Minecraft Release Candidate 1.19.2-rc1: Une faille dans le tchat

C'était prévisible compte tenu de nos nombreuses remarques faites quand aux choix technique fait par Mojang pour la signature du tchat: ce tchat "sécurisé" n'était pas sécurisé, et Mojang a publié dans l'urgence une nouvelle Release Candidate pour essayer de corriger cette faille.



Une mise à jour secrète
Qui dit mise à jour de sécurité dis mise à jour secrète, en effet il est préférable de ne pas divulguer pour le moment aux potentiel hacker comment faire pour pirater le tchat des joueurs qui jouent encore actuellement en version 1.19.1.

Officiellement donc Mojang a simplement communiqué sur le fait que la faille de sécurité touche le système de signature du tchat et de connexion au serveur, on peut donc penser que la fameuse clé secrète, pour laquelle nous avions déjà critiqué Mojang et Microsoft sur le choix de la stocker sur les serveurs de Microsoft, n'est plus secrète et que des personnes ont trouvé le moyen de l'intercepté. (Pour rappel en cryptographie une clé secrète doit rester secrète en toute circonstance et uniquement connu de son utilisateur. À partir du moment ou plus d'une personne la connais elle n'est plus secrète, ce qui est une faille de sécurité. La stocker sur les serveurs de Microsoft est donc une grave erreur de conception en matière de sécurité).

En analysant la Release Candidate sortie ce jeudi, on peut avoir une confirmation que la faille est effectivement à ce niveau, puisque Mojang a ajouté dans le jeu un mécanisme de révocation de la clé de signature, ce qui signifie que Microsoft a maintenant la possibilité de supprimer et remplacer la clé servant à la signature du tchat de n'importe quel joueur. En cas de révocation de votre clé de chiffrement il faudra vous reconnecter manuellement sur votre compte Microsoft afin de récupérer la nouvelle clé "secrète" stockée chez Microsoft (la connexion automatique ne permettant semble-t-il pas de la récupérer). Reste à savoir le nombre de compte touché par cette faille et combien de personne seront concerné par ces révocations de clés.

Pas d'autres corrections de bugs
Aucun autre changement n'ont été apporté à cette Release Candidate, et Mojang précise qu'ils espèrent qu'elle sera la première mais aussi la dernière Release Candidate de cette branche 1.19.2. elle devrait sortir en l'état. Aucune date de sortie n'a cependant été annoncé pour le moment.


Vous pouvez tester cette release candidate dès maintenant en un clic sur "Tester la snapshot" depuis le launcher FR-Minecraft. Si vous souhaitez tester cette release candidate il est recommandé de faire une sauvegarde de vos mondes, puisque les releases candidates sont, comme les snapshots, des versions potentiellement instables qui risquent de corrompre votre monde.


Pensez a sécuriser votre compte: Désactivez l'option de "Tchat sécurisé" dans le menu "Option de discussion" (mettre la valeur "Non"), étape obligatoire (mais pas suffisante) pour éviter de vous faire bannir par Microsoft.
Si vous souhaitez ouvrir un serveur sans la modération forcé de Microsoft, je vous invite a passer votre serveur en mode offline en changeant la config online-mode=true en online-mode=false dans le fichier de configuration "server.properties" de votre serveur (Attention toutefois, cela permettra à n'importe qui d'utiliser n'importe quel pseudo puisqu'il n'y a plus d'authentification, utilisez des plugins pour limiter ce problème).