E2EE

Source et contexte — Étude académique d’ETH Zurich et de l’Università della Svizzera italiana (USI), avec preuves de concept (PoC), analysant trois gestionnaires de mots de passe cloud (Bitwarden, LastPass, Dashlane) dans un modèle de menace à serveur malveillant. Principaux constats Les auteurs identifient 12 attaques contre Bitwarden, 7 contre LastPass et 6 contre Dashlane (25 au total). La plupart permettent la récupération de mots de passe. Les promesses de « Zero Knowledge »/E2EE ne tiennent pas face à un serveur pleinement malveillant, un modèle jugé réaliste au vu de la valeur des coffres et d’incidents passés. Les vulnérabilités découlent d’anti‑patterns communs : absence d’authentification des clés publiques, mauvaise séparation des clés, hypothèse erronée d’authenticité des chiffrés PKE, compatibilité rétro qui rouvre CBC sans intégrité, intégrité au niveau champ/élément mais pas du coffre entier. Attaques par catégories (exemples marquants) ...

Contexte: Présenté à Black Hat USA, l’article rapporte la découverte par des chercheurs d’un nouveau lot de vulnérabilités dans le protocole Terrestrial Trunked Radio (TETRA), regroupées sous le nom 2TETRA:2BURST. Les failles identifiées affectent notamment le mécanisme propriétaire de chiffrement de bout en bout (E2EE) de TETRA. Elles l’exposent à des attaques par relecture et force brute, et permettraient même de déchiffrer du trafic chifré. Points clés: Vulnérabilités: ensemble de failles nommé « 2TETRA:2BURST » Technologie concernée: protocole de radiocommunications TETRA Impact: exposition de l’E2EE à des attaques de relecture et de force brute, avec possibilité de décryptage du trafic Contexte de divulgation: présentation à Black Hat USA TTPs mentionnées: ...