fmaury/Broken-by-Design
1
0
Fork 0
Code Pull requests Releases Activity Actions

Add ref to Putty CVE

Browse source
This commit is contained in:
Florian Maury 2024-05-02 11:27:56 +02:00
parent 666295d004
commit 44e163a103
1 changed files with 2 additions and 1 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

3
posts/cours-id-authn.md
View file

@ -928,9 +928,10 @@ La réutilisation de mots de passe pose également des difficultés relatives au
Avec les mécanismes d'authentification utilisant la signature électronique, l'utilisation d'une même clé privée auprès de plusieurs vérificateurs présente également des risques. Avec les mécanismes d'authentification utilisant la signature électronique, l'utilisation d'une même clé privée auprès de plusieurs vérificateurs présente également des risques.
D'une part, il arrive que des erreurs d'implémentation permettent à un vérificateur malveillant d'exploiter une vulnérabilité dans le code du prouveur, menant à la divulgation de la clé privée utilisée pour prouver son identité [^cvessh]. D'une part, il arrive que des erreurs d'implémentation permettent à un vérificateur malveillant d'exploiter une vulnérabilité dans le code du prouveur, menant à la divulgation de la clé privée utilisée pour prouver son identité [^cvessh][^cveputty].
[^cvessh]: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0777 [^cvessh]: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0777
[^cveputty]: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-31497
D'autre part, un attaquant ou une attaquante ayant pu obtenir la liste des clés publiques associées à des identités auprès de divers vérificateurs pourrait relier les identités entre elles. Il ou elle lui serait alors possible de tracer et corréler les activités sur les systèmes d'information accessibles après authentification auprès de ces vérificateurs[^tracessh]. D'autre part, un attaquant ou une attaquante ayant pu obtenir la liste des clés publiques associées à des identités auprès de divers vérificateurs pourrait relier les identités entre elles. Il ou elle lui serait alors possible de tracer et corréler les activités sur les systèmes d'information accessibles après authentification auprès de ces vérificateurs[^tracessh].