PGP et SSL sont dans un bateau...
... ou ce qui pourrait s'apparenter à une sérieuse galère. Deux failles « crypto » viennent d'être découvertes en ce début de semaine, l'une touchant PGP, l'autre affectant la couche SSL d'Internet Explorer. Dans les deux cas, la mise en oeuvre est quelque peu complexe... ce qui n'est en aucun cas une garantie d'immunité : le calibre des armes d'un pirate est toujours proportionnel à la valeur de l'information protégée. Dans les deux cas, le scénario d'attaque repose sur la technique de « l'homme du milieu ».
Pour ce qui concerne PGP, le cassage de clef nécessite une interception du message crypté, une modification du contenu -dont le décryptage donnera nécessairement des résultats étranges- et un « retour à l'expéditeur » (que signifie l'infâme sabir que vous m'envoyâtes) de la part du destinataire. Les explications détaillées se trouvent sur le site de Bruce Schneier, qui précise que l'opération n'est réalisable qu'à partir du moment où le document en question n'a pas été « compressé » au fil du cryptage : les CRC accompagnant le fichier ainsi traité signalent immédiatement les maltraitances infligées à l'original. Précisons que l'article doctoral de Schneier est plus une méthode d'exploitation qu'une recette spécifique. Rien n'interdit de penser que cette pratique puisse être étendue à d'autres procédés de codage.
Le contournement du SSL utilisé par Microsoft, quant à lui, a fait l'objet d'une alerte au fil du Bugtrack sous la plume de Mike Benham. Plus qu'une simple alerte, Benham publie un exploit à compiler sur noyau Gnu Linux 2.4, capable de violer une session SSL « y compris dans le cadre d'une liaison RTC ». L'exploit permet d'utiliser un certificat octroyé à un domaine particulier (en toute légalité) et de « convertir » cette « patte blanche » pour qu'elle soit prise pour argent comptant dans le cadre de n'importe quel autre domaine. De cette manière, il devient possible d'intoxiquer un client doté d'Internet Explorer, le programme ne poussant pas assez loin les vérifications de validité de l'autorité de certification. Là encore, la méthode ne concernerait pas seulement les logiciels Microsoft et pourrait être étendue à d'autres navigateurs.
Encore du Schneier, dans le style « Sa Vie, son Oeuvre, ses attaques atrabilaires » au fil d'un article kilométrique de notre confrère The Atlantic. Les spécialistes de la sécurité n'y apprendront pas grand-chose, mais l'article est plaisant à lire et dresse un panorama assez complet -et complexe- du coté obscur de la Force.
