Une vulnérabilité de longue date de la clé de chiffrement Signal dans les applications de bureau de l’entreprise est enfin corrigée. Le correctif sécurisera entièrement l’application Mac, mais l’entreprise ne pourra proposer qu’une solution de compromis pour la version Windows…
Les applications de bureau Signal pour Mac et Windows stockent les messages dans une base de données SQLite cryptée dont la clé est automatiquement générée par l’application, sans intervention de l’utilisateur.
Le problème est que la clé de chiffrement est stockée sur la machine dans un fichier texte brut local. Tout logiciel malveillant capable de lire des fichiers locaux non chiffrés pourrait obtenir la clé et donc déchiffrer les messages.
Les chercheurs en sécurité pointent cette vulnérabilité depuis au moins six ans, Nathaniel Suchy demandant que la base de données soit plutôt cryptée avec un mot de passe utilisateur.
Signal a inexplicablement rejeté ces appels, affirmant à tort que quelqu’un aurait dû avoir un accès complet au Mac ou au PC Windows pour lire la clé. Ce n’est pas le cas, car il existe des exemples de logiciels malveillants capables de lire des fichiers en texte brut sans avoir un accès complet et authentifié à la machine.
Les choses ont été calmes pendant six ans jusqu’à ce qu’Elon Musk intervienne. Il a été remarqué par la communauté et l’entreprise a riposté, mais il a été soutenu par les chercheurs en sécurité mobile Talal Haj Bakry et Tommy Mysk.
Bleeping Computer rapporte que cela a finalement convaincu l’entreprise de résoudre le problème après qu’un développeur leur a proposé une solution.
En avril, un développeur indépendant, Tom Plant, a créé une demande de fusion de code qui utilise l’API SafeStorage d’Electron pour sécuriser davantage le store de données de Signal contre les attaques hors ligne.
« En guise de simple mesure d’atténuation, j’ai implémenté l’API safeStorage d’Electron pour crypter de manière opportuniste la clé avec des API de plateforme comme DPAPI sur Windows et Keychain sur macOS », a expliqué Plant dans la demande de fusion […]
Un développeur de Signal a finalement répondu qu’il avait mis en œuvre la prise en charge du safeStorage d’Electron, qui serait bientôt disponible dans une prochaine version bêta.
L’utilisation du trousseau sur Mac sécurise entièrement la clé de chiffrement, tandis que la solution Windows pourrait encore potentiellement être compromise par certains logiciels malveillants, mais sera nettement plus sûre qu’actuellement.
Photo de Erik Mclean sur Unsplash
Envie de vous détendre un peu ? Voici un reportage très intéressant sur l’intelligence artificielle :
