CRY.ME, une messagerie sécurisée truffée de vulnérabilités à des fins pédagogiques

L’ANSSI et Crypto Experts ont présenté au SSTIC (le symposium sur la sécurité des technologies de l’information et des communications, qui se tenait à Rennes la semaine passée) CRY.ME, un « challenge de cryptographie sur une messagerie sécurisée ».

CRY.ME (pour CRYptographic MEssaging application) est présentée comme une plateforme de messagerie sécurisée basée sur Matrix et « contenant de multiples vulnérabilités cryptographiques à des fins pédagogiques ».

L’objectif est de tester les compétences cryptographiques des CESTIs (pour Centre d’évaluation de la sécurité des technologies de l’information), leurs capacités à identifier et, dans la mesure du possible, à exploiter plusieurs classes de vulnérabilités, de niveaux de difficultés divers.

Son GitHub précise (en anglais) que les documents afférents ont été écrits « in french » parce que ses développeurs sont Français, mais qu’ils pourraient éventuellement les traduire à l’avenir. Publié sous la licence Apache 2.0, CRY.ME s’appuie fortement sur le code source d’Element (le client Android de Matrix), son SDK et l’Android Yubikit (qui permet la prise en charge des Yubikeys), eux aussi sous licence Apache 2.0.