OpenPGP : des certificats empoisonnés bloquent les installations vulnérables

Des certificats « empoisonnés » seraient en train de se propager actuellement et pourraient bloquer les installations OpenPGP vulnérables.

Des certificats OpenPGP ont été empoisonnés

« Une attaque exploitant un défaut du protocole OpenPGP » aurait conduit à l’empoisonnement de certains certificats. Ceux de Robert J. Hansen (rjh), Daniel Kahn Gillmor (dkg) et Kristian Fiskerstrand en sont concernés. Et ces certificats « empoisonnés » continuent à se propager, d’autant qu’ils sont déjà présents sur les serveurs de clés SKS. Ainsi, « quiconque tente d’importer un certificat « empoisonné » dans une installation OpenPGP vulnérable la bloquera très probablement d’une manière difficile à déboguer » comme l’explique Hansen.

OpenPGP : comment se protéger des certificats empoisonnés ?

Apparemment, le mode de fonctionnement des serveurs de clés SKS ne permet pas de lutter contre ces attaques. Il faudra ainsi attendre des mises à jour d’OpenPGP pour espérer obtenir des protections plus efficaces. Cependant, Hansen n’est pas sûr que tout le monde puisse en profiter. Pour l’instant, la seule mesure de protection qu’il préconise est de cesser de recevoir des informations des serveurs de clés SKS.

Daniel Kahn Gillmor partage le même avis. « Mon identité cryptographique publique a été spammée à tel point qu’elle est inutilisable […] N’actualisez pas mon certificat OpenPGP à partir du réseau de serveur de clés SKS » recommande-t-il, avant d’ajouter « SKS est connu pour être vulnérable à ce type de spams de certificats et est difficile à atténuer à cause du mécanisme de synchronisation ».

Enfin, Robert J. Hansen conclut en invitant les utilisateurs à mettre à jour régulièrement leur installation. Et s’ils ne le font pas, « ils sont foutus. Tôt ou tard, ils vont importer un certificat empoisonné ».

Que pensez-vous de cette info ? N’hésitez pas à partager votre avis dans les commentaires.

4 / 5 ( 1 vote )

Articles similaires

Découvrez la gamme des iPhone 16 à partir de 1 euros chez Bouygues Telecom
Cette offre fibre passe sous la barre des 25 euros pour la rentrée Bouygues Telecom
Bouygues Telecom vous propose le Samsung Galaxy A55 5G avec cette offre inratable
Bouygues Telecom propose une offre très intéressante pour la sortie du Samsung Galaxy S24