Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



Cryptocat, pas plus confidentiel en groupe qu’une application standard de communication

Par Rédaction, secuobs.com
Le 10/07/2013


Résumé : Une vulnérabilité critique a été découverte dans le code en charge de la génération des clés cryptographiques de Cryptocat, une application prisée habituellement par les journalistes et les activistes pour la confidentialité qu’elle était censée fournir aux communications en groupe.



Les développeurs de Cryptocat, une application de chiffrement des communications privilégiée par les activistes et les journalistes en général, viennent de s’excuser publiquement pour une vulnérabilité critique et exploitable permettant à un tiers de déchiffrer les canaux de communications établis en groupe par son intermédiaire. A noter que cette vulnérabilité, découverte par le chercheur Steve Thomas, a été fixée depuis la version 2.0.42, néanmoins les développeurs recommandent l’utilisation de la branche 2.1.x actuelle de l’application.

La durée précise de la fenêtre d’exploitabilité de la vulnérabilité en question étant néanmoins actuellement encore source à débattre puisque les développeurs de Cryptocat assurent qu’elle ne remonte pas à plus de sept mois maximum, alors dans le même temps le chercheur à l’origine de la découverte de cette vulnérabilité clame lui que la durée totale de cette fenêtre d’exploitabilité s’approcherait au final plus des dix neuf mois que des sept mois annoncés actuellement par les développeurs.

Les deux parties s’accordant néanmoins sur les conséquences plus que critiques de l’exploitation, à savoir que les clés de chiffrement et de déchiffrement des conversations au sein des groupes d’utilisateurs s’avéraient être facilement prédictibles par des tiers. En conséquences, les activistes, journalistes et autres intervenants, privilégiant Cryptocat pour éviter les écoutes gouvernementales et industrielles, ne bénéficiaient en fait pas d’une plus grande confidentialité que les utilisateurs des services standards de communication.

Des critiques s’élèvent d'ailleurs actuellement pour faire entendre qu’une telle erreur rudimentaire de programmation dans un outil open source, dont la nature plus que critique n’est plus à démontrer, pouvait être difficilement excusable, surtout avec une telle fenêtre d’exploitabilité et ce peu importe la justesse temporelle de cette fenêtre d’ailleurs. Le code en charge de la génération des clés étant le point le plus critique d’un système de cryptographie, toute sécurité additionnelle s’en trouve complètement inutile dès lors que cette partie s’avère vulnérable.

Source :

« Bad kitty Rookie mistake in Cryptocat chat app makes cracking a snap » sur « Ars Technica Risk Assessment » ( lien )