La norme XML Encryption est utilisée par de nombreuses entreprises, dont IBM, Microsoft et Red Hat, pour sécuriser les communications entre les services Internet. L'attaque mise au point par les deux chercheurs leur a permis de décrypter des données normalement sécurisées en DES (Data Encryption Standard) ou en AES (Advanced Encryption Standard), des modalités de cryptage qui utilisent l'enchaînement des blocs ou Cipher Block Chaining (CBC). Ceux-ci ont présenté leurs résultats de manière plus détaillée au cours de la dernière conférence ACM sur la sécurité informatique et les communications (Conference on Computer and Communications Security - CCS 2011) qui a consacré une session à la Cryptographie Appliquée.
Selon Jörg Schwenk qui enseigne le génie électrique et la technologie de l'information à la RUB, tous les algorithmes de cryptage de données préconisés dans la norme XML Encryption sont concernés par cette faiblesse. L'attaque consiste à envoyer des textes chiffrés modifiés au serveur et à analyser les erreurs pour obtenir des indices sur le cryptage. La même technique avait été utilisée par les chercheurs en sécurité Rizzo Juliano et Thai Duong dans leur attaque visant le Framework ASP.NET en utilisant une faille de type Padding Oracles Everywhere (POE). Cette vulnérabilité (CVE-2010-3332) permettait « aux attaquants de déchiffrer les cookies et d'extirper les statistiques, les mots de passe et les données des utilisateurs (comme le numéro de sécurité sociale), en fait tout ce qui est chiffré avec l'API du framework. » Cette faille de chiffrement leur a valu de remporter le Pwnie Award 2011 pour le meilleur bug côté serveur.
Plus récemment, les chercheurs ont fait la démonstration d'une attaque distincte contre les implémentations SSL/TLS (Secure Sockets Layer Security Layer/Transfer) qui utilisent le mode CBC, un peu comme ici. « Tous ces algorithmes sont vulnérables aux attaques, car ils utilisent le mode CBC. Donc toutes les implémentations de la norme devraient être affectées», a déclaré Jörg Schwenk, se référant aux recommandations relatives au XML Encryption.
[[page]]
Les chercheurs de l'université de Bochum ont envoyé une notification aux vendeurs concernés via la liste de diffusion du World Wide Web Consortium (W3C), l'organisation chargée de valider les standards. L'attaque a été testée avec succès contre les nombreuses implémentations utilisées par les entreprises qui ont répondu à l'enquête des chercheurs. « Microsoft est informé de la recherche sur un problème qui concerne toute l'industrie, et affectant certaines implémentations de la norme de chiffrement XML. Nous continuons à évaluer nos produits afin de déterminer les applications qui, le cas échéant, utilisent l'approche en question», a déclaré un porte-parole de Microsoft. Le géant du logiciel n'a pas encore de recommandations à faire à ce sujet. « Nous fournirons des conseils concernant la mise en oeuvre du XML de Microsoft pour les développeurs tiers, si nécessaire, » a-t-il ajouté.
Selon les chercheurs, il n'existe pas de solution simple pour résoudre ce problème et ils estiment que la norme doit être modifiée. Néanmoins, ils ont prévu de faire l'inventaire de contre-mesures possibles dans un futur document.