OpenPGP, le logiciel libre de cryptologie, serait victime d’une faille. Si elle remet partiellement en question l’authentification de la signature électronique, elle s’avère difficilement exploitable. Coup marketing ?
...moi dans la communauté crypto. Deux ingénieurs tchèques ont annoncé mardi 20 mars, lors d’une conférence de presse, qu’ils avaient "détecté une sérieuse faille de sécurité de magnitude internationale" dans OpenPGP, le standard de référence de la cryptographie. Bigre. John Callas, ancien responsable scientifique de PGP, le plus usité des logiciels de cryptographie, se montrait cela dit plus sceptique. Dans un message posté sur SecurityGeeks, il rappelle que, d’habitude, lorsque quelqu’un trouve une faille de sécurité, il en informe de prime abord les spécialistes patentés, ne serait-ce que pour vérifier qu’il s’agit bel et bien d’un bug, et valider la découverte. Au lieu de cela, les Tchèques ont choisi le coup médiatique et proposaient pour seul contact... le directeur marketing de la société. Le tout sans même fournir d’explication technique détaillée permettant de vérifier l’acuité de leur découverte (elle a, depuis, été publiée sur leur site web).
Un bug difficilement exploitable
On en sait un peu plus aujourd’hui. Les deux cryptographes, faisant des recherches pour la National Security Authority tchèque, ont bel et bien trouvé une faille dans le système de protection de la clef privée d’OpenPGP. Selon le site OpenPGP en français, si "l’attaque est difficilement exploitable dans la pratique, les premières analyses semblent estimer que l’attaque est astucieuse, que les versions de PGP et GnuPG vont être difficiles à patcher, et que le format OpenPGP actuel de signature est mis en question". Attention, la faille ne remet nullement en cause l’utilisation de PGP ou GnuPG : elle ne concerne nullement la possibilité de chiffrer ou déchiffrer, des messages, mais celle de les signer. De plus, pour l’exploiter, il faut que l’intrus parvienne successivement à accéder au trousseau de clefs secrètes, à modifier ce fichier puis à intercepter un message signé par le propriétaire de la clef à l’aide du fichier modifié. Autrement dit, il faut que l’attaquant accède à l’ordinateur de sa "cible", où se trouve, généralement, ledit trousseau. Mais, alors, pourquoi ne pas installer une backdoor, qui lui permettrait de prendre le contrôle total de l’ordinateur, ou encore un key logger, qui enregistrera tout ce qui est tapé sur le clavier ? Ce qui s’avérerait bien plus fructueux que de contrefaire la signature électronique du quidam visé.
Pas de trousseau de clefs
Pour Philippe Zimmermann, interrogé par Wired, "cette attaque ne peut fonctionner que si l’on est négligent envers la protection de ses clefs privées". D’aucuns conseillent ainsi, outre les "basics" de la sécurisation d’un ordinateur personnel (mots de passe, firewall, voire partition chiffrée) de ne pas installer de trousseau de clefs PGP sur son lieu de travail, mais d’utiliser une disquette amovible. Plus radical, le site OpenPGP en français avance que "toute clef privée qui a pu être lue et copiée par un inconnu doit être considérée comme perdue et doit être révoquée". À défaut d’avoir révélé un véritable trou de sécurité à même de remettre en question la fiabilité d’OpenPGP, le bug découvert par les deux Tchèques atteste bien que le programme continue d’être révisé par des scientifiques. Ce qui ne peut que rassurer utilisateurs de crypto et fervents défenseurs des droits de l’homme à l’ère numérique.