Pour gérer vos consentements :

Adobe alerte sur une faille critique dans le chiffrement JSON

JSON est un nom récurrent dans l’informatique. Acronyme de JavaScript Object Notation (soit notation objet issue de JavaScript), il s’agit d’un format léger d’échange de données. Il est très réputé dans l’univers du Web, où il est employé comme architecture sous-jacente pour mettre à jour dynamiquement les pages ou les flux d’un site.

Un succès croissant, mais qui n’exclut pas quelques problèmes de sécurité. Adobe a lancé une alerte à l’attention des développeurs sur une vulnérabilité critique dans le chiffrement de JSON. Le spécialiste de la transformation digitale estime qu’un cyberattaquant pourrait récupérer la clé privée de chiffrement.

Quand les courbes elliptiques ne tournent pas rond

Plusieurs librairies sont vulnérables à l’attaque décrite par l’éditeur : go-jose, node-jose, jose2go, Nimbus JOSE+WT et  jose4. Pour mener son exploit, un chercheur d’Adobe, Antonio Sanso, s’est basé sur une attaque dite par courbe invalide (Invalid Curve Attack). Concrètement, le système de chiffrement de JSON utilise la création de token (JSON Web Token) pour l’authentification avec comme base des protocoles de cryptographie à courbe elliptique et notamment le standard ECDH-ES (Elliptic Curve Diffie-Hellman Ephemeral Static). Or, des chercheurs ont découvert un moyen de mener des attaques via les courbes elliptiques, en récupérant des bouts de clé et, in fine, en reconstruisant comme un puzzle l’ensemble de la clé.

Dans un billet de blog, Antonio Sanso a mis en place une page de test pour montrer un exemple d’attaque. Cet exemple permet à d’autres chercheurs de comprendre la méthodologie. Une version du procédé est aussi disponible sur GitHub. L’expert conseille aux utilisateurs des différentes librairies de les mettre à jour rapidement pour corriger le problème. Il explique que certaines bibliothèques sont nativement protégées contre les attaques de courbe elliptique. Antonio Sanso se veut rassurant en expliquant que cette découverte montre qu’il s’agit d’un problème d’implémentation à la création des librairies, mais précise que la vulnérabilité n’a pas été exploitée publiquement.

A lire aussi :

Ansible : JSON et SSH au service du cloud

Une backdoor chinoise planquée dans des smartphones Android

Crédit Photo : SergeyNivens-Shutterstock

Recent Posts

Blockchain : Microsoft change de braquet

L'offre managée Azure Blockchain Service va disparaître... au profit d'un successeur que Microsoft développe avec…

2 minutes ago

Cloud : la stratégie nationale soumet les GAFAM à la labellisation

La France a désormais sa stratégie nationale pour le cloud. Elle n'exclut pas les fournisseurs…

44 minutes ago

Cybersécurité : une offre souveraine est-elle (vraiment) possible ?

Est-il possible de sécuriser le système d'information uniquement avec des solutions "Made in France" ?…

3 heures ago

Ransomwares : la vague déferle sur fond de querelles intestines

Après l'épisode Colonial Pipeline, des déchirures se manifestent dans le milieu cybercriminel au sujet des…

6 heures ago

Violation de données : phishing et ransomware au top des menaces

Les attaques informatiques par hameçonnage et ransomwares ont augmenté respectivement de 11 et 6% l'an…

3 jours ago

IBM Think 2021 : IA à tous les étages

IBM fait le plein d'annonces solutions à l'occasion de sa conférence Think 2021. Une édition…

5 jours ago