Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Let’s Encrypt : un « bug » a divulgué jusqu’à 7 617 adresses emails

Let's YOLO

Let's Encrypt : un « bug » a divulgué jusqu'à 7 617 adresses emails

Le 15 juin 2016 à 10h00

Lors de l'envoi d'une liste de diffusion, Let's Encrypt a malencontreusement ajouté automatiquement des adresses de ses clients dans son message (jusqu'à 7 617 tout de même). En cause, un « bug » sur un logiciel utilisé pour la première fois.

Depuis le lancement de la bêta en décembre de l'année dernière, Let's Encrypt rencontre un beau succès. Le service propose pour rappel des certificats SSL gratuitement à ceux qui en font la demande (voir notre analyse). Il est notamment disponible chez Infomaniak, Gandi et OVH, sur le DSM 6.0 de Synology, sur les blogs de Blogger, etc. Depuis le mois d'avril, le projet est même sorti de bêta et a trouvé de nouveaux sponsors de taille.

Quand des adresses email sont automatiquement ajoutées

Bref, tout se déroule bien pour Let's Encrypt, mais un rouage s'est récemment grippé dans cette mécanique bien huilée : une fuite de 7 617 emails de ses utilisateurs. Il ne s'agit pas du résultat d'une attaque contre ses serveurs, mais d'un « bug » lors de l'envoi d'une liste de diffusion.

L'équipe s'explique : « Le 11 juin 2016, nous avons commencé à envoyer un email à tous nos abonnés actifs qui nous ont donné une adresse afin de les informer d'une mise à jour sur notre contrat d'abonnement. Cela a été fait par le biais d'un système automatisé qui contenait un bug qui, par erreur, a ajouté entre 0 et 7 617 autres adresses emails dans le corps du message. Conséquence, les destinataires pouvaient voir des adresses email des autres utilisateurs ».

En 68 minutes : problème détecté, envoi stoppé et publication d'un communiqué

Elle ajoute que « le problème a été détecté et le système arrêté après que 7 618 emails sur environ 383 000 (1,9 %) ont été envoyés. Chaque correspondance contenait par erreur les adresses email des destinataires précédents ». Le premier email ne comportait donc aucune fuite, tandis que le deuxième affichait l'email du premier, le troisième celui des deux premiers... et le 7 618e comportait les adresses des 7 617 précédents destinataires. L'hémorragie s'est arrêtée là puisque l'envoi a été stoppé.

Let's Encrpyt explique que la campagne d'information a été lancée le 11 juin à 3h47 et que le premier rapport signalant un problème a été reçu à 4h20. L'envoi des emails a été arrêté 9 minutes plus tard (4h29) et le premier rapport préliminaire a été rendu public à 5h28, soit un peu plus d'une heure après la réception du rapport d'incident.

Des mesures pour éviter que cela ne se reproduise

Let's Encrypt indique que le bug se situe dans un bout de code qui a été utilisé pour la première fois lors de cette campagne. Il avait été testé et examiné, mais visiblement c'était loin d'être suffisant. Le manque de test est d'ailleurs considéré comme étant la cause première du bug par Let's Encrypt. On se demande tout de même comment un « bug » aussi gros a pu passer à travers des mailles du filet, fussent-elles peu resserrées.

Bien évidemment, l'équipe s'excuse pour « cette erreur » et annonce que des mesures ont été prises afin d'éviter que cela ne se reproduise. Ainsi, les logiciels permettant de diffuser en masse des emails seront désormais testés avec autant de rigueur que ceux ayant trait à la gestion des certificats.

Commentaires (49)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Jarodd a écrit :



Pas toujours. Certains le font par pure philanthropie, Mozilla par exemple.  





Lol, Mozilla, dont les dirigeants et actionnaires gagnent bien leur 10-vie-dendes.

Mozilla et son fameux navigateur qui fut le 1er a intégré dès le départ une barre d’outils reliée directement a Google.

Puis ensuite le meilleur navigateur pour y placer des greffons vérolés jusqu’à la moelle, depuis les spyware jusqu’aux keylogger..

 Mozilla et la sécurité.. Mozilla et le désintéressement.. LOL !



tiens rappel ici même : 

&nbspnextinpact.com Next INpact

 


votre avatar

Tout le monde n’a pas besoin de cette assurance.

J’héberge des petits services pour lesquels je veux du HTTPS avec un certificat valide, mais je ne vais pas payer 300€ pour chacun d’entre eux. Let’s encrypt est la solution à ce problème.



