Les lacunes du protocole Matrix mettent en danger le chiffrement de bout en bout des messageries

Les développeurs du protocole de communication Matrix mettent en garde contre deux « critique« des vulnérabilités de sécurité qui compromettent le cryptage de bout en bout des messages envoyés avec certains messagers basés sur Matrix. Des mises à jour de sécurité sont disponibles. Jusqu’à présent, il n’y aurait eu aucune attaque.

Selon une alerte, les messageries suivantes sont spécifiquement affectées :

  • Cinny
  • Élément (Android, Desktop, Web). La version iOS n’est pas concernée.
  • FluffyChat
  • Nheko
  • SchildiChat

Les vulnérabilités (CVE-2021-40823, CVE-2021-40824) se trouvent dans la fonction de « partage des clés ». Selon les développeurs de Matrix, cette fonction est utile si un nouveau client dans une discussion de groupe ne dispose pas encore de la clé pour lire les messages. Grâce à cette fonction, il reçoit la clé d’un autre appareil dans le chat. De cette façon, le nouveau client peut également décrypter et lire les messages passés.

Cependant, selon les développeurs de Matrix, cela ne devrait pas se produire pour chaque demande de clé par les clients pour des raisons de sécurité. Ils recommandent que la distribution automatique des clés n’ait lieu que sur les appareils vérifiés d’un même utilisateur. Selon les développeurs, il ne s’agit pas d’un bug dans le protocole, mais d’une faiblesse dans l’implémentation. Si la distribution des clés a lieu sans vérifier l’identité d’un appareil, un attaquant disposant d’un compte compromis pourrait se connecter et lire les messages.

Dans le message d’avertissement, les développeurs de Matrix énumèrent les clients et les SDK vulnérables ainsi que les versions corrigées et, selon les connaissances actuelles, les logiciels non affectés. Les développeurs souhaitent maintenant améliorer la formulation de leur documentation sur la mise en œuvre de la fonction de partage de clés. Cependant, ils remettent également en question la fonction elle-même et envisagent de la supprimer à l’avenir.

[UPDATE 14.09.2021 16:45 Uhr]

Certaines déclarations dans le corps du texte sont plus clairement attribuées aux développeurs.


(des)

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici