L'équipe de développement du programme de chiffrement open-source GnuPG rapporte que son bébé souffre d'une faille de sécurité exploitable par le biais d'un e-mail piégé et néanmoins authentifié.
Les développeurs de Gnu Privacy Guard (GnuPG) reconnaissent que leur logiciel, le pendant open-source du programme de chiffrement de données PGP (Pretty Good Privacy), connait quelques soucis. Inclus dans plusieurs distributions Linux, mais également FreeBSD, GnuPG est également très apprécié des entreprises oeuvrant dans le domaine des nouvelles technologies.
Il apparaît que la vulnérabilité autoriserait une attaque à distance, au moyen d'un courrier électronique authentifié électroniquement, dans la signature digitale duquel aurait été inclus un code malicieux. En interceptant un e-mail, et en y injectant une portion de code viral, il serait ainsi possible de duper le système, qui considérerait l'ajout à la signature comme normal. L'attaque pourrait résulter en un nombre considérable de possibilités, toutes fâcheuses : destruction de données à distance, exécution intempestive de programme malicieux, mais la firme de sécurité informatique Secunia qualifie la faille de "moyennement critique".
Cette vulnérabilité affecte toutes les versions de GnuPG antérieures à 1.4.2.2, que les utilisateurs sont vivement encouragés à adopter au plus vite.
Les développeurs de Gnu Privacy Guard (GnuPG) reconnaissent que leur logiciel, le pendant open-source du programme de chiffrement de données PGP (Pretty Good Privacy), connait quelques soucis. Inclus dans plusieurs distributions Linux, mais également FreeBSD, GnuPG est également très apprécié des entreprises oeuvrant dans le domaine des nouvelles technologies.
Il apparaît que la vulnérabilité autoriserait une attaque à distance, au moyen d'un courrier électronique authentifié électroniquement, dans la signature digitale duquel aurait été inclus un code malicieux. En interceptant un e-mail, et en y injectant une portion de code viral, il serait ainsi possible de duper le système, qui considérerait l'ajout à la signature comme normal. L'attaque pourrait résulter en un nombre considérable de possibilités, toutes fâcheuses : destruction de données à distance, exécution intempestive de programme malicieux, mais la firme de sécurité informatique Secunia qualifie la faille de "moyennement critique".
Cette vulnérabilité affecte toutes les versions de GnuPG antérieures à 1.4.2.2, que les utilisateurs sont vivement encouragés à adopter au plus vite.
Source :
ComputerWorld
