CVE-2020-0601 'Chain Of Fools'

Le 14 janvier 2020, Microsoft a annoncé la correction d'une vulnérabilité dans le traitement de certaines signatures ECDSA dans des chaînes de certificats. La vulnérabilité est nommée CVE-2020-0601 (officieusement "Chain Of Fools"). L'exploitation permet de faire de faux certificats, acceptés par les versions de Windows affectées (Windows 10 seulement, les versions précédentes n'ont pas le bug !), donc permettant de faire de faux sites SSL ou de tromper la verification de signature de code. Cette présentation va expliquer le fonctionnement de l'attaque et la source du problème. On abordera aussi quelques questions annexes : - Pourquoi Microsoft a-t-il ajouté le support de paramètres explicites de courbes dans Windows 10, alors que cette option est déclarée obsolète depuis plus de dix ans ? - Pourquoi la NSA a-t-elle prévenu Microsoft du problème ?

S'inscrire

Lieu