du 02 juillet 2019
Date

Choisir une autre édition

OpenPGP : des certificats « empoisonnés » se propagent et bloquent des installations

Les certificats de Robert J. Hansen (alias rjh) et Daniel Kahn Gillmor (dkg), deux contributeurs de haut niveau à OpenPGP, ont été « empoisonnés » via « une attaque exploitant un défaut du protocole OpenPGP lui-même », explique Hansen. Plus tard, celui de Kristian Fiskerstrand s'est ajouté à la liste.  

« Quiconque tente d'importer un certificat "empoisonné" dans une installation OpenPGP vulnérable la bloquera très probablement d'une manière difficile à déboguer ». Problème, ces certificats sont déjà sur les serveurs de clés SKS et se répandent donc au fil des importations/vérifications. 

Hansen ajoute que cette attaque ne peut pas être atténuée par les serveurs de clés SKS pour l'instant à cause de leur manière de fonctionner. Les futures versions d'OpenPGP auront certainement des mécanismes de défense, mais aucun délai n'est donné et tout le monde ne profitera certainement pas de cette mise à jour. 

Actuellement, la meilleure protection est d'arrêter de recevoir des informations des serveurs de clés SKS. Si une petite poignée de certificats sont pour le moment concernés, leur nombre ira certainement croissant selon Hansen, augmentant ainsi les risques.

Daniel Kahn Gillmor arrive à la même conclusion et propose donc les mêmes mesures de protection pour le moment : « Mon identité cryptographique publique a été spammée à un point tel qu'elle est inutilisable [...] N'actualisez pas mon certificat OpenPGP à partir du réseau de serveur de clés SKS ». Il recommande à la place d'utiliser « un serveur de clés "contraint", tel que keys.openpgp.org » et « un client de messagerie compatible avec Autocrypt ». Il donne de plus amples détails sur son blog.

Il ajoute que « SKS est connu pour être vulnérable à ce type de spams de certificats et est difficile à atténuer en raison du mécanisme de synchronisation ». Le module de chiffrement Enigmail pourrait ainsi devenir inutilisable avec un certificat « empoison » de cette manière. 

Hansen en profite enfin pour pousser un coup de gueule contre certains utilisateurs qui ne mettent jamais (ou presque) à jour leur installation : « Ils sont foutus. Tôt ou tard, ils vont importer un certificat empoisonné [...] Cela pourrait arriver demain ou dans cinq ans ».

« La prochaine version d’Enigmail n’utilisera plus le réseau SKS par défaut. Génial ! Mais qu'en est-il des utilisateurs Enigmail existants ? Ils verront une signature, cliqueront sur "Import Key", et ... bam. Ils ne vont probablement pas penser à une attaque malveillante empoisonnant les certificats. Ils vont penser "c'est de la merde" et s'en aller ».

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Pale Moon, initialement dérivé de Firefox, mais devenu un fork à part entière, a été victime d’un piratage de son serveur dédié à ses archives.

La brèche n’a été découverte qu’il y a trois jours. Les développeurs ont été avertis et, en fouillant, se sont rendu compte que le problème de sécurité était ancien : le 27 décembre 2017 vers 15h30.

Des exécutables Windows ont été modifiés et infectés (versions 27.6.2 et antérieures) avec un malware désigné par ESET comme Win32/ClipBanker.DY. Le serveur d’archive a immédiatement été déconnecté après la découverte, tandis que celui dédié aux dernières versions de Pale Moon n’a jamais été touché.

Difficile d’en savoir davantage, car les archives ont été rendues en grande partie illisibles à cause d’un incident survenu le 26 mai dernier. Pour l’équipe, il ne peut s’agir que d’une autre attaque, soit par les auteurs de la première, soit par d’autres ayant eu le même type d’accès. Dans la foulée, un nouveau serveur a été monté, passant de Windows à CentOS.

SI vous n’avez jamais puisé dans le serveur d’archive, les développeurs estiment que vous n’avez a priori rien à craindre. Ils rappellent cependant que Pale Moon est fourni avec un fichier .sig permettant de vérifier la signature PGP du navigateur. 

Sous Windows, il faut notamment effectuer un clic droit sur l’exécutable principal, aller dans les Propriétés puis dans l’onglet Signature. S’il est absent, c’est que le fichier a été altéré. Un hash SHA256 est également fourni dans un fichier texte.

En outre, le malware Win32/ClipBanker.DY est connu de tous les antivirus depuis un moment et devrait être détecté comme tel, notamment par le propre Defender de Windows 10.

Copié dans le presse-papier !

Le navigateur, entièrement rebâti sur Chromium, est en test depuis des mois, mais essentiellement pour le grand public. 

Les variantes pour Windows 10, macOS et Windows 7 et 8.1 sont toutes disponibles sur deux canaux : Canary et ses versions quotidiennes, et Dev avec une préversion par semaine, un peu plus stable.

