du 02 juillet 2019
Date

Choisir une autre édition

OpenPGP : des certificats « empoisonnés » se propagent et bloquent des installations

Les certificats de Robert J. Hansen (alias rjh) et Daniel Kahn Gillmor (dkg), deux contributeurs de haut niveau à OpenPGP, ont été « empoisonnés » via « une attaque exploitant un défaut du protocole OpenPGP lui-même », explique Hansen. Plus tard, celui de Kristian Fiskerstrand s'est ajouté à la liste.  

« Quiconque tente d'importer un certificat "empoisonné" dans une installation OpenPGP vulnérable la bloquera très probablement d'une manière difficile à déboguer ». Problème, ces certificats sont déjà sur les serveurs de clés SKS et se répandent donc au fil des importations/vérifications. 

Hansen ajoute que cette attaque ne peut pas être atténuée par les serveurs de clés SKS pour l'instant à cause de leur manière de fonctionner. Les futures versions d'OpenPGP auront certainement des mécanismes de défense, mais aucun délai n'est donné et tout le monde ne profitera certainement pas de cette mise à jour. 

Actuellement, la meilleure protection est d'arrêter de recevoir des informations des serveurs de clés SKS. Si une petite poignée de certificats sont pour le moment concernés, leur nombre ira certainement croissant selon Hansen, augmentant ainsi les risques.

Daniel Kahn Gillmor arrive à la même conclusion et propose donc les mêmes mesures de protection pour le moment : « Mon identité cryptographique publique a été spammée à un point tel qu'elle est inutilisable [...] N'actualisez pas mon certificat OpenPGP à partir du réseau de serveur de clés SKS ». Il recommande à la place d'utiliser « un serveur de clés "contraint", tel que keys.openpgp.org » et « un client de messagerie compatible avec Autocrypt ». Il donne de plus amples détails sur son blog.

Il ajoute que « SKS est connu pour être vulnérable à ce type de spams de certificats et est difficile à atténuer en raison du mécanisme de synchronisation ». Le module de chiffrement Enigmail pourrait ainsi devenir inutilisable avec un certificat « empoison » de cette manière. 

Hansen en profite enfin pour pousser un coup de gueule contre certains utilisateurs qui ne mettent jamais (ou presque) à jour leur installation : « Ils sont foutus. Tôt ou tard, ils vont importer un certificat empoisonné [...] Cela pourrait arriver demain ou dans cinq ans ».

« La prochaine version d’Enigmail n’utilisera plus le réseau SKS par défaut. Génial ! Mais qu'en est-il des utilisateurs Enigmail existants ? Ils verront une signature, cliqueront sur "Import Key", et ... bam. Ils ne vont probablement pas penser à une attaque malveillante empoisonnant les certificats. Ils vont penser "c'est de la merde" et s'en aller ».

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Après l'ouverture d'une première ligne fin 2016 dans le Var (à Pourrières), DPD France (filiale du Groupe La Poste) est « autorisée à opérer la livraison de colis par drone sur une deuxième ligne commerciale régulière en Isère ». Elle relie Fontanil-Cornillon au village de Mont-Saint-Martin, avec une durée de vol de « 8 minutes aller-retour ».

« Cette livraison par drone s’effectue à partir d’un terminal mobile installé directement dans un véhicule de livraison permettant le décollage et l’atterrissage du drone en toute sécurité », explique le groupe.

Dans cette vidéo, on voit le drone décoller du camion, se rendre sur son lieu de rendez-vous, mais il ne se pose pas. Il « jette » le colis dans un grand récepteur. Un agent vient le récupérer, le scanner et le déposer au destinataire.

Copié dans le presse-papier !

Un peu plus de deux mois après la version 3.1 (alias Seitseminen), le système d'exploitation passe en 3.2 (Torronsuo, un autre parc finlandais). Cette mise à jour est « importante » car elle prend en charge de nouveaux composants hardware.

