En fin de semaine dernière, deux spécialistes du chiffrement email OpenPGP ont vu leur certificat de signature être victime d’une attaque par « empoisonnement ».
OpenPGP fonctionne de la manière suivante : chacun établit un certificat de signature en son nom. Ce certificat est ensuite téléversé sur un serveur de synchronisation de clé (appelé SKS). Les autres personnes souhaitant communiquer avec une personne peuvent aller chercher le certificat sur ces serveurs.
Ce système est basé uniquement sur la confiance et il n’y a pas de moyen mis en place pour vérifier l’identité de la personne ayant émis le certificat.
La semaine dernière, près de 55 000 faux certificats ont été émis en le nom de Daniel Kahn Gillmor et 110 000 pour Robert J. Hansen. De ce fait, les certificats originaux ont été « noyés » rendant la récupération des certificats de manière automatique impossible.
Selon Hansen, ce genre d’attaque pourrait rendre la mise à jour de systèmes d’exploitation Linux impossible. En empoisonnant le certificat public d’un vendeur, lors de la récupération du keyring
il sera impossible de vérifier l’authenticité des paquets.
Il n’existe pas de correctif pour l’instant, aucun mainteneur des SKS ne se sent assez compétent pour retravailler le code et les changements à effectuer sont majeurs. Cependant selon Hansen, PGP pourrait survivre sans SKS.
Références
https://nakedsecurity.sophos.com/2019/07/05/openpgp-experts-targeted-by-long-feared-poisoning-attack/
https://www.vice.com/en_us/article/8xzj45/someone-is-spamming-and-breaking-a-core-component-of-pgps-ecosystem
https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f