JSON est un nom récurrent dans l’informatique. Acronyme de JavaScript Object Notation (soit notation objet issue de JavaScript), il s’agit d’un format léger d’échange de données. Il est très réputé dans l’univers du Web, où il est employé comme architecture sous-jacente pour mettre à jour dynamiquement les pages ou les flux d’un site.
Un succès croissant, mais qui n’exclut pas quelques problèmes de sécurité. Adobe a lancé une alerte à l’attention des développeurs sur une vulnérabilité critique dans le chiffrement de JSON. Le spécialiste de la transformation digitale estime qu’un cyberattaquant pourrait récupérer la clé privée de chiffrement.
Plusieurs librairies sont vulnérables à l’attaque décrite par l’éditeur : go-jose, node-jose, jose2go, Nimbus JOSE+WT et jose4. Pour mener son exploit, un chercheur d’Adobe, Antonio Sanso, s’est basé sur une attaque dite par courbe invalide (Invalid Curve Attack). Concrètement, le système de chiffrement de JSON utilise la création de token (JSON Web Token) pour l’authentification avec comme base des protocoles de cryptographie à courbe elliptique et notamment le standard ECDH-ES (Elliptic Curve Diffie-Hellman Ephemeral Static). Or, des chercheurs ont découvert un moyen de mener des attaques via les courbes elliptiques, en récupérant des bouts de clé et, in fine, en reconstruisant comme un puzzle l’ensemble de la clé.
Dans un billet de blog, Antonio Sanso a mis en place une page de test pour montrer un exemple d’attaque. Cet exemple permet à d’autres chercheurs de comprendre la méthodologie. Une version du procédé est aussi disponible sur GitHub. L’expert conseille aux utilisateurs des différentes librairies de les mettre à jour rapidement pour corriger le problème. Il explique que certaines bibliothèques sont nativement protégées contre les attaques de courbe elliptique. Antonio Sanso se veut rassurant en expliquant que cette découverte montre qu’il s’agit d’un problème d’implémentation à la création des librairies, mais précise que la vulnérabilité n’a pas été exploitée publiquement.
A lire aussi :
Ansible : JSON et SSH au service du cloud
Une backdoor chinoise planquée dans des smartphones Android
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.