Cryptocat, pas plus confidentiel en groupe qu’une application standard de communication SecuObs - L'observatoire de la sécurite internet - Site d'informations professionnelles francophone sur la sécurité informatique

Failles

Cryptocat, pas plus confidentiel en groupe qu’une application standard de communication

Par Rédaction, secuobs.com
Le 10/07/2013

Résumé : Une vulnérabilité critique a été découverte dans le code en charge de la génération des clés cryptographiques de Cryptocat, une application prisée habituellement par les journalistes et les activistes pour la confidentialité qu’elle était censée fournir aux communications en groupe. - Lire l'article

Version imprimable de cet article
Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Failles en RSS

Les développeurs de Cryptocat, une application de chiffrement des communications privilégiée par les activistes et les journalistes en général, viennent de s’excuser publiquement pour une vulnérabilité critique et exploitable permettant à un tiers de déchiffrer les canaux de communications établis en groupe par son intermédiaire. A noter que cette vulnérabilité, découverte par le chercheur Steve Thomas, a été fixée depuis la version 2.0.42, néanmoins les développeurs recommandent l’utilisation de la branche 2.1.x actuelle de l’application.

La durée précise de la fenêtre d’exploitabilité de la vulnérabilité en question étant néanmoins actuellement encore source à débattre puisque les développeurs de Cryptocat assurent qu’elle ne remonte pas à plus de sept mois maximum, alors dans le même temps le chercheur à l’origine de la découverte de cette vulnérabilité clame lui que la durée totale de cette fenêtre d’exploitabilité s’approcherait au final plus des dix neuf mois que des sept mois annoncés actuellement par les développeurs.

Les deux parties s’accordant néanmoins sur les conséquences plus que critiques de l’exploitation, à savoir que les clés de chiffrement et de déchiffrement des conversations au sein des groupes d’utilisateurs s’avéraient être facilement prédictibles par des tiers. En conséquences, les activistes, journalistes et autres intervenants, privilégiant Cryptocat pour éviter les écoutes gouvernementales et industrielles, ne bénéficiaient en fait pas d’une plus grande confidentialité que les utilisateurs des services standards de communication.

Des critiques s’élèvent d'ailleurs actuellement pour faire entendre qu’une telle erreur rudimentaire de programmation dans un outil open source, dont la nature plus que critique n’est plus à démontrer, pouvait être difficilement excusable, surtout avec une telle fenêtre d’exploitabilité et ce peu importe la justesse temporelle de cette fenêtre d’ailleurs. Le code en charge de la génération des clés étant le point le plus critique d’un système de cryptographie, toute sécurité additionnelle s’en trouve complètement inutile dès lors que cette partie s’avère vulnérable.

Source :

« Bad kitty Rookie mistake in Cryptocat chat app makes cracking a snap » sur « Ars Technica Risk Assessment » ( lien )

Voir tous les articles de "Rédaction" publiés sur SecuObs (691 résultats)
Voir tous les articles publiés par l'organisme "secuobs" sur SecuObs (998 résultats)

Version imprimable de cet article

Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Failles en RSS

- Article suivant : Des portes dérobées non documentées sur certains produits Hewlett Packard
- Article précédent : Nouvelles techniques d’obfuscation et d’optimisation à venir pour les attaques par injections SQL
- Article suivant dans la catégorie Failles : Des portes dérobées non documentées sur certains produits Hewlett Packard
- Article précédent dans la catégorie Failles : Nouvelles techniques d’obfuscation et d’optimisation à venir pour les attaques par injections SQL

Les derniers commentaires de la catégorie Failles:

- ESRT @sambowne - Russian firm Elcomsoft unveils tool to crack BlackBerry encryption security ... - SPIP recently fixed 2 vulnerabilities notified by Tehtri-Security 0day ... - PuttyHijack session hijack POC ... - ESRT @thierryzoller - Updated BEAST blog post with Proof of Concept code and the whitepaper ... - ESRT @y0ug @Securelist - New article published: MYBIOS Is BIOS infection a reality ...

Les derniers articles de la catégorie Failles :

- Les russes ont-ils pwn le système AEGIS ? - Backdoors BMC éventuelles via une faille IPMI sur au moins 100 000 serveurs publics - Jekyll, une application malicieuse contournant les détections de l App Store d Apple - La vulnérabilité cryptographique d Android, l origine du vol de 5 720 dollars en bitcoins - Une faille critique de Firefox expose les utilisateurs de Tor Browser Bundle - Une porte dérobée présente depuis 9 mois dans OpenX - De mauvaises implémentations d UEFI permettent de contourner Secure Boot - Prendre le contrôle d une voiture avec une manette de jeu, c est possible - Une nouvelle vulnérabilité critique aurait été découverte dans Java 7 - Les problèmes de sécurité des cartes SIM peuvent être facilement corrigés + d'articles de la catégorie Failles

SecuToolBox :

Bluetooth Stack Smasher v0.6 / Bluetooth Stack Smasher v0.8 / Slides Bluetooth Eurosec 2006 / Exposé vidéo Windows Shellcode - Kostya Kortchinsky / Exposé audio Reverse Engineering - Nicolas Brulez / Exposé vidéo Securitech - Pierre Betouin / Secure WIFI WPA + EAP-TLS + Freeradius / Audit Windows / Captive Password Windows / USBDumper / USBDumper 2 / Hacking Hardware / WishMaster backdoor / DNS Auditing Tool / Ettercap SSL MITM / Exploit vulnérabilités Windows / Memory Dumper Kernel Hardening / Reverse Engineering / Scapy / SecUbuLIVE CD / Metasploit / eEye Blink Sec Center / eEye Retina Scanner + d'outils / + de tutoriels

Mini-Tagwall des articles publiés sur SecuObs :

sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre + de mots clés avec l'annuaire des articles publiés sur SecuObs

Mini-Tagwall de l'annuaire video :

curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio + de mots clés avec l'annuaire des videos

Mini-Tagwall des articles de la revue de presse :

security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité + de mots clés avec l'annuaire de la revue de presse

Mini-Tagwall des Tweets de la revue Twitter :

security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack + de mots clés avec l'annuaire de la revue Twitter