Adobe alerte sur une faille critique dans le chiffrement JSON
JSON est un nom récurrent dans l'informatique. Acronyme de JavaScript Object Notation (soit notation objet issue de JavaScript), il s'agit d'un format léger d'échange de données. Il est très réputé dans l'univers du Web, où il est employé comme architecture sous-jacente pour mettre à jour dynamiquement les pages ou les flux d'un site.
Un succès croissant, mais qui n'exclut pas quelques problèmes de sécurité. Adobe a lancé une alerte à l'attention des développeurs sur une vulnérabilité critique dans le chiffrement de JSON. Le spécialiste de la transformation digitale estime qu'un cyberattaquant pourrait récupérer la clé privée de chiffrement.
Quand les courbes elliptiques ne tournent pas rond
Plusieurs librairies sont vulnérables à l'attaque décrite par l'éditeur : go-jose, node-jose, jose2go, Nimbus JOSE+WT et jose4. Pour mener son exploit, un chercheur d'Adobe, Antonio Sanso, s'est basé sur une attaque dite par courbe invalide (Invalid Curve Attack). Concrètement, le système de chiffrement de JSON utilise la création de token (JSON Web Token) pour l'authentification avec comme base des protocoles de cryptographie à courbe elliptique et notamment le standard ECDH-ES (Elliptic Curve Diffie-Hellman Ephemeral Static). Or, des chercheurs ont découvert un moyen de mener des attaques via les courbes elliptiques, en récupérant des bouts de clé et, in fine, en reconstruisant comme un puzzle l'ensemble de la clé.
Dans un billet de blog, Antonio Sanso a mis en place une page de test pour montrer un exemple d'attaque. Cet exemple permet à d'autres chercheurs de comprendre la méthodologie. Une version du procédé est aussi disponible sur GitHub. L'expert conseille aux utilisateurs des différentes librairies de les mettre à jour rapidement pour corriger le problème. Il explique que certaines bibliothèques sont nativement protégées contre les attaques de courbe elliptique. Antonio Sanso se veut rassurant en expliquant que cette découverte montre qu'il s'agit d'un problème d'implémentation à la création des librairies, mais précise que la vulnérabilité n'a pas été exploitée publiquement.
A lire aussi :
Ansible : JSON et SSH au service du cloud
Une backdoor chinoise planquée dans des smartphones Android
Crédit Photo : SergeyNivens-Shutterstock
Sur le même thème
Voir tous les articles Cybersécurité