top of page

UE : une vulnérabilité majeure corrigée dans le système d’authentification eIDAS

UE : une vulnérabilité majeure corrigée dans le système d'authentification eIDAS

Les autorités européennes ont publié aujourd’hui un correctif pour le système eIDAS. Le correctif corrige deux failles de sécurité qui auraient pu permettre à un attaquant de se faire passer pour n’importe quel citoyen ou entreprise de l’UE lors de transactions officielles. Le système eIDAS, pour electronic IDentification, Authentication and Trust Service, est un système électronique très complexe et sécurisé par chiffrement. Son but ? Gérer les transactions électroniques et les signatures numériques entre les États membres de l’UE, les citoyens et les entreprises.

L’UE a créé l’eIDAS en 2014 pour permettre aux gouvernements, aux citoyens et aux entreprises des États membres d’effectuer des transactions électroniques transfrontalières qui peuvent être vérifiées dans les bases de données officielles de tous les pays, quel que soit le pays d’origine de la transaction. eIDAS-Node est le progiciel officiel que les organismes gouvernementaux exécutent sur leurs serveurs pour prendre en charge les transactions compatibles eIDAS dans leurs bases de données privées.

En raison de ce rôle crucial, toute vulnérabilité du logiciel eIDAS-Node peut permettre aux pirates de falsifier les transactions numériques officielles de l’UE, telles que les paiements d’impôts, les virements bancaires, les envois de marchandises et autres.

Deux vulnérabilités trouvées dans eIDAS-Node

Dans un rapport repéré en exclusivité par ZDNet la semaine dernière, des chercheurs en sécurité de SEC Consult ont déclaré avoir trouvé deux vulnérabilités de ce type qui pourraient permettre à un attaquant de se faire passer pour tout citoyen ou entreprise de l’UE. Les chercheurs de SEC Consult ont déclaré avoir constaté que les versions actuelles du paquet eIDAS-Node ne parviennent pas à valider les certificats utilisés dans les opérations eIDAS, permettant aux pirates de falsifier le certificat de tout autre citoyen ou entreprise eIDAS.

Pour réaliser l’attaque, un acteur de la menace n’a qu’à initier une connexion malveillante à un serveur eIDAS-Node de n’importe quel État membre et à fournir de faux certificats lors du processus d’authentification initial. “Nous avons démontré cette attaque dans notre installation en utilisant l’application fournie par la Commission européenne. Par conséquent, nous nous attendons généralement à ce que cette attaque soit faisable”, a déclaré Wolfgang Ettlinger, consultant principal en sécurité chez SEC Consult, à ZDNet dans un courriel reçu ce mardi.

“Cependant, nous ne disposons pas d’informations détaillées sur la configuration ou les mesures de sécurité supplémentaires des systèmes de production déployés “, a ajouté M. Ettlinger. “Nous ne sommes donc pas en mesure de donner des informations sur l’État membre qui a été affecté et dans quelle mesure.” Interrogé par ZDNet, un porte-parole de la division CONNECT de la Commission européenne a refusé de commenter publiquement ces vulnérabilités.

Une mise à jour du progiciel eIDAS-Node est prévue aujourd’hui (v2.3.1), ainsi qu’un avis de sécurité invitant les États membres à mettre à jour eIDAS-Node. Les détails techniques sur les deux vulnérabilités sont disponibles dans l’avis de sécurité de SEC Consult qui doit être mis en service plus tard dans la journée.

Article “Major vulnerability patched in the EU’s eIDAS authentication system” traduit et adapté par ZDNet.fr

0 vue0 commentaire

Komentarze


bottom of page