Elle permet notamment de proposer Sailfish X (la version officielle téléchargeable pour des terminaux tiers) sur de nouveaux terminaux comme le Sony Xperia 10. Il reste encore quelques détails à finaliser et Sailfish X n'arrivera pas sur le smartphone de Sony avant plusieurs semaines.

Bien évidemment, d'autres changements sont de la partie : affichage du pays de provenance pour les appels internationaux, mise à jour de l'application Horloge, etc. Tous les détails sont donnés dans ce billet de blog et les notes de version.

Pour rappel, il existe une version de base de Sailfish X disponible gratuitement, mais avec des fonctionnalités limitées. Pour les débloquer (notamment le support des applications Android), il faut passer à la caisse (49,90 euros).

Copié dans le presse-papier !

Le mois dernier, le quotidien annonçait la nouvelle à grands renforts d'articles, de newsletters et même d'une émission sur France Inter, indiquant être le premier site de presse à faire ce choix.

Rapidement, cette déclaration a été remise en cause, notamment parce que d'autres offrent déjà une expérience sans pistage, et pas seulement à leurs abonnés (c'est le cas de Next INpact depuis plusieurs années).

Surtout, depuis la mise en œuvre annoncée au départ pour le 29 octobre, il semble que les équipes en charge du développement aient eu quelques trous dans leur raquette, comme l'avait relevé Reflets.info le 30 octobre.

Nos confrères indiquent que le 5 novembre, une partie du nettoyage avait été fait, mais que de nombreux scripts étaient encore présents, de Facebook, Twitter ou Tag Commander à ceux de l'ACPM ou encore Chartbeats, pour la mesure d'audience.

Hier, Aeris a de son côté détecté que du code d'Eulerian était intégré dans un Javascript hébergé par un sous-domaine de Libération. Une pratique de la société pour éviter de se faire bloquer et qui pose question, comme le rappellent nos confrères. 

Mais surtout, cela ne correspond pas à l'annonce initiale d'absence de transmission d'informations à des tiers. Cela pourrait même ne pas être conforme au RGPD, si le lecteur n'a pas exprimé son consentement.

Pour le moment, Libération n'a pas répondu à nos confrères, Check News devant revenir sur le sujet. Le journal, dont le DPO devrait être alerté par la situation, attend peut-être que ce soit la CNIL qui se saisisse de ce sujet.

Copié dans le presse-papier !

C'est via un tweet que le service a fait connaître la nouvelle, d'autres pays étant également concernés comme l'Allemagne, l'Italie ou le Royaume-Uni. 

Pas un mot cependant pour Canal+, qui serait en discussion pour distribuer le service de SVOD. Ce qui tendrait à confirmer que l'abonnement sera disponible à part. Il pourra alors passer par de nombreuses plateformes, dont les Fire TV d'Amazon finalement

Pour rappel, le lancement américain est prévu pour le 12 novembre, à 6,99 dollars par mois. En Europe, il sera disponible aux Pays-Bas lors du lancement, pour 6,99 euros par mois.

Qu'adviendra-t-il des contenus diffusés en attendant qu'ils soient légalement proposés en France ? Il y a fort à parier qu'on les retrouve d'abord sur les sites de contenus piratés.

Copié dans le presse-papier !

À partir du 1er décembre 2019, Netflix disparaîtra des Roku 2050X, 2100X, 2000C, HD, SD, XR et XD. Chez Samsung, « certains des téléviseurs les plus anciens (modèles 2010 et 2011, avec la lettre C ou D après la taille de l’écran dans la référence) » sont concernés.

Sur cette page d'aide, Netflix explique qu'il s'agit « de limitations techniques », sans préciser lesquelles. Samsung nous indique que cela ne concerne que les appareils vendus au Canada et aux États-Unis, « les utilisateurs en France ne sont donc pas concernés ».

La liste des terminaux compatibles est disponible par ici.