Nouvelles Du Monde

Graves failles dans les plateformes de stockage cloud E2EE utilisées par des millions de personnes

Plusieurs plates-formes de stockage cloud chiffrées de bout en bout (E2EE) sont vulnérables à un ensemble de problèmes de sécurité qui pourraient exposer les données des utilisateurs à des acteurs malveillants.

Analyse cryptographique de Chercheurs de l’ETH Zurich Jonas Hofmann et Kien Tuong Turong ont révélé un problème avec les services Sync, pCloud, Icedrive, Seafile et Tresorit, utilisés collectivement par plus de 22 millions de personnes.

Le analyse était basé sur le modèle de menace d’un attaquant contrôlant un serveur malveillant capable de lire, modifier et injecter des données à volonté, ce qui est réaliste pour les acteurs étatiques et les pirates informatiques sophistiqués.

L’équipe commente que bon nombre des failles découvertes s’opposent directement aux promesses marketing des plateformes, créant ainsi une prémisse trompeuse et fausse pour les clients.

Résultats

Les chercheurs de l’ETH Zurich ont découvert de graves vulnérabilités dans les cinq produits, notamment des implémentations permettant à un acteur malveillant d’injecter des fichiers, de falsifier des données ou d’accéder aux fichiers des utilisateurs. Voici un aperçu des problèmes découverts :

  • SynchroniserLes vulnérabilités de incluent des clés non authentifiées, permettant aux attaquants d’injecter leurs propres clés de chiffrement et de compromettre les données. L’absence d’authentification par clé publique dans le partage de fichiers permet en outre aux attaquants de décrypter les fichiers partagés. Les liens partagés exposent les mots de passe au serveur, rompant ainsi la confidentialité. De plus, les attaquants peuvent renommer ou déplacer des fichiers sans être détectés et même injecter des dossiers dans le stockage de l’utilisateur, les faisant apparaître comme si l’utilisateur les avait téléchargés.
  • pCloudLes principaux problèmes proviennent de clés non authentifiées, qui permettent aux attaquants d’écraser les clés privées et de forcer le chiffrement avec des clés contrôlées par l’attaquant. Les clés publiques ne sont pas non plus authentifiées, ce qui permet aux attaquants d’accéder aux fichiers cryptés. De plus, les attaquants peuvent injecter des fichiers, manipuler des métadonnées telles que la taille du fichier et réorganiser ou supprimer des fragments en raison du manque d’authentification dans le processus de fragmentation.
  • Entraînement sur glaceL’utilisation d’un cryptage CBC non authentifié le rend vulnérable à la falsification de fichiers, permettant aux attaquants de modifier le contenu des fichiers. Les noms de fichiers peuvent également être tronqués ou modifiés. Le processus de segmentation manque d’authentification, ce qui signifie que les attaquants peuvent réorganiser ou supprimer des fragments de fichiers, compromettant ainsi l’intégrité des fichiers.
  • Fichier marin est vulnérable aux déclassements de protocole, ce qui facilite le forçage brutal des mots de passe. Son utilisation du cryptage CBC non authentifié permet la falsification de fichiers, et le chunking non authentifié permet aux attaquants de manipuler des fragments de fichiers. Les noms et emplacements de fichiers ne sont pas non plus sécurisés et le serveur peut injecter des fichiers ou des dossiers dans le stockage utilisateur.
  • TrésoritL’authentification par clé publique de repose sur des certificats contrôlés par le serveur, que les attaquants peuvent remplacer pour accéder aux fichiers partagés. Les métadonnées sont également vulnérables à la falsification, permettant aux attaquants de modifier les détails de création de fichiers et d’induire les utilisateurs en erreur.

Parmi le groupe de cinq examiné, Tresorit s’en sort relativement mieux, car les problèmes découverts n’exposent pas directement le contenu des fichiers ni ne permettent une manipulation facile des données.

Présentation du fournisseur de résultats de sécuritéAperçu des résultats des tests de sécurité par fournisseur et classe d’attaque
Source : ETH Zurich

Divulgation et réponses des fournisseurs

Les chercheurs ont informé Sync, pCloud, Seafile et Icedrive de leurs découvertes le 23 avril 2024 et ont contacté Tresorit le 27 septembre 2024 pour discuter des améliorations potentielles de leurs conceptions cryptographiques particulières.

