JSON est un nom récurrent dans l’informatique. Acronyme de JavaScript Object Notation (soit notation objet issue de JavaScript), il s’agit d’un format léger d’échange de données. Il est très réputé dans l’univers du Web, où il est employé comme architecture sous-jacente pour mettre à jour dynamiquement les pages ou les flux d’un site.
Un succès croissant, mais qui n’exclut pas quelques problèmes de sécurité. Adobe a lancé une alerte à l’attention des développeurs sur une vulnérabilité critique dans le chiffrement de JSON. Le spécialiste de la transformation digitale estime qu’un cyberattaquant pourrait récupérer la clé privée de chiffrement.
Plusieurs librairies sont vulnérables à l’attaque décrite par l’éditeur : go-jose, node-jose, jose2go, Nimbus JOSE+WT et jose4. Pour mener son exploit, un chercheur d’Adobe, Antonio Sanso, s’est basé sur une attaque dite par courbe invalide (Invalid Curve Attack). Concrètement, le système de chiffrement de JSON utilise la création de token (JSON Web Token) pour l’authentification avec comme base des protocoles de cryptographie à courbe elliptique et notamment le standard ECDH-ES (Elliptic Curve Diffie-Hellman Ephemeral Static). Or, des chercheurs ont découvert un moyen de mener des attaques via les courbes elliptiques, en récupérant des bouts de clé et, in fine, en reconstruisant comme un puzzle l’ensemble de la clé.
Dans un billet de blog, Antonio Sanso a mis en place une page de test pour montrer un exemple d’attaque. Cet exemple permet à d’autres chercheurs de comprendre la méthodologie. Une version du procédé est aussi disponible sur GitHub. L’expert conseille aux utilisateurs des différentes librairies de les mettre à jour rapidement pour corriger le problème. Il explique que certaines bibliothèques sont nativement protégées contre les attaques de courbe elliptique. Antonio Sanso se veut rassurant en expliquant que cette découverte montre qu’il s’agit d’un problème d’implémentation à la création des librairies, mais précise que la vulnérabilité n’a pas été exploitée publiquement.
A lire aussi :
Ansible : JSON et SSH au service du cloud
Une backdoor chinoise planquée dans des smartphones Android
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…