Webtagr - Résumé de news de technologie

Vulnérabilité Kerberos obsolète : une faille critique dans Microsoft Active Directory

2025-09-10

Cet article expose une vulnérabilité Kerberos ancienne, à faible technicité et à fort impact dans Microsoft Active Directory — Kerberoasting. Cette vulnérabilité exploite le chiffrement RC4 obsolète et les mécanismes de mot de passe faibles dans Active Directory, permettant aux attaquants de cracker rapidement les mots de passe des comptes de service par le biais d'attaques par dictionnaire, obtenant ainsi un accès aux réseaux d'entreprise. Bien que Microsoft ait publié des atténuations, le manque de mesures proactives, telles que l'imposition de mises à niveau des configurations obsolètes, a conduit à une exploitation continue, comme on l'a vu dans l'attaque de ransomware de mai 2024 contre Ascension Health. Cela souligne les lacunes de Microsoft en matière de mises à jour de sécurité et la négligence des administrateurs d'entreprise en matière de sécurité.

Lire plus

(blog.cryptographyengineering.com)

Technologie

Chiffrement de bout en bout de XChat : faille de sécurité de Juicebox

2025-06-09

Matthew Garrett expose des failles de sécurité dans le nouveau protocole de messagerie chiffrée de bout en bout de X (anciennement Twitter), XChat. XChat utilise le protocole Juicebox pour stocker les clés privées des utilisateurs, les distribuant sur trois serveurs. Cependant, ces serveurs sont contrôlés par X, ce qui signifie que X peut accéder à toutes les clés des utilisateurs, compromettant ainsi le chiffrement de bout en bout. L’article explore en détail le fonctionnement et les risques potentiels de Juicebox, soulignant des failles critiques dans l'implémentation de XChat. Les clés privées des utilisateurs sont vulnérables à un accès arbitraire par X, ce qui conduit à la recommandation d’éviter d’utiliser XChat.

Lire plus

(blog.cryptographyengineering.com)

Technologie

Apple iMessage : Le chiffrement ne suffit pas

2025-03-06

Bien qu’Apple iMessage se vante d’un chiffrement de bout en bout depuis 2011, ses messages sont stockés en permanence sur les appareils et, par défaut, sont sauvegardés sur iCloud, créant une vulnérabilité de confidentialité. Malgré un chiffrement robuste, y compris la sécurité post-quantique, l’absence de fonctionnalités telles que les messages éphémères place la plateforme derrière d’autres messageries en matière de protection de la vie privée de l’utilisateur. L’article exhorte Apple à s’améliorer et à ajouter une fonctionnalité de messages éphémères pour mieux protéger les données de l’utilisateur.

Lire plus

(blog.cryptographyengineering.com)

Technologie

Le Royaume-Uni exige secrètement à Apple d'affaiblir le chiffrement d'iCloud : un cauchemar pour la vie privée

2025-02-12

Le gouvernement britannique a secrètement demandé à Apple d'affaiblir le chiffrement de bout en bout de son système de protection avancée des données (ADP) d'iCloud, soulevant de graves inquiétudes concernant la vie privée. Ce système est conçu pour protéger les données des utilisateurs contre les accès non autorisés, mais la demande du Royaume-Uni permettrait un accès secret aux données des utilisateurs. Cela menace non seulement la vie privée des utilisateurs britanniques, mais crée également un dangereux précédent pour d'autres pays, risquant de compromettre la sécurité des données dans le monde entier. L'auteur exhorte Apple à accélérer le déploiement du chiffrement de bout en bout et suggère une législation américaine interdisant aux entreprises américaines d'installer des portes dérobées de chiffrement à la demande de gouvernements étrangers.

Lire plus

(blog.cryptographyengineering.com)

Technologie chiffrement iCloud sécurité de la vie privée réglementation gouvernementale

Le talon d'Achille du modèle de l'oracle aléatoire : nouveaux défis pour la sécurité de la blockchain

2025-02-06

Cet article explore un problème de longue date en cryptographie : le modèle de l'oracle aléatoire (ROM). Largement utilisé pour prouver la sécurité des schémas cryptographiques, les hypothèses du ROM sont irréalisables dans le monde réel. L'auteur analyse un article de Khovratovich, Rothblum et Soukhanov, révélant des attaques pratiques potentielles sur les systèmes de preuve à connaissance zéro basés sur Fiat-Shamir. Ces attaques exploitent les vulnérabilités qui peuvent survenir lors du remplacement du ROM par des fonctions de hachage du monde réel. Au fur et à mesure que les preuves à connaissance zéro et leurs applications récursives dans la blockchain deviennent plus répandues, l'auteur souligne les risques de sécurité importants, pouvant entraîner des pannes du système. L'article souligne la nécessité cruciale d'audits de sécurité rigoureux des programmes utilisés dans les systèmes de preuve et explore divers scénarios d'attaque, allant de relativement légers à catastrophiques, ce qui conduit à un examen plus approfondi de la sécurité de la blockchain.

Lire plus

(blog.cryptographyengineering.com)

Technologie modèle d'oracle aléatoire sécurité blockchain

IA contre chiffrement de bout en bout : un affrontement pour la vie privée

2025-01-17

Cet article explore le conflit entre l'IA et le chiffrement de bout en bout. L'essor des assistants IA nécessite le traitement de données de plus en plus sensibles hors du périphérique, remettant en cause les protections de la vie privée offertes par le chiffrement de bout en bout. Si des entreprises comme Apple tentent d'atténuer ce problème grâce au « Private Cloud Compute » et à un matériel de confiance, cette approche repose sur une sécurité logicielle et matérielle complexe, loin d'une solution parfaite. Une préoccupation plus profonde réside dans le contrôle des agents IA puissants ; une fois déployés, l'accès devient primordial, soulevant le spectre de l'accès gouvernemental ou corporatif compromettant la vie privée.

Lire plus

(blog.cryptographyengineering.com)

Technologie vie privée IA chiffrement de bout en bout