OpenPGP : des certificats empoisonnés bloquent les installations vulnérables

Des certificats « empoisonnés » seraient en train de se propager actuellement et pourraient bloquer les installations OpenPGP vulnérables.

« Une attaque exploitant un défaut du protocole OpenPGP » aurait conduit à l’empoisonnement de certains certificats. Ceux de Robert J. Hansen (rjh), Daniel Kahn Gillmor (dkg) et Kristian Fiskerstrand en sont concernés. Et ces certificats « empoisonnés » continuent à se propager, d’autant qu’ils sont déjà présents sur les serveurs de clés SKS. Ainsi, « quiconque tente d’importer un certificat « empoisonné » dans une installation OpenPGP vulnérable la bloquera très probablement d’une manière difficile à déboguer » comme l’explique Hansen.

OpenPGP : comment se protéger des certificats empoisonnés ?

Apparemment, le mode de fonctionnement des serveurs de clés SKS ne permet pas de lutter contre ces attaques. Il faudra ainsi attendre des mises à jour d’OpenPGP pour espérer obtenir des protections plus efficaces. Cependant, Hansen n’est pas sûr que tout le monde puisse en profiter. Pour l’instant, la seule mesure de protection qu’il préconise est de cesser de recevoir des informations des serveurs de clés SKS.

Daniel Kahn Gillmor partage le même avis. « Mon identité cryptographique publique a été spammée à tel point qu’elle est inutilisable […] N’actualisez pas mon certificat OpenPGP à partir du réseau de serveur de clés SKS » recommande-t-il, avant d’ajouter « SKS est connu pour être vulnérable à ce type de spams de certificats et est difficile à atténuer à cause du mécanisme de synchronisation ».

Enfin, Robert J. Hansen conclut en invitant les utilisateurs à mettre à jour régulièrement leur installation. Et s’ils ne le font pas, « ils sont foutus. Tôt ou tard, ils vont importer un certificat empoisonné ».

Que pensez-vous de cette info ? N’hésitez pas à partager votre avis dans les commentaires.