Une faille dans le module de cryptage d'Office
Hongjun Wu, un cryptographe de l'Institute of Infocomm Research à ...
Hongjun Wu, un cryptographe de l'Institute of Infocomm Research à Singapour, a trouvé une faille dans le module de cryptage d'Office, du fait d'une mauvaise implémentation.
Office utilise déjà la même clé de cryptage pour coder plusieurs versions d'un même fichier, ce qui raccourcit grandement la recherche d'un passe vers le contenu, puisque le pirate peut comparer les données d'une version à une autre du fichier.
Microsoft assure de son côté que d'après une étude préliminaire, il est très difficile d'exploiter cette faille car il faut déjà posséder plusieurs versions d'un même fichier, et que le mot de passe n'ait pas été changé. Même s'il est vrai que les gens en général ne font pas plusieurs versions d'un fichier mais écrase au fur et à mesure le fichier par sa version mise à jour, la faille existe néanmoins.
Bruce Schneier, auteur de livres sur la cryptographie et responsable chez Counterpane Internet Security, est beaucoup moins indulgent envers cette erreur, qui non seulement pour lui est digne d'un niveau de "jardin d'enfants" (sûrement des enfants mutants) et c'est la deuxième car une précédente faille avait affecté Office dans sa manière de gérer les mots de passe.
Microsoft a indiqué qu'une prochaine mise à jour serait disponible.
Office utilise déjà la même clé de cryptage pour coder plusieurs versions d'un même fichier, ce qui raccourcit grandement la recherche d'un passe vers le contenu, puisque le pirate peut comparer les données d'une version à une autre du fichier.
Microsoft assure de son côté que d'après une étude préliminaire, il est très difficile d'exploiter cette faille car il faut déjà posséder plusieurs versions d'un même fichier, et que le mot de passe n'ait pas été changé. Même s'il est vrai que les gens en général ne font pas plusieurs versions d'un fichier mais écrase au fur et à mesure le fichier par sa version mise à jour, la faille existe néanmoins.
Bruce Schneier, auteur de livres sur la cryptographie et responsable chez Counterpane Internet Security, est beaucoup moins indulgent envers cette erreur, qui non seulement pour lui est digne d'un niveau de "jardin d'enfants" (sûrement des enfants mutants) et c'est la deuxième car une précédente faille avait affecté Office dans sa manière de gérer les mots de passe.
Microsoft a indiqué qu'une prochaine mise à jour serait disponible.
Source :
Cnet News
Vincent_H
le 24 janvier 2005 à 11:52
(3 683
lectures)
Actualités et brèves relatives
- 23 / 01 / 2005 : Quand le site Paypal se paye une belle peur
- 18 / 01 / 2005 : Une faille supplémentaire dans les services Google
- 16 / 01 / 2005 : Microsoft le dit : pas de faille dans les DRM
- 11 / 01 / 2005 : Et les DRM furent les vecteurs de l'insécurité
- 10 / 01 / 2005 : Trois nouvelles failles critiques pour IE
- 06 / 01 / 2005 : Une faille dans Mozilla et Firefox
- 31 / 12 / 2004 : Une faille critique découverte dans mozilla, et corrigée
- 24 / 12 / 2004 : 3 failles de sécurité non patchées dans Windows
- 22 / 12 / 2004 : Une faille dans Google Desktop
