JSON est un nom récurrent dans l’informatique. Acronyme de JavaScript Object Notation (soit notation objet issue de JavaScript), il s’agit d’un format léger d’échange de données. Il est très réputé dans l’univers du Web, où il est employé comme architecture sous-jacente pour mettre à jour dynamiquement les pages ou les flux d’un site.
Un succès croissant, mais qui n’exclut pas quelques problèmes de sécurité. Adobe a lancé une alerte à l’attention des développeurs sur une vulnérabilité critique dans le chiffrement de JSON. Le spécialiste de la transformation digitale estime qu’un cyberattaquant pourrait récupérer la clé privée de chiffrement.
Plusieurs librairies sont vulnérables à l’attaque décrite par l’éditeur : go-jose, node-jose, jose2go, Nimbus JOSE+WT et jose4. Pour mener son exploit, un chercheur d’Adobe, Antonio Sanso, s’est basé sur une attaque dite par courbe invalide (Invalid Curve Attack). Concrètement, le système de chiffrement de JSON utilise la création de token (JSON Web Token) pour l’authentification avec comme base des protocoles de cryptographie à courbe elliptique et notamment le standard ECDH-ES (Elliptic Curve Diffie-Hellman Ephemeral Static). Or, des chercheurs ont découvert un moyen de mener des attaques via les courbes elliptiques, en récupérant des bouts de clé et, in fine, en reconstruisant comme un puzzle l’ensemble de la clé.
Dans un billet de blog, Antonio Sanso a mis en place une page de test pour montrer un exemple d’attaque. Cet exemple permet à d’autres chercheurs de comprendre la méthodologie. Une version du procédé est aussi disponible sur GitHub. L’expert conseille aux utilisateurs des différentes librairies de les mettre à jour rapidement pour corriger le problème. Il explique que certaines bibliothèques sont nativement protégées contre les attaques de courbe elliptique. Antonio Sanso se veut rassurant en expliquant que cette découverte montre qu’il s’agit d’un problème d’implémentation à la création des librairies, mais précise que la vulnérabilité n’a pas été exploitée publiquement.
A lire aussi :
Ansible : JSON et SSH au service du cloud
Une backdoor chinoise planquée dans des smartphones Android
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…
La présidente de Numeum, Véronique Torner, revient sur la genèse de la tribune du collectif…