Cet article date d'il y a plus d'un an.
Il est possible qu'il ne soit plus à jour.
ROCA : l’autre grosse faille qui passerait presque inappercue
Avez-vous entendu parler de krack attack ? Oui !
Avez-vous entendu parler de ROCA ? Peut-être pas.
Bien qu’éclipsée par l’actualité chargée de cette semaine, cette faille est pourtant monumentale.
Elle concerne l’implémentation du protocole RSA par Infineon, un constructeur de TPM et un éditeur de bibliothèque RSA.
Les clés ayant été générées par un équipement utilisant Infineon sont vulnérables. Cela concerne notamment Bitlocker, les certificats TLS, PGP ou SSH.
Pour savoir si vos clés sont affectées, un outil de test est disponible sur Github, dans lequel vous testez votre clé publique.
pip install roca-detect roca-detect ~/.ssh roca-detect ~/.gnupg