Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Tchap : à peine lancée, déjà une faille (corrigée) pour la messagerie instantanée sécurisée de l'Etat

Mercredi, la Direction interministérielle du numérique et du système d’information et de communication de l’Etat (DINSIC) lançait son application Tchap destinée « aux communications des agents de l’État, pour échanger des informations sensibles ou moins sensibles ».

Problème, dès jeudi le compte Elliot Alderson (alias Baptiste Robert) monte rapidement au créneau : « Je viens de regarder #Tchap la nouvelle appli sécurisé du gouvernement français. Et, put*** le résultat est horrible ». Il n'en dira pas beaucoup plus.

L'information est remontée rapidement jusqu'aux équipes de Matrix (dont se sert Tchap), qui indiquent être au courant d'un bug de sécurité sur le déploiement français de cette application. La nuance est importante.

« Ce n’est pas un bug du protocole, mais de l'implémentation, qui a affecté leur configuration », affirment les développeurs. Dans un autre Tweet, Matrix en rajoute une couche : « le problème est spécifique au déploiement de la DINSIC et nous travaillons avec eux pour déployer un correctif ».

Un correctif a été déployé dans la foulée. Il permet de « limiter correctement l’enregistrement à un domaine précis » lors de l'inscription. Des détails techniques sont disponibles par ici et dans ce dépôt GitHub.

Matrix en profite pour tacler au passage Baptiste Robert en ajoutant qu'un message privé aurait été apprécié en amont, notamment pour assurer une bonne promotion des solutions FLOSS (Free/Libre Open Source Software) auprès des gouvernements.

Dans tous les cas, Matrix affirme que personne d'autre que Baptiste Robert n'a exploité cette vulnérabilité. Elle en profite pour revérifier les autres déploiements, à la recherche d'un éventuel problème similaire.

Cela reste un coup dur pour Matrix (et Tchap), notamment après le piratage d'il y a quelques jours seulement.

16 commentaires
Avatar de tdelmas Abonné
Avatar de tdelmastdelmas- 19/04/19 à 08:48:33

 L'article d'Elliot Alderson expliquant les détails de la faille:https://medium.com/@fs0c131y/tchap-the-super-not-secure-app-of-the-french-government-84b31517d144?sk=59e15e44ba75dd78d7248262a4c8f0b7

Avatar de zarg INpactien
Avatar de zargzarg- 19/04/19 à 08:57:27

tdelmas a écrit :

 L'article d'Elliot Alderson expliquant les détails de la faille:https://medium.com/@fs0c131y/tchap-the-super-not-secure-app-of-the-french-government-84b31517d144?sk=59e15e44ba75dd78d7248262a4c8f0b7

Ton lien ne semble pas bien marcher... Peux tu faire un bitly ? merci

Avatar de Kevsler INpactien
Avatar de KevslerKevsler- 19/04/19 à 08:58:42

Tu peux faire un copier/coller. Ça marche. Ou cliquer là.

Avatar de dylem29 INpactien
Avatar de dylem29dylem29- 19/04/19 à 09:08:46

Sympa les explications techniques ! :D

Avatar de Toorist INpactien
Avatar de TooristToorist- 19/04/19 à 09:14:02

Ce que je trouve exceptionnel, c'est que le principal argument (édit: sur la sécurité) utilisé par les partisans de l'open source est: "Tout le monde voit les sources, donc les bugs sont corrigés plus vite".
Un hacker (même si c'est pas un gros méchant) se fend lors de sa quête de la faille d'un "They love open source, me too!"

ps: j'ai pas dit que j'étais "pour" ou "contre" l'open source, mais je trouve ca très ironique :D

Édité par Toorist le 19/04/2019 à 09:15
Avatar de chop Abonné
Avatar de chopchop- 19/04/19 à 09:21:39

Au-delà des bugs corrigés plus rapidement, le fait que les sources soient publiques font que l'éditeur ne peut pas détourner les données pour son profit : tout le monde voit ce que fait le code.

Après, oui, il est certain que de même que les développeurs peuvent voir les failles pour les corriger, des attaquants peuvent en faire autant. S'ils choisissent d'étudier ce produit en particulier. Tout en sachant que les failles d'un produit ont peut-être été mitigées (ou agrandies) par l'implémentation, en conjonction par exemple avec d'autres produits. Ca coûte cher à étudier, il va falloir s'assurer pour l'attaquant que ce soit rentable. :)

J'ignore totalement combien d'attaquant cherchent des failles de cette façon. Un certain nombre sur les plugins WordPress, j'imagine, au vu des sniffers qui testaient le mien pour voir si tel ou tel plugin était installé. ^^

Avatar de Dj Abonné
Avatar de DjDj- 19/04/19 à 09:47:33

Toorist a écrit :

Un hacker (même si c'est pas un gros méchant) se fend lors de sa quête de la faille d'un "They love open source, me too!" 

ça lui permet justement de remonter le bug upstream et donc de corriger tous les logiciels utilisant cette bibliothèque (  parseaddr de email.utils)

Avatar de Paraplegix Abonné
Avatar de ParaplegixParaplegix- 19/04/19 à 09:48:48

L'éditeur peut publier un code open source autant qu'il veut, rien ne l’empêche de déployer une version différente pour détourner les données

Avatar de EricB INpactien
Avatar de EricBEricB- 19/04/19 à 10:01:31

oui, le hack en est même pas un, c est juste un vulgaire bug de configuration, où  l email n est pas correctement vérifiée:

https://matrix.org/blog/2019/04/18/security-update-sydent-1-0-2/
sydent uses python's email.utils.parseaddr function to parse the
input email address before sending validation mail to it, but it turns
out that if you hand parseaddr an malformed email address of form a@b.com@c.com, it silently discards the @c.com prefix without error. The result of
this is that if one requested a validation token for 'a@malicious.org@important.com', the token would be sent to 'a@malicious.org', but the address 'a@malicious.org@important.com'
would be marked as validated. This release fixes this behaviour by
asserting that the parsed email address is the same as the input email
address.synapse's checking of email addresses relies on regular
expressions in the home server configuration file. synapse does not
validate email addresses before checking them against these regular
expressions, so naive regular expressions will detect the second domain
in email addresses such as the above, causing them to pass the check. 

Avatar de Kazer2.0 Abonné
Avatar de Kazer2.0Kazer2.0- 19/04/19 à 11:35:20

Mais ça te permet de le compiler toi même depuis les sources si tu n'as pas confiance.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2