Jeudi le 23 Avril 2020 vous êtes invités à une conférence avec Thomas Pornin pour discuter du CVE-2020-0601 “Chains of Fools” qui a causé tout un chaos lors du Patch Tuesday de Microsoft en janvier dernier!

19h00: La présentation

Eventbrite - QuebecSec 2020



CVE-2020-0601 “Chain Of Fools”

Le 14 janvier 2020, Microsoft a annoncé la correction d’une vulnérabilité dans le traitement de certaines signatures ECDSA dans des chaînes de certificats. La vulnérabilité est nommée CVE-2020-0601 (officieusement “Chain Of Fools”). L’exploitation permet de faire de faux certificats, acceptés par les versions de Windows affectées (Windows 10 seulement, les versions précédentes n’ont pas le bug !), donc permettant de faire de faux sites SSL ou de tromper la verification de signature de code.

Cette présentation va expliquer le fonctionnement de l’attaque et la source du problème. On abordera aussi quelques questions annexes :

  • Pourquoi Microsoft a-t-il ajouté le support de paramètres explicites de courbes dans Windows 10, alors que cette option est déclarée obsolète depuis plus de dix ans ?
  • Pourquoi la NSA a-t-elle prévenu Microsoft du problème ?

Thomas Pornin

tp

Thomas est cryptographe et travaille pour NCC Group en tant que consultant spécialisé en audit de protocoles et implémentations cryptographiques. Il est l’auteur de BearSSL, implémentation de SSL/TLS optimisée pour matériels embarqués. Il est également actif en recherche académique, notamment sur les méthodes d’implémentations de courbes elliptiques, et les algorithmes post-quantiques.

Lieu

Crédit photo: CC FlickR volvob12b