Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

protonmail: Comment pirater un webmail«anti-espion" (vidéo)

8 Juillet 2014 , Rédigé par nicko

protonmail: Comment pirater un webmail«anti-espion" (vidéo)

Un chercheur en sécurité a démontré qu'une attaque par injection classique via JavaScript contre ProtonMail est réalisable- le système de webmail qui est développé par boffins et le CERN pour résister à la surveillance par les agences de renseignement du monde.

L'expert en sécurité allemand Thomas Roth a publié une vidéo ce week-end montrant comment il a exploité une vulnérabilité triviale trouvé dans les systèmes de ProtonMail: en utilisant le mode développeur du navigateur Chrome, il était en mesure de modifier un message sortant est d'inclure du code JavaScript arbitraire, qui a été exécuté dans le navigateur de la victime lors de l'ouverture du le site ProtonMail.ch.

Ce code est libre d'accéder au compte de la victime et causer davantage de mal. ProtonMail crypte et décrypte les messages dans le navigateur avant de l'envoyer ou de réceptionner du courrier, respectivement. Ainsi, le filtrage du matériel malveillant doit être fait dans le navigateur par JavaScript côté client - mais dans ce cas ça ne l'était pas.

Roth a déclaré sur Twitter qu'il avait publié la vidéo maintenant parce ProtonMail avait fixé les défauts mis en évidence il par e-mail . Toutefois, le consortium suisse n'avait pas crédité ou averti les utilisateurs de sa découverte, selon lui, d'où sa divulgation des bugs.

"La raison pour laquelle j'ai posté la vidéo c'est parce qu'ils ne communiquent pas sur les problèmes de sécurité à leurs utilisateurs - il ne recoive même pas une alerte quand les bugs ont été corrigés", a déclaré Roth El Reg.

«Je crois que pour un service qui est utilisé en tant que « communication sécurisée "la confiance est très important - et si elles cachent les vulnérabilités à leurs utilisateurs, je ne peux pas leur faire confiance."

En réponse, ProtonMail a déclaré que les problèmes mis en évidence par Roth ont été fixés, et ne sont plus un problème.

Mais il ne dit quelque chose sur l'état d'avancement dans l'industrie quand un système conçu à partir de zero pour être sûr qui est vaincu par ce qui est un vecteur d'attaque relativement commun.

Mise à jour:

Alors que ProtonMail a fixé les bugs en surbrillance, la société a déclaré qu'elle souhaiterait des conseils de sécurité supplémentaire.

"ProtonMail fait constamment des améliorations de la sécurité grâce à notre processus bêta et nous apprécions toute l'aide que nous avons reçu de la communauté en nous aidant pour rendre ProtonMail meilleur. Le concept de cryptage côté client est relativement nouveau et vient avec ses propres défis en matière de sécurité que nous travaillons avec diligence pour faire face, "la tenue dit dans une déclaration à El Reg après notre histoire a été publiée.

"L'équipe de sécurité ProtonMail a examiné la vidéo publiée par M. Roth et a confirmé que ce problème de sécurité particulier n'est pas présent sur la version live de ProtonMail. La vidéo de M. Roth semble utiliser une version de développement précoce de ProtonMail qui a été initialement publié le 10 mai 2014 pour des tests publics. Nous sommes en faveur de tous les efforts visant à améliorer la sécurité de ProtonMail et les enquêtes de sécurité peuvent toujours être envoyé à security@protonmail.ch ".

Bootnote

Un rappel que la mise en cryptographie sécurisé en JavaScript côté client est un travail difficile .

Source: theregister

Partager cet article

Repost 0

Commenter cet article

sécurité informatique 15/07/2014 10:30

Mettre au clair l'esprit des utilisateurs, c'est un pas pour gagner la confiance de ces derniers.
Dans le cadre de la protection de données informatiques, ceci est un point essentiel.