Sécurité : Dans un mail publié en début de semaine sur la mailing-list du kernel Linux, un utilisateur alerte sur une tentative d’imposture visant notamment Linus Torvalds. De fausses clefs GPG ont été uploadées sur un serveur de clefs, et celles-ci partagent la même empreinte que les vraies clefs utilisées par des développeurs du kernel Linux et activistes des libertés numériques.

Malgré les précautions prises par certains activistes, des failles subsistent dans les outils de sécurité et des cyberattaquants semblent déterminés à s’en servir. Un message publié sur la mailing-list LKML lundi prévenait ainsi qu’une tentative d’attaque avait été détectée contre les clefs PGP de Linus Torvalds et de Greg Kroah-Hartman, un développeur du kernel Linux. Les attaquants sont parvenus à mettre en ligne sur un serveur de clefs des clés différentes, mais disposant d’un identifiant similaire, ouvrant ainsi la voie à une possible interception des messages envoyés à ces utilisateurs.

L’attaque n’est pas nouvelle et avait déjà été présentée depuis plusieurs mois. PGP permet à un utilisateur de fournir une clef publique, qui pourra être utilisée pour chiffrer un message qui lui est destiné et seul le destinataire pourra la déchiffrer à l’aide d’une seconde clef privée. Ces clefs publiques sont souvent mises en ligne sur des serveurs publics afin d’être facilement accessibles au plus grand nombre. Pour simplifier la chose, GPG propose des alternatives permettant d’identifier les clefs d’un utilisateur, notamment des identifiants baptisés « short key id ». Ces identifiants prennent la forme d’une suite de huit chiffres générés à partir de l’empreinte de la clef et permettent de facilement retrouver la clef d’un utilisateur sans avoir à forcement à la mémoriser.

publicité

Attaques - Qui et pourquoi ? Mystère



Mais ces short-id sont susceptibles d’être touchés par une des attaques de collisions : depuis quelque temps, des chercheurs sont parvenus à prouver que deux clefs différentes pouvaient renvoyer à un même short-id. Et c’est précisément ce qui a été signalé sur la mailing-list du Kernel Linux : sur le serveur de clefs du MIT, des attaquants étaient parvenus à uploader des clefs différentes disposant des mêmes short-id que celles de Linus Torvalds et Greg Kroah-Hartman. Le risque pour un utilisateur ou un programme s’appuyant sur les short-id pour récupérer les clefs publiques est donc de télécharger la mauvaise clef, ce qui pourrait permettre à l’attaquant de se faire passer pour les deux développeurs visés par l’attaque.

Neat. Someone faked the short keyid for my OpenPGP key. This is your regular reminder to only use full fingerprints. pic.twitter.com/D4iAEQdroN — isis agora lovecruft (@isislovecruft) August 16, 2016

Et les contributeurs du projet Linux ne sont pas les seuls touchés par ces attaques : la développeuse connue sous le pseudonyme d’Isis Agora Lovecruft, contributrice du projet Tor, expliquait sur Twitter avoir également été victime de cette attaque. Bien évidemment, personne ne sait qui se cache derrière ces manipulations. Comme le résume Gunnar Wolfe, le premier a avoir exposé ce type de failles, « nous ne savons pas qui est derrière tout ça, ni leur objectif, nous savons juste que cela semble très malveillant. »