Je ne dis pas qu’il faut faire disparaître les certificats payants, je dis juste que personne ne fournit le service de base gratuitement, alors que ça ne coûte absolument rien de le fournir.

votre avatar

On n’a jamais dit que Mozilla ne gagnait pas d’argent, il faut bien payer les développeurs. Mais c’est vraiment mal les connaître que de croire que leur but premier est de se faire de l’argent à tout prix.

votre avatar

Autant il est assez aisé de vérifier par une procédure automatique que tu es bien le propriétaire d’un DNS autant pour la signature de code je ne vois pas bien comment ils pourraient faire

votre avatar

Ça demanderait un minimum d’étapes manuelles, certes, mais pas de quoi justifier 200-300€/an <img data-src=" />

votre avatar

Après Let’s encrypt diminue le risque de vol en diminuant la durée de son certificat: 3 mois de mémoire. Là où les agences de certificats proposent un an.



Cette faible durée est compenser par l’automatisation de processus d’enregistrement et de renouvellement.

votre avatar

Spyware ? Keylogger ? Mais de quoi tu parles ? <img data-src=" />

votre avatar

de plugins de Firefox je dirais. Mais pas sûr que ce soit pertinent, j’imagine qu’il y a une vérification de ce qui est envoyé par les plugins avant l’intégration dans la bibliothèque.&nbsp;

votre avatar

Depuis quand un certificat SSL DV coûte 300€ ?



Même un EV SGC SSL pour un seul domaine peut se trouver à moins de 140€. Mais c’est vrai que la gamme peut monter à 800€ facilement (Symantec)



J’ai acheté des DV à moins de 10€ l’année (Comodo). Bref, c’est cool d’avoir du DV gratuit, mais ça ne sert à rien d’exagérer les prix des Comodo, Geotrust and co.

votre avatar

Hé ben !

Si tu as autant de reproches à faire à Mozilla, je ne voudrais pas voir ceux que tu as en réserve pour les autres acteurs du secteur..<img data-src=" />

votre avatar

notes bien que je ne dis pas qu’ils sont les seuls… Mais faut arrêter l’angélisme et le marketing viral.

votre avatar

De la même façon, tu dois avoir du mal à comprendre l’intérêt pour les grosses boîtes de contribuer à l’open source, puisque ça ne leur rapporte pas directement de l’argent.&nbsp;Ah mais oui, ils gagnent indirectement je ne dis pas le contraire.Par exemple par le profilage et la collecte des usages, que cela serve a titre d’optimisation marketing personnelle ou a la revente.Le&nbsp;business&nbsp;model actuel&nbsp;c’est&nbsp;le big data.&nbsp;c’est&nbsp;pas moi qui l’invente.

votre avatar







ErGo_404 a écrit :



Tout le monde n’a pas besoin de cette assurance.

J’héberge des petits services pour lesquels je veux du HTTPS avec un certificat valide, mais je ne vais pas payer 300€ pour chacun d’entre eux. Let’s encrypt est la solution à ce problème.



Je ne dis pas qu’il faut faire disparaître les certificats payants, je dis juste que personne ne fournit le service de base gratuitement, alors que ça ne coûte absolument rien de le fournir.







Ca ne coute pas “rien” d’héberger une pki digne de ce nom. Ce n’est pas “juste” un serveur qui signe des CSR. Il y a des HSM pour contenir les clés privées afin qu’elles ne se fasse pas voler, il y a l’hébergement de l’OCSP/CRL (j’ose pas imaginer le nombre de requete / secondes). Vu que c’est utilisé à grande échelle, c’est probablement sur un CDN, donc gestion de ce CDN. Comme tout est automatisé, il faut faire des stats automatique pour vérifier qu’il n’y a pas d’abération (synonyme d’attaques), sans compter la mitigation des DDOS pour décridibiliser Let’sEncrypt, faut pas croire, mais je pense que toutes les boites de gestion de certificats doivent bien faire la gueule, et c’est assez simple et pas cher de commander des DDOS…



Ca n’est pas si simple.


votre avatar







Soriatane a écrit :



Après Let’s encrypt diminue le risque de vol en diminuant la durée de son certificat: 3 mois de mémoire. Là où les agences de certificats proposent un an.



Cette faible durée est compenser par l’automatisation de processus d’enregistrement et de renouvellement.







Ouep, et également pour “gérer” le changement de propriétaire de nom de domaine.

Je prend un certificat let’s encrypt, je vends mon nom de domaine, et bah j’ai toujours la clé privée, bien que je n’ai plus le domaine.



Au moins la, c’est limité a 3 mois.


votre avatar



En 68 minutes : problème détecté, envoi stoppé et publication d’un communiqué





La méthode agile dans la vie réelle:



commit, push, deliver…. ARRRRRG !!!! fix, fix, fix, apologize.






votre avatar

Ce que tu payes quand tu prends un certificat auprès d’une autorité de certification, c’est une assurance et des garanties.



D’où les prix élevés.

votre avatar







127.0.0.1 a écrit :



La méthode agile dans la vie réelle:



commit, push, deliver…. ARRRRRG !!!! fix, fix, fix, apologize.







