tant que l’affaire ne sera pas rejugée ».

Et pour cause, cette procédure va geler la décision du 17 septembre, qui n’est pas assortie d'une exécution provisoire.

Copié dans le presse-papier !

Microsoft a publié hier soir une série de 44 vidéos dédiées à l’apprentissage des bases du Python. Ce langage de développement, actuellement l’un des plus utilisés, a toujours le vent en poupe.

Ces vidéos, disponibles en anglais (sous-titres disponibles), peuvent être vues comme la conséquence de la prise en charge, le mois dernier, de PyTorch 1.2 dans Azure. PyTorch est pour rappel un framework de machine learning open source créé par Facebook et qui s’utilise surtout avec Python.

Les 44 vidéos sont disponibles sous forme de liste de lecture sur YouTube. Elles ne durent jamais plus de quelques minutes chacun. Pour les intéressés, Microsoft se sert de Visual Studio Code pour ses démonstrations.

Copié dans le presse-papier !

La nouvelle interface était en test depuis quelques semaines, elle est maintenant disponible pour l’ensemble des utilisateurs via une mise à jour. Modernisé, l’ensemble est plus simple, mais fournit dans la foulée de nouvelles capacités, dont certaines réclamées depuis longtemps.

La bibliothèque peut être ainsi organisée par album, genre, artiste ou musique. Les fonctions de tri sont également présentes et les dossiers peuvent être directement utilisés comme listes de lecture. Là aussi une fonctionnalité demandée.

iOS 13 oblige, le nouveau VLC est en outre disponible en thèmes clair et sombre.

Jean-Baptiste Kempf, dans un billet de blog, ajoute que de nombreuses améliorations techniques ont eu lieu dans cette version. Des bugs ont été corrigés, des changements effectués pour simplifier les développements futurs et le code lui-même a commencé sa migration d’Objective-C à Swift.

Copié dans le presse-papier !

Chaque fois qu’un nouveau macOS arrive, la version intégrée de Safari est répercutée sur les deux versions précédentes du système. Catalina n’est pas encore là, mais High Sierra (10.13.6) et Mojave (10.14.5) peuvent récupérer Safari 13 depuis hier soir.

Parmi les nouveautés, un écran d’accueil revisité (avec notamment des suggestions de Siri), des notifications pour alerter l’utilisateur quand il se connecte avec un mot de passe faible, le support des thèmes sombres des sites web ou encore l’accès simplifié aux onglets déjà ouverts lors d’une recherche.

Safari 13 peut être récupéré depuis les mises à jour système.