En décembre dernier, l’américain Zach Harris reçoit par email une proposition d’embauche par Google. Comme le relate « Wired », le mathématicien ne se montre alors pas intéressé, mais il remarque une chose étrange : la signature DKIM, qui permet d’authentifier le domaine de provenance d’un courriel, n’est chiffrée qu’avec une clé de 512 bits. Ce qui est très peu, surtout pour une société technologique telle que Google.
Il pense alors qu’il s’agit d’un jeu pour recruter. Google s’appuie souvent sur des problèmes mathématiques et informatiques pour attirer les hauts potentiels. Il décide donc de casser cette clé de chiffrement. « C’est faisable en 72 heures, en dépensant 75 dollars sur Amazon Web Services », explique-t-il. Une fois en possession du Graal, il décide d’envoyer un mail à Larry Page en se faisant passer pour Sergey Brin, et inversement. Une manière de leur dire « J’ai résolu l’énigme, les gars ! » Mais aucune réponse ne vient de la part de Google. Silence radio.
Alerte de sécurité
Deux jours plus tard, c’est la surprise. Les emails de Google sont signés avec une clé de 2048 bits, totalement inviolable. Zach Harris se rend compte alors qu’il ne s’agissait pas d’un jeu, mais d’une véritable faille de sécurité. Par curiosité, il vérifie les signatures DKIM d’autres géants du web. Même constat accablant : eBay, Yahoo, Twitter et Amazon n’utilisent qu’une clé de 512 bits.
Chez Paypal, LinkedIn, US Bank et HSBC, la clé a un taille de 768 bits. C’est mieux, mais toujours insuffisant aux yeux de Zach Harris. « C’est impossible à casser par un particulier comme moi, mais faisable par une grande organisation disposant d’importantes ressources informatiques. Le gouvernement iranien par exemple », souligne-t-il.
A ce jour, la plupart des entreprises testées ont rehaussé le niveau de sécurité de leur messagerie, mais pas toutes. C’est pourquoi Zach Harris a décidé de sortir de son silence et a raconté l’histoire. Une alerte de sécurité vient d’être publiée en conséquence par US-CERT.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.