XML Encryption compromis !
mar, 25/10/2011 - 13:58
Très mauvaise période pour la sécurité... Après que SSL ait été sur la sellette récemment, voici que XML Encryption est compromis. XML Encryption est un standard du W3C pour l'échange sécurisé de données en XML avec les Web Services. XML Encryption est utilisé par Microsoft, IBM, Red Hat, entre autres, dans leurs solutions Web Services pour grands comptes.
Mais une faille dans XML Encryption vient d'être découverte par Juraj Somorovsky et Tibor Jager, deux chercheurs de l'université de Bochum. Le procédé employé a été détaillé dans une conférence le 19 octobre dernier. Un procédé qui semble d'ailleurs assez simple. A partir de bloc de données mal chiffrées en mode CBC, l'attaquant, en exploitant les messages d'erreur émis par les serveurs, est en mesure de décoder les données transférées.
Les deux chercheurs indiquent avoir ainsi attaqué avec succès une implémentation Open Source populaire de XML Encryption, ainsi que des implémentations d'entreprise.
Pour eux, les choses sont extrêmement claires : XML n'est pas sûr. Juraj Somorovsky précise: "Il n'y a pas de patch pour ce problème. Nous proposons d emodifier la norme dès que possible".
Source : Ruhr-Universität Bochum