Mercredi, la Direction interministérielle du numérique et du système d’information et de communication de l’Etat (DINSIC) lançait son application Tchap destinée « aux communications des agents de l’État, pour échanger des informations sensibles ou moins sensibles ».
Problème, dès jeudi le compte Elliot Alderson (alias Baptiste Robert) monte rapidement au créneau : « Je viens de regarder #Tchap la nouvelle appli sécurisé du gouvernement français. Et, put*** le résultat est horrible ». Il n'en dira pas beaucoup plus.
L'information est remontée rapidement jusqu'aux équipes de Matrix (dont se sert Tchap), qui indiquent être au courant d'un bug de sécurité sur le déploiement français de cette application. La nuance est importante.
« Ce n’est pas un bug du protocole, mais de l'implémentation, qui a affecté leur configuration », affirment les développeurs. Dans un autre Tweet, Matrix en rajoute une couche : « le problème est spécifique au déploiement de la DINSIC et nous travaillons avec eux pour déployer un correctif ».
Un correctif a été déployé dans la foulée. Il permet de « limiter correctement l’enregistrement à un domaine précis » lors de l'inscription. Des détails techniques sont disponibles par ici et dans ce dépôt GitHub.
Matrix en profite pour tacler au passage Baptiste Robert en ajoutant qu'un message privé aurait été apprécié en amont, notamment pour assurer une bonne promotion des solutions FLOSS (Free/Libre Open Source Software) auprès des gouvernements.
Dans tous les cas, Matrix affirme que personne d'autre que Baptiste Robert n'a exploité cette vulnérabilité. Elle en profite pour revérifier les autres déploiements, à la recherche d'un éventuel problème similaire.
Cela reste un coup dur pour Matrix (et Tchap), notamment après le piratage d'il y a quelques jours seulement.
Commentaires (16)
#1
L’article d’Elliot Alderson expliquant les détails de la faille:https://medium.com/@fs0c131y/tchap-the-super-not-secure-app-of-the-french-government-84b31517d144?sk=59e15e44ba75dd78d7248262a4c8f0b7
#2
#3
Tu peux faire un copier/coller. Ça marche. Ou cliquer là.
#4
Sympa les explications techniques !
" />
#5
Ce que je trouve exceptionnel, c’est que le principal argument (édit: sur la sécurité) utilisé par les partisans de l’open source est: “Tout le monde voit les sources, donc les bugs sont corrigés plus vite”.
" />
Un hacker (même si c’est pas un gros méchant) se fend lors de sa quête de la faille d’un “They love open source, me too!”
ps: j’ai pas dit que j’étais “pour” ou “contre” l’open source, mais je trouve ca très ironique
#6
Au-delà des bugs corrigés plus rapidement, le fait que les sources soient publiques font que l’éditeur ne peut pas détourner les données pour son profit : tout le monde voit ce que fait le code.
Après, oui, il est certain que de même que les développeurs peuvent voir les failles pour les corriger, des attaquants peuvent en faire autant. S’ils choisissent d’étudier ce produit en particulier. Tout en sachant que les failles d’un produit ont peut-être été mitigées (ou agrandies) par l’implémentation, en conjonction par exemple avec d’autres produits. Ca coûte cher à étudier, il va falloir s’assurer pour l’attaquant que ce soit rentable. :)
J’ignore totalement combien d’attaquant cherchent des failles de cette façon. Un certain nombre sur les plugins WordPress, j’imagine, au vu des sniffers qui testaient le mien pour voir si tel ou tel plugin était installé. ^^
#7
#8
L’éditeur peut publier un code open source autant qu’il veut, rien ne l’empêche de déployer une version différente pour détourner les données
#9
oui, le hack en est même pas un, c est juste un vulgaire bug de configuration, où l email n est pas correctement vérifiée:
https://matrix.org/blog/2019/04/18/security-update-sydent-1-0-2/
sydent uses python’s email.utils.parseaddr function to parse the
input email address before sending validation mail to it, but it turns
out that if you hand parseaddr an malformed email address of form [email protected]@c.com, it silently discards the @c.com prefix without error. The result of
this is that if one requested a validation token for ‘[email protected]@important.com’, the token would be sent to ‘[email protected]’, but the address ‘[email protected]@important.com’
would be marked as validated. This release fixes this behaviour by
asserting that the parsed email address is the same as the input email
address.synapse’s checking of email addresses relies on regular
expressions in the home server configuration file. synapse does not
validate email addresses before checking them against these regular
expressions, so naive regular expressions will detect the second domain
in email addresses such as the above, causing them to pass the check.
#10
Mais ça te permet de le compiler toi même depuis les sources si tu n’as pas confiance.
#11
#12
Quand on prétend faire de l’open source sécurisé, on garantit que les build sont reproductibles. Ça veut dire que si l’on reconstruit l’application de zéro à partir des sources, on peut vérifier que le résultat de la compilation est identique au bit près au binaire distribué.
#13
#14
Cela reste un coup dur pour Matrix (et Tchap), notamment après le piratage d’il y a quelques jours seulement.
Je sais pas, après trouze mille incidents de sécurité de données personnelles Facebook existe encore.
Donc en quoi c’est un coup dur ? Un bug ça se corrige, pas la peine d’enfoncer le clou.
#15
D’autant plus que dans les deux cas, c’est sans rapport avec le logiciel ou le protocole :
#16
Non, puisque tu peux héberger toi-même le service. Ce que fait l’Etat. De son point de vue il n’est pas un tiers.