Oracle vient de publier son avis de sécurité d’avril, avec plus de 149 correctifs de sécurité pour ses produits.
Le correctif le plus urgent concerne une vulnérabilité critique de Java, version 15 et supérieure, qui à elle seule fragilise la sécurité de 175 produits de l’entreprise.
La vulnérabilité de sécurité, découverte par Neil Madden de ForgeRock, permet à des attaquants de produire facilement des faux certificats SSL, et donc d’intercepter et de modifier des communications chiffrées; des jetons web JSON, des assertions SAML (un protocole pour échanger des informations liées à la sécurité), des jetons OpenID Connect, une couche d’authentification populaire en code source ouvert, et même des messages d’authentification WebAuthn, un système d’authentification sur la toile qui a vocation à remplacer les mots de passe.
Il est difficile d’exagérer la dangerosité de ce bogue de la bibliothèque de code de l’algorithme de signature numérique basé sur la cryptographie sur les courbes elliptiques (ECDMA).
On pourrait le comparer à un État qui ne surveillerait ni son usine de production de cartes d’identité, ni le papier ou les puces nécessaires à leur fabrication.
Il est impératif pour toute organisation exploitant des signatures ECDMA de mettre à jour ses serveurs dans les plus brefs délais.
Ce type de signatures est par exemple utilisé par pratiquement tous les appareils FIDO/WebAuthn du monde, comme les clés Yubikeys, et par de très nombreux prestataires de services d’authentification de type OIDC.
La note de gravité de 7,5 sur dix fait bondir Madden, et de nombreux spécialistes de la sécurité, pour lesquels il ne s’agit ni plus ni moins que de la vulnérabilité de sécurité de l’année.