Icedrive a décidé de ne pas résoudre les problèmes, Seafile a promis de corriger le problème de rétrogradation du protocole lors d’une future mise à niveau, tandis que Sync et pCloud n’avaient pas répondu au 10 octobre 2024.

BleepingComputer a contacté les cinq fournisseurs de services cloud pour obtenir un commentaire sur les recherches de Hofmann et Truong, et nous avons reçu les déclarations ci-dessous.

Synchroniser: Notre équipe de sécurité a pris conscience de ces problèmes la semaine dernière et nous avons depuis pris des mesures rapides pour les résoudre. Nous avons également contacté l’équipe de recherche pour partager les résultats et collaborer sur les prochaines étapes.

Le problème potentiel de fuite de données sur les liens (tel que signalé) a déjà été résolu, et nous travaillons actuellement à résoudre rapidement les problèmes potentiels restants. Comme le souligne le document de recherche, ces vulnérabilités existent sous prétexte d’un serveur compromis. Rien ne prouve que ces vulnérabilités ont été exploitées ou que les données des fichiers ont été consultées.

Nous comprenons qu’en utilisant Sync, la confiance nous est accordée. Mais la promesse du chiffrement de bout en bout est que vous n’avez besoin de faire confiance à personne, pas même à nous. Ce concept est au cœur de notre modèle de chiffrement et au cœur de ce que nous faisons.

Nous nous engageons à résoudre ces problèmes.

Trésorit: L’étude de l’équipe de recherche de classe mondiale de l’ETH Zürich a examiné la possibilité de dix classes d’attaques sur les systèmes de stockage cloud cryptés de bout en bout, y compris les violations de confidentialité et les vulnérabilités d’injection de fichiers. Les résultats ont confirmé que la conception réfléchie et les choix cryptographiques de Tresorit ont rendu notre système largement insensible à ces attaques. Bien que nous soyons satisfaits de ces résultats, nous reconnaissons également le potentiel inexploité mis en évidence par la recherche.

La présentation des empreintes digitales de clé publique aux utilisateurs lors du partage de dossiers fait partie de notre feuille de route 2025. Cela empêchera complètement les attaques par remplacement de clé en permettant une vérification hors bande. Nous le faisons déjà pour les invitations professionnelles afin que l’utilisateur puisse obtenir des preuves cryptographiques sur son futur administrateur de données avant de nous rejoindre. Notre logiciel client évalué selon les critères communs EAL4 + AVA_VAN.5 – une première parmi les services de stockage cloud – nécessite également une authentification par clé hors bande pour le partage de dossiers.

Même si certaines métadonnées, telles que la taille du fichier, l’heure de la dernière modification et l’appartenance aux dossiers, sont partagées avec les serveurs, elles sont également stockées sous forme de données authentifiées cryptographiquement pour empêcher toute falsification. Ces métadonnées doivent également être connues côté serveur : pour la bonne comptabilité du quota de stockage de nos clients et pour appliquer les règles d’accès côté serveur comme couche de sécurité supplémentaire.

Chez Tresorit, la sécurité est notre priorité absolue et nous nous engageons à nous améliorer continuellement, en utilisant ces informations pour renforcer davantage notre plateforme. Cette recherche nous aide non seulement à évoluer, mais guide également l’ensemble du secteur vers des solutions plus sécurisées. La sécurité est le fondement de tout ce que nous construisons, et nous sommes fiers de collaborer avec des institutions universitaires comme l’Université technique de Budapest pour garantir que nous restons à la pointe de l’innovation en matière de stockage cloud sécurisé.

Fichier marin: Nous n’avons rien à commenter pour le moment.

Entraînement sur glace et pCloud n’a pas répondu à la demande de déclaration de BleepingComputer.

#Graves #failles #dans #les #plateformes #stockage #cloud #E2EE #utilisées #par #des #millions #personnes

Facebook
Twitter
LinkedIn
Pinterest

Leave a Comment

Save my name, email, and website in this browser for the next time I comment.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

RECENT POSTS
ADVERTISEMENT
Tags
Afrique Allemagne Asie Bundesliga Chine Crime Culture dernières nouvelles Des sports Divertissement Divertissement entreprise Football France funny fyp Guerre International Israël journal quotidien la criminalité MLB monde musique Médias NFL NOUS nouvelles politique Pomme Russie Santé santé Science Sciences et technologies Société sport Sports technologie texte pour parler Ukraine vidéo Économie États Unis économie