Une analyse complète des protocoles cryptographiques utilisés dans l’application suisse de messagerie cryptée Threema a révélé un certain nombre de failles qui pourraient être exploitées pour briser les protections d’authentification et même récupérer les clés privées des utilisateurs.
Les sept attaques couvrent trois modèles de menace différents, selon les chercheurs de l’ETH Zurich Kenneth G. Paterson, Matteo Scarlata et Kien Tuong Truong, qui ont signalé les problèmes à Threema le 3 octobre 2022. Les faiblesses ont depuis été corrigées dans le cadre des mises à jour publiées. par la société le 29 novembre 2022.
Threema est une application de messagerie cryptée utilisée par plus de 11 millions d’utilisateurs en octobre 2022. « La sécurité et la confidentialité sont profondément ancrées dans l’ADN de Threema », affirme la société sur son site Web.
Officiellement utilisé par le gouvernement suisse et l’armée suisse, il est également annoncé comme une alternative sécurisée aux côtés d’autres services tels que Signal, WhatsApp appartenant à Meta et Telegram.
Alors que Threema a été soumis à des audits de code tiers au moins deux fois – une fois en 2019 et une deuxième fois en 2020 – les dernières découvertes montrent qu’elles n’étaient pas assez approfondies pour découvrir les problèmes présents dans le « cœur cryptographique de l’application ». «
« Idéalement, toute application utilisant de nouveaux protocoles cryptographiques devrait être accompagnée de ses propres analyses de sécurité formelles (sous la forme de preuves de sécurité) afin de fournir de solides garanties de sécurité », ont déclaré les chercheurs.
En un mot, les attaques pourraient ouvrir la voie à un large éventail de scénarios d’exploitation, à savoir permettre à un attaquant de se faire passer pour un client, réorganiser la séquence de messages échangés entre deux parties, cloner le compte d’un utilisateur victime, et même tirer parti de la sauvegarde. mécanisme de récupération de la clé privée de l’utilisateur.
Les deux dernières voies d’attaque, qui nécessitent un accès direct à l’appareil de la victime, pourraient avoir de graves conséquences, car elles permettent à l’adversaire d’accéder furtivement aux futurs messages des utilisateurs à leur insu.
Un cas d’attaque par relecture et réflexion lié à son application Android a également été découvert lorsque les utilisateurs réinstallent l’application ou changent d’appareil, permettant à un mauvais acteur d’accéder aux serveurs Threema pour relire les anciens messages. Une attaque par rejeu similaire a été identifiée en janvier 2018.
Enfin et surtout, un adversaire pourrait également mettre en scène ce qu’on appelle une attaque Kompromat dans laquelle un serveur malveillant trompe un client « en cryptant involontairement un message du choix du serveur qui peut être transmis à un autre utilisateur ».
Il convient de noter que cette attaque avait déjà été signalée à Threema par le chercheur de l’Université d’Erlangen-Nuremberg, Jonathan Krebs, incitant l’entreprise à fournir des correctifs en décembre 2021 (version 4.62 pour Android et version 4.6.14 pour iOS).
« L’utilisation de bibliothèques modernes et sécurisées pour les primitives cryptographiques ne conduit pas, à elle seule, à une conception de protocole sécurisée », ont déclaré les chercheurs. « Les bibliothèques telles que NaCl ou libsignal peuvent être utilisées à mauvais escient lors de la création de protocoles plus complexes et les développeurs doivent faire attention à ne pas se laisser bercer par un faux sentiment de sécurité. »
« Alors que le mantra » ne lancez pas votre propre crypto « est désormais largement connu, il devrait être étendu à » ne lancez pas votre propre protocole cryptographique « (en supposant qu’il en existe déjà un qui réponde aux exigences du développeur) », ont-ils ajouté. « Dans le cas de Threema, le protocole C2S sur mesure pourrait être remplacé par TLS. »
Lorsqu’il a été contacté pour commenter, Threema a déclaré à breachtrace qu’il avait publié un nouveau protocole de communication appelé Ibex qui rend « certains des problèmes obsolètes », ajoutant qu’il « a agi instantanément pour mettre en œuvre des correctifs pour tous les résultats en quelques semaines ».
« Bien que certaines des découvertes […] puissent être intéressantes d’un point de vue théorique, aucune d’entre elles n’a jamais eu d’impact considérable dans le monde réel », a ajouté la société. « La plupart supposent des conditions préalables étendues et irréalistes qui auraient des conséquences bien plus importantes que la découverte respective elle-même. »
Il a également souligné que certaines des attaques misent sur l’accès physique à un appareil mobile déverrouillé sur une période prolongée, moment auquel « l’ensemble de l’appareil doit être considéré comme compromis ».
L’étude arrive près de six mois après que les chercheurs de l’ETH Zurich ont détaillé les lacunes critiques du service de stockage en nuage MEGA qui pourraient être utilisées pour casser les clés privées et compromettre complètement la confidentialité des fichiers téléchargés.
Puis, en septembre 2022, un autre groupe de chercheurs a révélé une multitude de failles de sécurité dans le protocole de communication décentralisée en temps réel de Matrix qui permettent à un opérateur de serveur malveillant de lire des messages et de se faire passer pour des utilisateurs, compromettant ainsi la confidentialité et l’authenticité du service.