Zach Harris. C’est le nom d’un mathématicien américain de 35 ans qui a découvert, par hasard, une grave vulnérabilité dans les courriels des grandes entreprises du web. Sur cette liste de sociétés figurent des géants comme Google, Yahoo, Paypal, Twitter et même Apple. En gros, ce qu’il a réussi à faire, c’est une méthode pour envoyer un courriel en se faisant passer pour quelqu’un d’autre, mais de telle sorte que ce courriel ait toutes les caractéristiques d’un message légitime.
Tout a commencé lorsque Zach a reçu un courriel d’un recruteur de Google lui proposant un emploi. Soupçonnant qu’il s’agissait peut-être d’une escroquerie, il a ouvert l’en-tête du message et a réalisé que c’était légitime. Il est le seul à s’être rendu compte que la clé DKIM utilisée par Google était de 512 bits, relativement faible et facile à casser.
La clé DKIM, ou DomainKeys Identified Mail, est responsable de l’authentification d’un domaine provenant d’un expéditeur de courrier électronique. Cette clé certifie qu’un message a même été envoyé en utilisant le domaine qu’il contient, donc si elle était brisée, n’importe qui pourrait l’utiliser pour envoyer un courriel supposé authentique à partir d’un domaine. Pour tester cette théorie, Zach a ensuite brisé la clé de 512 bits avec l’aide d’un serveur Amazon et a envoyé un courriel à Larry Page. Prétendre être Sergey Brin.
Même si le courriel de réponse était le sien, il n’a jamais reçu de message en retour. Mais quelques jours plus tard, en vérifiant à nouveau la clé utilisée par le domaine Google, il s’est rendu compte qu’elle était passée de 512 bits à 2048 bits, ce qui est beaucoup plus sûr et impossible à casser en utilisant un simple serveur bon marché.
Il a testé la même chose sur Paypal, Apple, Yahoo, Dell, Linkedin, Twitter et plusieurs autres. Et il a découvert qu’ils avaient tous le même problème : une clé de cryptage faible qui pouvait être cassée relativement facilement et qui permettait d’envoyer des e-mails fajuto en prétendant être authentiques.
Ce n’est pas la première fois qu’un échec de mise en œuvre de la clé DKIM est signalé : en 2010, un chercheur en sécurité a réalisé que le domaine que Facebook utilise pour ses employés avait également le problème. Mais ce devrait être le premier à attirer l’attention des médias et devrait motiver de nombreuses entreprises à modifier enfin leur mise en œuvre, en rendant leurs e-mails plus sûrs.
L’histoire complète a été racontée par Wired dans ce rapport et contient plusieurs détails sur ce que Zach a réussi à faire après avoir découvert le problème. Cela vaut vraiment la peine de le lire si vous aimez la cryptoanalyse et ce genre de choses.