AccueilActualités informatiqueLes lacunes du protocole Matrix mettent en danger le chiffrement de bout...

Les lacunes du protocole Matrix mettent en danger le chiffrement de bout en bout des messageries

Marc
By Marc

Les développeurs du protocole de communication Matrix mettent en garde contre deux « critique« des vulnérabilités de sécurité qui compromettent le cryptage de bout en bout des messages envoyés avec certains messagers basés sur Matrix. Des mises à jour de sécurité sont disponibles. Jusqu’à présent, il n’y aurait eu aucune attaque.

Selon une alerte, les messageries suivantes sont spécifiquement affectées :

  • Cinny
  • Élément (Android, Desktop, Web). La version iOS n’est pas concernée.
  • FluffyChat
  • Nheko
  • SchildiChat

Sommaire

Cryptage compromis

Les vulnérabilités (CVE-2021-40823, CVE-2021-40824) se trouvent dans la fonction de « partage des clés ». Selon les développeurs de Matrix, cette fonction est utile si un nouveau client dans une discussion de groupe ne dispose pas encore de la clé pour lire les messages. Grâce à cette fonction, il reçoit la clé d’un autre appareil dans le chat. De cette façon, le nouveau client peut également décrypter et lire les messages passés.

Cependant, selon les développeurs de Matrix, cela ne devrait pas se produire pour chaque demande de clé par les clients pour des raisons de sécurité. Ils recommandent que la distribution automatique des clés n’ait lieu que sur les appareils vérifiés d’un même utilisateur. Selon les développeurs, il ne s’agit pas d’un bug dans le protocole, mais d’une faiblesse dans l’implémentation. Si la distribution des clés a lieu sans vérifier l’identité d’un appareil, un attaquant disposant d’un compte compromis pourrait se connecter et lire les messages.

Achetez maintenant !

Dans le message d’avertissement, les développeurs de Matrix énumèrent les clients et les SDK vulnérables ainsi que les versions corrigées et, selon les connaissances actuelles, les logiciels non affectés. Les développeurs souhaitent maintenant améliorer la formulation de leur documentation sur la mise en œuvre de la fonction de partage de clés. Cependant, ils remettent également en question la fonction elle-même et envisagent de la supprimer à l’avenir.

[UPDATE 14.09.2021 16:45 Uhr]

Certaines déclarations dans le corps du texte sont plus clairement attribuées aux développeurs.


(des)

Plus d'articles

Découvrez l'essentiel de l'actualité informatique : innovations, cybersécurité, et tendances technologiques. Restez informé des évolutions majeures et des opportunités dans ce domaine en constante évolution.

Les plus lues

Sujet du moment

Copyright © Lemedia05.com

Mentions légales

Contactez nous