Dans une note publiée le 11 avril 2019, les développeurs de Matrix ont annoncé avoir découvert et heureusement corrigé une faille de sécurité. Précisons que Matrix est un standard ouvert pour la communication interopérable, décentralisée et en temps réel sur IP. Il peut être utilisé dans la construction d’une messagerie instantanée, la signalisation VoIP/WebRTC et la communication IdO (Internet des objets).
Ce piratage a contraint les développeurs à mettre hors ligne, pendant plusieurs heures, les serveurs hébergeant Matrix.org et Riot.im (un logiciel de messagerie open source basé sur le protocole de communication Matrix). Malheureusement, cette opération a entrainé, pour certains utilisateurs, la perte d’accès à leurs messages chiffrés.
« C’était un choix difficile à faire. Nous avons comparé le risque, pour certains utilisateurs, de perdre l’accès à leurs messages chiffrés au risque que tous les comptes d’utilisateurs soient vulnérables via les jetons d’accès compromis. Nous espérons que vous comprendrez pourquoi nous avons pris la décision de donner la priorité à l’intégrité des comptes plutôt qu’à l’accès aux messages chiffrés, mais nous sommes désolés pour le désagrément que cela a pu causer », ont-ils ajouté.
Il note ensuite une violation du célèbre principe de sécurité connu sous le nom de « principe du moindre privilège » : une tâche ne doit bénéficier que de privilèges strictement nécessaires à son exécution. « L’escalade aurait pu être évitée si les développeurs n’avaient que l’accès dont ils avaient absolument besoin et ne disposaient pas d’un accès root à tous les serveurs », écrit le hacker.
Il évoque encore bien d’autres mauvaises pratiques de sécurité. Il explique par exemple que le piratage aurait pu être détecté par une meilleure surveillance des fichiers log et des alertes sur les comportements anormaux. Après tout, « le compromis a commencé il y a plus d’un mois », dit-il. Il explique aussi qu’alors qu’il était à la recherche de moyens d’obtenir un niveau d’accès plus élevé et d’explorer davantage le réseau de Matrix, il est tombé sur des clés GPG que les développeurs utilisaient pour signer leurs paquets Debian. « Cela m’a donné beaucoup d’idées néfastes », dit-il. Avant de donner un conseil : « Je vous recommande de ne conserver aucune clé de signature sur les hôtes de production, mais de vous connecter dans un environnement sécurisé. »
Bref, pour des professionnels qui développent un protocole de communication qui a une très bonne réputation en matière de sécurité, c’est un peu paradoxal de voir une telle négligence. Rappelons que le projet Matrix a déjà retenu l’attention de certains Etats, y compris la France. C’est en effet Matrix et Riot que la DINSIC a choisi pour mettre les hauts fonctionnaires et élus français à l’abri à la surveillance d’un pays étranger, estimant que les messageries chiffrées populaires telles que WhatsApp et Telegram sont de moins en moins crédibles. Ce piratage peut donc porter un petit coup à la réputation de Matrix. Sur GitHub, les développeurs du protocole ont dû modérer les messages des internautes qui avaient tendance à témoigner leur respect au hacker alors qu’il expliquait son exploit. GitHub est également intervenu pour retirer toutes les discussions ( issues ) ouvertes par le hacker. Mais les liens sont disponibles via Wayback Machine.
maintenant je comprends mieux pourquoi je n’arrivais plus à me logger sur mon Riot