TOOLinux

Le journal du Libre

Une grosse faille pour Let’s Encrypt

lundi 20 juin 2016

L’ISGR, Internet Security Research Group, l’organisme en charge de Let’s Encrypt a été victime d’un bug. En effet, ce sont rien moins de 7.618 adresses mail qui ont été divulguées par erreur. Le système de mail a diffusé les adressed d’autres utilisateurs que celui concerné. Même si la base d’utilisateurs contient près de 383.000 adresses, 2 % de celles-ci ont tout de même été dévoilées. Ce n’est pas vraiment bon pour l’image de ce service qui affiche vouloir protéger le web. Une vérification a eu lieu sur le code et il semblerait que certains tests n’aient pas été réalisés avec un grand sérieux. Pour remédier à cela, le logiciel de mail intégrera dorénavant les outils liés aux certifications afin de subir des tests plus poussés.

Il semblerait que, pour le moment, ce soit le seul incident à déplorer pour ce service qui compte déjà plusieurs millions de certificats.

Liens :

- Le projet Let’s Encrypt
- Informations sur la divulgation des adresses mails