Lors d’une présentation au 39c3 (Chaos Communication Congress), les chercheurs ont détaillé des vulnérabilités pratiques affectant des utilitaires de signature et de chiffrement largement utilisés, avec un site dédié (gpg.fail) et l’avertissement que la session pourrait contenir des zerodays.
Les outils touchés incluent GnuPG, Sequoia PGP, age et minisign. Les failles proviennent principalement de bugs d’implémentation — notamment dans le parsing des formats — et non de défauts dans les primitives cryptographiques. Un exemple cité est la confusion sur les données réellement signées, permettant à un attaquant, sans la clé privée du signataire, d’échanger le texte en clair.
Les impacts annoncés couvrent un large spectre: contournements de vérification de signature, cassures du chiffrement en transit et au repos, affaiblissement des signatures de clés, et vulnérabilités de corruption mémoire potentiellement exploitables.
Les auteurs soulignent que, malgré l’ancienneté de ces codebases, les attentes en matière de maturité, d’audits et de tests continus n’étaient pas au rendez-vous. Ils expliquent leur démarche — partie d’un besoin personnel de comprendre la gestion de clés et les signatures — et abordent le rôle de la spécification OpenPGP ainsi que le processus de divulgation suivi.
Il s’agit d’une publication de recherche présentée en conférence, visant à exposer des failles d’implémentation, illustrer leur découverte et discuter des implications de la spécification et de la divulgation.
🔗 Source originale : https://media.ccc.de/v/39c3-to-sign-or-not-to-sign-practical-vulnerabilities-i