Suite à son audit de trois solutions d’implémentation du format OpenPGP (GnuPG, OpenPGP.js et End-to-End), l’ANSSI a décelé deux méthodes théoriques permettant de déchiffrer les correspondances protégées par ce format. Ce dernier, normalisé par l’IETF, permet de signer et d’authentifier les messages échangés.
Les travaux de l’ANSSI avaient déjà été présentés lors de la conférence internationale CT-RSA le 22 avril 2015. La première vulnérabilité profite de la possibilité de modifier le contenu d’un message chiffré sans prendre connaissance du contenu. L’autre vulnérabilité concerne la protection que la RFC 4880 a introduite afin de prévenir l’altération des messages. Le protocole mis en place contient une faille permettant à un attaquant de convertir le message dans une version antérieure non protégée.
Source : Numerama
