Google, Microsoft et Yahoo ont remédié à une faille cryptographique dans leurs systèmes de messagerie qui aurait pu permettre à des hackers de créer un message usurpé en contournant une vérification de sécurité mathématique. Cette vulnérabilité a affecté DKIM (DomainKeys Identified Mail) un système de sécurité utilisé par la majorité des expéditeurs de courriers électroniques. DKIM enroule une signature cryptographique autour d'un e-mail qui vérifie le nom du domaine par lequel le message a été envoyé, et filtre les messages usurpés plus facilement. L'US-CERT a déclaré, dans un avertissement publié mercredi, que les clés inférieures à 1024 bits étaient faibles, et que celles allant jusqu'à 768 bits RSA-avaient été prises en compte.
Selon le magazine Wired, la question s'est posée après que Zachary Harris, un mathématicien installé en Floride, ait envoyé un courriel de la part d'un recruteur de Google qui avait seulement utilisé une clé à 512 bits. Pensant qu'il pourrait s'agir d'un test effectué par Google, il a pris la clé, puis l'a utilisée pour adresser un mail usurpé de Sergey Brin à Larry Page, les fondateurs de Google.
Un problème similaire chez d'autres acteurs
Ce n'était pas un test, mais, en fait, un problème grave montrant que des e-mails pouvant être buggés pouvaient être dignes de confiance. Selon la norme DKIM, les messages électroniques qui ont des clés plus courtes que 1024 bits ne sont pas nécessairement rejetés. Zachary Harris a trouvé que le problème ne se limitait pas à Google, et concernait également Microsoft et Yahoo. Selon l'US-CERT, le problème a été résolu il y a deux jours. Wired a aussi indiqué que le mathématicien avait trouvé à la fois des clés 512 ou 768 bits concernant l'utilisation de PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com et HSBC.
Les clés faibles sont une aubaine pour les cybercriminels. Elles permettent de cibler les utilisateurs d'e-mails qui contiennent des liens malveillants dans le but d'exploiter les logiciels d'un ordinateur et d'installer des malwares, un style d'attaque connu sous le nom spear phishing. Si un courriel dispose d'une signature DKIM correcte, il est plus susceptible de se retrouver dans la boîte de réception du destinataire.
L'US-CERT a également averti d'un autre problème. « La spécification DKIM permet à un expéditeur de signaler qu'il teste DKIM dans les messages. Certains destinataires acceptent les messages DKIM en mode test alors que ces derniers devraient être traités comme s'ils n'étaient pas DKIM. »
Google, Yahoo et Microsoft corrigent une faille dans leur service de messagerie
0
Réaction
L'US-CERT (United States Computer Emergency Readiness Team) a alerté sur l'utilisation des clés de signature DKIM faibles pouvant permettre aux courriels usurpés de paraître légitimes.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Commentaire