SEC Consult vient de publier une alerte avertissant les gens à propos de cette faille. La société a mis en évidence le problème au sein du système eIDAS (electronic IDentification, Authentication and trust Services (le règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques), en s’authentifiant en tant que Johann Wolfgang von Goethe, l’écrivain allemand du XVIe siècle.
eIDAS a été créé à la suite d’un règlement européen de 2014 définissant les règles d’identification électronique en Europe. Le règlement, entré en vigueur en 2016, oblige les pays de l’UE à s’identifier mutuellement depuis le milieu de l’année dernière. Il couvrait une gamme de moyens d’identification tels que les signatures électroniques et l’authentification de sites web.
Le problème est qu’il existe une faille dans le logiciel utilisé pour gérer ce processus d’identification transfrontalier, appelé eIDAS-Node. Chaque pays doit utiliser une copie de ce logiciel pour connecter ses propres systèmes de gestion d’identité nationale à d’autres au sein de l’UE, créant ainsi une passerelle d’identité transfrontalière. En utilisant cette passerelle, les citoyens britanniques, par exemple, pourraient s’identifier pour utiliser des services électroniques en Allemagne, comme s’inscrire dans une université ou ouvrir un compte bancaire.
Comme de nombreux systèmes à identité fédérée, eIDAS utilise le langage SAML (Security Assertion Markup Language). Il s’agit d’un protocole XML provenant de l’organisation à but non lucratif OASIS (Organization for the Advancement of Structured Information Standards). Il permet aux utilisateurs de prouver leur identité auprès de plusieurs fournisseurs de services en utilisant un seul identifiant. La version 2, lancée en 2005, prend en charge des fonctionnalités telles que le chiffrement et l’échange d’informations relatives à la vie privée telles que le consentement par exemple. Ce protocole est puissant mais complexe.
La faille réside dans le logiciel d’intégration fourni par l’UE pour le couplage des nœuds eIDAS. Son module d’analyse syntaxique SAML permettrait à un attaquant d’éviter le processus de vérification de la signature, signifiant ainsi qu’il pourrait altérer un message SAML pour emprunter l’identité d’une personne, quelle qu’elle soit.
Lorsqu’un nœud eIDAS fournit un service à une personne dans un autre pays, il demande au nœud eIDAS de ce pays d’envoyer un message d’authentification. Il doit vérifier que le message est signé par un nœud de confiance pour éviter les imposteurs.
Pour ce faire, il recherche un certificat numérique. Ainsi, il vérifie d’abord son stock de certificats de confiance en local, appelée ‘trust store’ (stock approuvé). S’il ne peut pas trouver de certificat, il recherche d’autres certificats (supplémentaires) dans le message SAML.
Le problème est que, lorsque le logiciel recherche ces autres certificats, il vérifie uniquement si le DN (‘Distinguished Name’ ou encore ‘Nom Absolu’) de l’autorité qui a émis le certificat correspond au DN de l’autre système eIDAS. Le logiciel passe à côté d’une étape importante en ne vérifiant pas si le certificat de l’émetteur a effectivement signé le certificat de l’autre système eIDAS. SEC Consult a également déclaré que :
De plus, d’autres vérifications, telles que la question de savoir si les contraintes de base du certificat de l’émetteur lui permettent d’agir en tant qu’émetteur de certificat, ne sont pas effectuées.
Heureusement, l’UE a réglé le problème après que SEC Consult a contacté les autorités compétentes le 4 juillet dernier. Le logiciel a été mis à jour et publié pour un téléchargement global le mercredi 28 octobre.
Pour exploiter cette vulnérabilité, un attaquant aurait dû prendre le contrôle d’un nœud eIDAS ou en bien en ‘emprunter’ un. Les chercheurs ont souligné qu’une autre étude sur la sécurité eIDAS datant de l’année dernière n’avait pas détecté ce bug, rendant ainsi probable, selon eux, le fait qu’il n’ait été introduit que récemment.
Billet inspiré de Researchers find hole in EU-wide identity system, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.