-Regardez, je vais bientôt recevoir l’email de notification via notre nouvelle app !

‘ting!!”




  • Et voilà, avec le corps généré via un des templates et euh…


votre avatar

sisi, c’est juste que le dév a testé qu’avec son adresse (donc un envoi correct :p)

votre avatar

voit pas le rapport entre open source et profilage ou collecte de données.

Ma SSII est spécialisée dans l’open source et je ne vois pas à quel moment on ferait du profilage ou de la collecte.

L’objectif est plutôt d’utiliser un produit qui a pu être réalisé et vérifié par un grand nombre de développeurs afin d’en limiter les bugs (ex: Drupal =&gt; +3000 contributeurs) et le coût pour notre client final.

votre avatar

En même temps ils font des certificats, c’est pas des list masters <img data-src=" />

votre avatar

Pas de chance, mon adresse est dans le top 15…

votre avatar

Ca va, c’est toujours moins d’adresses que celles contenues dans les chaines que tata Kechua vous envoie 8 fois par jour.

votre avatar

Concrètement ça ne coûte pas grand chose de générer des certificats. Le certificat à 300€ n’est pas de meilleure qualité que celui qui est gratuit, tout ce qui compte c’est en gros que les éditeurs de navigateurs aient confiance dans celui qui édite le certificat.

Une fois que c’est le cas, ça peut tourner sur quelques serveurs de rien du tout, et être financé par les dons de différentes entreprises et associations qui voient un intérêt dans le tout-https.

votre avatar

Tout à fait d’accord avec toi. S’il y a bien un domaine ou ça ne devrait pas coûter grand chose, c’est bien les certificats <img data-src=" />



À quand la même chose pour Authenticode et autres certificats de signature du code ? Qui me suit ? <img data-src=" /><img data-src=" />

votre avatar

Euh non.



C’est pas tant le bug en soi que je reproche, mais que ce soit arrivé en prod. Quand on veut aller trop vite ou qu’on ne fait pas le cycle complet de validation, on arrive à ce genre d’erreur.

votre avatar







gvaudan a écrit :



parce que vous croyez vraiment que le gratuit c’est gratuit ?





Ben, comme son nom l’indique…oui.


votre avatar







ErGo_404 a écrit :



et être financé par les dons de différentes entreprises et associations qui voient un intérêt dans le tout-https.&nbsp;





et quel est l’intérêt majeure et commun a toute entreprise ?

gagner des sous….



Dans le genre vous croyez toujours que les fondations caritatives sont philanthropes…



On est jamais mieux exposés que lorsque l’on se croit a l’abri. BaBa de la sécurité informatique.


votre avatar

Perso, j’ai essayé de mettre un certificat sur mon serveur mais pas moyen…. J’utilise les noms de domaine en fr.nf de azote.org et devinez quoi ? Y’a trop de demandes pour ce TLD ! Allez hop refusé <img data-src=" />



Bref, je reste donc avec mes certifs auto-signé…

votre avatar

Bon, comme c’est jour du bac philo, tu as 4 heures :

Le gratuit de google est-il gratuit ?

votre avatar







gvaudan a écrit :



et quel est l’intérêt majeure et commun a toute entreprise ?

gagner des sous….



Dans le genre vous croyez toujours que les fondations caritatives sont philanthropes…



On est jamais mieux exposés que lorsque l’on se croit a l’abri. BaBa de la sécurité informatique.





Gagner des sous… ou en économiser.



Regarde OVH par exemple, ils fournissent du https sur tout leurs mutus, c’est automatisé, ça leur coute moins cher que si c’était géré «manuellement».


votre avatar







fred42 a écrit :



Bon, comme c’est jour du bac philo, tu as 4 heures :

Le gratuit de google GNU/Linux est-il gratuit ?





histoire de pimenter un peu <img data-src=" />


votre avatar

Ah non ! Là, c’est un autre devoir de philo. Et sa réponse risque d’être différente.

votre avatar







ErGo_404 a écrit :



Concrètement ça ne coûte pas grand chose de générer des certificats. Le certificat à 300€ n’est pas de meilleure qualité que celui qui est gratuit, tout ce qui compte c’est en gros que les éditeurs de navigateurs aient confiance dans celui qui édite le certificat.

Une fois que c’est le cas, ça peut tourner sur quelques serveurs de rien du tout, et être financé par les dons de différentes entreprises et associations qui voient un intérêt dans le tout-https.







La différence de prix est justifié par les assurances derrière.



Par exemple, si letsencrypt se fait voler sa clé privée et qu’un site se fait passer pour toi ou révoque ton certificat, ta perte de business ne sera pas indemnisé, c’est pour ta pomme.



