L’aura du logiciel PGP (Pretty Good Privacy), symbole universel de protection de la vie privée, est-elle à jamais ternie ? C’est en tout cas ce qui transparaît des travaux (*) de Ralf Senderek, un cryptographe allemand. Son évaluation de la version 5 commerciale de PGP, qui met en ?”uvre de nouveaux algorithmes, notamment le DSS/DH (Digital Signature Standard), révèle, en effet, que la clé publique cache une deuxième clé appelée ADK (Additionnal Decryption Key). Son empreinte est décelable dans les signatures au format 4.0 de cette version de PGP. A condition d’avoir la clé privée correspondante, une tierce partie peut donc déchiffrer le contenu d’un message en accédant à la clé de session chiffrée pour une deuxième fois par l’ADK.Mais il y a plus grave encore. Dans cette même version, il serait possible de substituer de façon transparente une clé ADK par une autre. Dans tous les cas de figure, l’utilisateur n’est pas averti et n’a pas la possibilité de désactiver cette fonction. La garantie de l’intégrité des données n’est pas non plus assurée. Et ce en raison d’une application partielle de la clé de “hashing”, qui permet de vérifier l’intégrité des messages. Au-delà des mises à jour proposées par la maison mère NAI, et en attendant des outils permettant de détecter l’ADK, Ralph Senderek recommande de circonscrire l’emploi de PGP à la version ” Classic “, à PGP 2.6 ou bien à l’implémentation OpenPGP, GnuPG.1.0.4.
(*) Key Experiments : ” How PGP deals with manipulated keys ” – an experimental approach by Ralf Senderek, août 2000.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