Microsoft vient de donner le feu vert aux entreprises, essentiellement pour attirer leur attention. Le navigateur est jugé prêt à être testé dans un cadre professionnel, puisque les fonctions attendues et la documentation sont presque toutes présentes (le site dédié ne semble pas fonctionner à l'heure actuelle).

C’est notamment le cas du mode IE, qui permet pour rappel d’afficher un site comme s’il était rendu par Internet Explorer. Les règles de groupe et Application Guard sont également présents, de même que les outils pour PDF. 

Certaines fonctions manquent cependant toujours à l’appel, notamment le déploiement hors ligne et le support de la gestion de flotte mobile.

Notez que Microsoft tiendra la semaine prochaine sa conférence Inspire 2019, dédiée aux partenaires. Peut-être l’occasion d’en apprendre davantage, notamment sur l’arrivée du canal bêta qui devrait marquer l’ouverture des tests à plus large échelle. 

Copié dans le presse-papier !

Dans une affaire ressemblant fortement à celle d’Amazon très récemment, un article du média belge VRT annonçait que les employés de Google pouvaient accéder aux enregistrements audio par l’Assistant maison, notamment à travers toutes les enceintes connectées l’utilisant.

On apprenait également que des sociétés tierces étaient payées pour travailler sur des échantillons vocaux, sans que l’on sache très bien dans quelle mesure la vie privée pouvait en être affectée. Une manière de rappeler cependant que tout ce qui se passe autour des enceintes est écouté.

En outre, grâce à une fuite, VRT a pu écouter environ un millier d’enregistrements audio, dont 153 paraissaient clairement accidentels, dans le sens où il s’agissait de conversations courantes, ne relevant pas d’une requête (à moins qu'Assistant ait cru l'inverse). Certaines étaient très intimes, de type « conversations au lit ».

Google n’a pas nié. L’éditeur s’est fendu d’un billet de blog pour expliquer sa position. Le travail avec des « experts » du monde entier est « essentiel » pour améliorer la technique de reconnaissance. Ces personnes ou entreprises travaillent sur un lot ne dépassant jamais 0,2 % du total.

La firme insiste : aucune de ces données n’est associée à un compte Google. En outre, elles ne correspondent normalement qu’à des requêtes clairement exprimées de l’utilisateur à l’Assistant. Une réponse ne cadrant pas avec les découvertes de VRT.

C’est d’ailleurs là que la réponse de Google s’éloigne de ce que l’on aurait pu en attendre. Plutôt que de s’excuser du manque de transparence autour du processus, la firme annonce qu’elle prend très au sérieux cette fuite et que le responsable sera poursuivi.

Copié dans le presse-papier !

L’éditeur n’était pas peu fier d’annoncer hier soir que sa solution de collaboration Teams comptait désormais 13 millions d’utilisateurs actifs quotidiennement et 19 millions par semaine. Slack, de loin le plus gros concurrent, compte 10 millions d’utilisateurs actifs par jour, mais le chiffre date de janvier.

On rappellera cependant à Microsoft que son Teams est fourni avec pratiquement tous les abonnements Office 365 pour entreprises, qui l’ont donc à disposition et n’ont qu’à tendre la main pour l’activer sans surcoût.

Plusieurs fonctions sont annoncées dans la foulée, disponibles dans le courant du mois. Les confirmations de lecture vont ainsi enfin débarquer dans le service. Teams va également ajouter les alertes prioritaires, qui notifieront le ou les destinataires toutes les deux minutes jusqu’à ce qu’ils répondent.

La gestion des canaux est en outre assouplie. Il va ainsi être possible d’y faire des annonces, de publier des messages dans plusieurs canaux à la fois et de nommer des modérateurs.

Des fonctions dédiées aux employées de « première ligne » arrivent également. Par exemple, la possibilité de « pointer » directement dans l’application plutôt qu’en un lieu spécifique, ou la possibilité pour un chef d’équipe de communiquer uniquement avec les employés d’un secteur spécifique.

Copié dans le presse-papier !

Twitter déploiera la semaine prochaine une nouvelle fonction permettant de masquer une réponse à un tweet. Elle ne sera dans un premier temps disponible qu’au Canada, à des fins de tests.

Un utilisateur va donc pouvoir masquer une réponse à l’un de ses tweets (et uniquement les siens), la faisant disparaître de son écran et, par défaut, de tous ceux qui viendront lire le tweet.

Si un tweet a des réponses effacées, une petite icône grise apparaitra en bas à droite du texte. En appuyant dessus, on pourra consulter la liste. La fonction a, selon Twitter, été conçue pour ne plus afficher les réponses offensantes ou sortant clairement du cadre de la conversation.

Il ne s’agit que d’un début, Twitter précisant être continuellement en recherche d’améliorations pour la fonction. En l’état actuel, elle peut être malheureusement utilisée pour masquer des réponses intéressantes mais ne « faisant pas plaisir » à l’auteur. Par exemple du fact-checking sur une affirmation.