matrice.org
Les développeurs du protocole open source Matrix Messenger ont publié mercredi une mise à jour pour corriger les vulnérabilités critiques de chiffrement de bout en bout qui renversent les garanties de confidentialité et d’authentification qui ont été la clé de l’ascension fulgurante de la plate-forme.
Matrix est un vaste écosystème de clients et de serveurs de chat et de collaboration open source et propriétaires entièrement interopérables. L’application la plus connue de cette famille est Element, un client de chat pour Windows, macOS, iOS et Android, mais il existe également un éventail étourdissant d’autres membres.
Hodgson
Matrix vise à peu près à faire pour la communication en temps réel ce que la norme SMTP fait pour le courrier électronique, à savoir fournir un protocole fédéré permettant aux clients utilisateurs connectés à différents serveurs d’échanger des messages entre eux. Contrairement à SMTP, cependant, Matrix offre un cryptage robuste de bout en bout, ou E2EE, conçu pour garantir que les messages ne peuvent pas être usurpés et que seuls les expéditeurs et les destinataires des messages peuvent lire le contenu.
Matthew Hodgson, co-fondateur et chef de projet de Matrix et PDG et CTO d’Element, le créateur de l’application phare Element, a déclaré dans un e-mail qu’il y avait environ 69 millions de comptes Matrix répartis sur quelque 100 000 serveurs. La société voit actuellement environ 2,5 millions d’utilisateurs actifs mensuels utilisant son serveur Matrix.org, bien qu’il ait déclaré que cela était également probablement une sous-estimation. Parmi les centaines d’organisations qui annoncent leur intention de construire des systèmes de messagerie internes basés sur Matrix figurent Mozilla, KDE et les gouvernements français et allemand.
Mercredi, une équipe de chercheurs a publié des recherches faisant état d’une foule de vulnérabilités qui sapent les garanties d’authentification et de confidentialité de Matrix. Toutes les attaques décrites par les chercheurs nécessitent l’aide d’un serveur domestique malveillant ou compromis qui cible les utilisateurs qui s’y connectent. Dans certains cas, il existe des moyens pour les utilisateurs expérimentés de détecter qu’une attaque est en cours.
Les chercheurs ont signalé en privé les vulnérabilités à Matrix plus tôt cette année et ont convenu d’une divulgation coordonnée programmée pour la publication mercredi par Matrix des mises à jour qui corrigent les failles les plus graves.
« Nos attaques permettent à un opérateur de serveur malveillant ou à quelqu’un qui prend le contrôle d’un serveur Matrix de lire les messages des utilisateurs et de se faire passer pour eux », ont écrit les chercheurs dans un e-mail. « Matrix vise à se protéger contre de tels comportements en fournissant un chiffrement de bout en bout, mais nos attaques mettent en évidence des failles dans la conception de son protocole et son élément phare d’implémentation client. »
Hodgson a déclaré qu’il n’était pas d’accord avec l’affirmation des chercheurs selon laquelle certaines des vulnérabilités résident dans le protocole Matrix lui-même et affirme qu’il s’agit de bogues d’implémentation dans la première génération d’applications Matrix, qui incluent Element. Il a déclaré qu’une nouvelle génération d’applications Matrix, notamment ElementX, Hydrogen et Third Room, n’est pas affectée. Rien n’indique que les vulnérabilités aient jamais été activement exploitées, a-t-il ajouté.