Si tu prends un certificats a 300€ avec assurance te couvrant jusqu’à 300 000 €, ta perte de business due induit par la compromission de la CA sera couverte à hauteur de 300 000 €.



Et c’est sans parler des certifiat EV, tu dois fournir des preuves d’identité pour pouvoir t’en faire éditer un. Et ca, ca coute de l’argent, donc certificat &gt; 0€.


votre avatar

Un petit caractère de plus, genre un . ou un + suivant le code, et hop, on concatène au lieu d’affecter une nouvelle valeur. Ensuite, on fait une recette à l’arrache avec que des tests unitaires sur une seule adresse au lieu d’une liste, et on se rend compte du problème en prod.&nbsp;<img data-src=" />

votre avatar







fred42 a écrit :



Bon, comme c’est jour du bac philo, tu as 4 heures :

Le gratuit de google est-il gratuit ?





Ben, pour moi, oui si je les utilisaient. Ils ne me coûtent rien. Je ne donne aucune contre partie financière.


votre avatar







gvaudan a écrit :



et quel est l’intérêt majeure et commun a toute entreprise ?

gagner des sous….





Pas toujours. Certains le font par pure philanthropie, Mozilla par exemple. L’amélioration du web (et donc de sa sécurtié) font partie de ses buts officiels, comme indiqué dans son manifeste. Plus il y a de sites en HTTPS, mieux le web se portera. Pour eux financer Let’s Encrypt ne coûte pas plus cher que payer les développeurs qui font Firefox, àa fait partie de leur “mission”.


votre avatar

Si tu crois que toutes les entreprises dépensent chaque euro dans le but de gagner directement de l’argent, alors tu ne comprends pas le principe du mécénat.



De la même façon, tu dois avoir du mal à comprendre l’intérêt pour les grosses boîtes de contribuer à l’open source, puisque ça ne leur rapporte pas directement de l’argent.



Ce projet est notamment poussé par la fondation Mozilla, qui fournit entre autres … Firefox. Qui est gratuit. Et qui ose dire que Firefox est un projet qui n’est pas respectueux de ses utilisateurs ?

Si c’est concevable pour Firefox, pourquoi ça ne le serait pas pour Let’s Encrypt ?

votre avatar

Non mais les gars, ils ont pas d’environnement d’intégration et de préprod ???

votre avatar

LOL mais alors la je dis LOL !

ce n’est pas un bug c’est une fonctionnalité.

votre avatar

Ca c’est du first troll; à 1mn après la publication !!!!!

votre avatar

et le 7 618e comportait&nbsp;les adresses des 7 167 précédents destinataires.&nbsp;



&nbsp;Ca fait quand-même 450 adresses email qui n’ont pas été divulguées…&nbsp;<img data-src=" />



&nbsp;Bon, évidemment le gag de CommitStrip tombe mal :&nbsp;http://www.commitstrip.com/fr/2016/06/13/the-end-of-an-expensive-era/Edit : le lien passe pas : &nbsp;&nbsphttp://www.commitstrip.com/fr/2016/06/13/the-end-of-an-expensive-era/



&nbsp;

votre avatar

Je regrette de ne pas m’y être inscrit du coup, j’aurai eu une base de 7000 emails potentiellement intéressé par l’hebergement, les services saas, sysadmin… Rahhhh <img data-src=" />

votre avatar

Ouf je croyais à un bug dans leur certificat !

C’est quand même moins grave…

votre avatar

C’est clair que c’est beaucoup moins grave. Perso, je suis bien content de m’y être inscrit quasi dès le début… et de ne pas avoir reçu leur mail ! Sinon, je serais en train de compter le nombre d’adresse dans mon mail pour savoir combien de personnes ont eu la mienne.

votre avatar

Mais non, il faut bien sauver le pauvre dépressif!

votre avatar







Jarodd a écrit :



Ouf je croyais à un bug dans leur certificat !

C’est quand même moins grave…





+1. J’ai eu peur mais au final, c’est pas grand chose.


votre avatar







Ricard a écrit :



+1. J’ai eu peur mais au final, c’est pas grand chose.





parce que vous croyez vraiment que le gratuit c’est gratuit ?


votre avatar

Dont la mienne <img data-src=" />



EDIT: En fait j’avais pas capté que les adresses étaient dans le corps du message, je pensais que tout le monde avait été mis en destinataire du même mail. Donc je viens de compter, j’étais le 2630ème !

votre avatar

2630 : en progrès, continuez les efforts <img data-src=" />

Let’s Encrypt : un « bug » a divulgué jusqu’à 7 617 adresses emails

  • Quand des adresses email sont automatiquement ajoutées

  • En 68 minutes : problème détecté, envoi stoppé et publication d'un communiqué

  • Des mesures pour éviter que cela ne se reproduise

Fermer