{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>PGP versions 5.5.x \u00e0 6.5.3</P>","content":"## Description\n\nLa fonctionnalit\u00e9 ADK permet d'ajouter une seconde cl\u00e9 de chiffrement\ndans le certificat de la cl\u00e9 publique d'un utilisateur.\n\nToutes les donn\u00e9es chiffr\u00e9es avec la cl\u00e9 primaire sont aussi chiffr\u00e9es\navec la seconde cl\u00e9 (ADK). Cette fonctionnalit\u00e9 permet, par exemple, de\nrajouter syst\u00e9matiquement dans les certificats des diff\u00e9rentes personnes\nd'une entreprise, la cl\u00e9 de l'entreprise.\n\nLa fonctionnalit\u00e9 ADK est pr\u00e9vue uniquement dans le cas o\u00f9 l'utilisateur\nautorise l'ajout d'une cl\u00e9 ADK dans son certificat. Malheureusement, du\nfait d'une mauvaise impl\u00e9mentation dans la v\u00e9rification du certificat,\nun utilisateur malveillant peut ajouter sans l'accord de l'utilisateur\nune cl\u00e9 ADK dans son certificat.  \n  \n\nPlusieurs conditions doivent \u00eatre r\u00e9unies afin d'exploiter cette\nvuln\u00e9rabilit\u00e9 :\n\n-   L'exp\u00e9diteur doit avoir une version de PGP vuln\u00e9rable (GnuPGP-1.0.1\n    n'est pas vuln\u00e9rable) ;\n-   L'exp\u00e9diteur doit chiffrer avec un certificat modifi\u00e9 ;\n-   L'exp\u00e9diteur doit valider la boite de dialogue lui indiquant la\n    pr\u00e9sence d'une cl\u00e9 ADK ;\n-   L'exp\u00e9diteur doit poss\u00e9der le certificat modifi\u00e9 dans son fichier de\n    cl\u00e9s publiques local ;\n-   Le certificat modifi\u00e9 doit \u00eatre sign\u00e9 par une autorit\u00e9 dans laquelle\n    l'exp\u00e9diteur \u00e0 confiance ;\n-   Les donn\u00e9es chiffr\u00e9es doivent \u00eatre intercept\u00e9es par l'utilisateur\n    malveillant.\n\nComme le propri\u00e9taire de la cl\u00e9 ADK est clairement cit\u00e9 comme\ndestinataire du message chiffr\u00e9, il est de ce fait facilement\nidentifiable.\n\n## Solution\n\nCorrectif PGP :\n\n    http://www.pgp.com/other/advisories/adk-product-info-center.asp\n\n  \n  \n\nUne nouvelle version de PGP (6.5.8) corrigeant cette vuln\u00e9rabilit\u00e9 est\ndisponible depuis le 25 Ao\u00fbt 2000 :\n\n    http://www.pgpi.org\n","cves":[],"links":[{"title":"Avis du CERT/CC :","url":"http://www.cert.org/advisories/CA-2000-18.html"}],"reference":"CERTA-2000-AVI-040","revisions":[{"description":"version initiale.","revision_date":"2000-08-31T00:00:00.000000"}],"risks":[{"description":"Perte de confidentialit\u00e9 des donn\u00e9es"},{"description":"Compromission des informations"}],"summary":"La possibilit\u00e9 d'ajouter une cl\u00e9 suppl\u00e9mentaire de d\u00e9chiffrement (ADK :\nAdditional Decryption Keys) dans le certificat d'une cl\u00e9 publique a \u00e9t\u00e9\nintroduite avec la version 5.5 de PGP\n\nLe chiffrement des donn\u00e9es par les versions 5.5.x jusqu'\u00e0 6.5.3 de PGP,\net utilisant un certificat modifi\u00e9, g\u00e9n\u00e8re un texte chiffr\u00e9 avec la cl\u00e9\nADK.\n\nL'utilisateur malveillant qui a modifi\u00e9 un certificat peut, sous\ncertaines conditions, obtenir le texte clair correspondant.\n\nPGP ne d\u00e9tecte pas ce type de certificat modifi\u00e9 du fait d'une erreur\ndans son impl\u00e9mentation.\n","title":"Vuln\u00e9rabilit\u00e9 sous PGP 5.5.x \u00e0 6.5.3","vendor_advisories":[{"published_at":null,"title":"Avis CA-2000-18 du CERT/CC","url":null}]}