Broken signature

U

ne "petite" alerte à considérer sérieusement : Gnu Privacy Guard (GnuPG) souffre d'une faille qui permet a un attaquant d'insérer des données arbitraires dans un message signé sans que la rupture d'intégrité soit détectée. Évidemment, c'est mal, et il convient de mettre à jour au plus vite vers la version 1.4.2.2.

Cependant, la méthode d'insertion est très spécifique (et simple) et n'impacte pas les signatures détachées. Elle consiste à ajouter des données en dehors du bloc de données sur lequel porte la signature, typiquement avant le marqueur de début. Or ce type de manipulation n'est possible que si la signature est attachée aux données (inline). La faille n'a donc en particulier aucun impact sur les signatures d'archive.