>> La recherche se fait sur tous les élements du jeu Minecraft <<
Aidez nous a financer le site: Joignez l'utile à l'agréable et profitez d'FR-Minecraft sans publicités en devenant VIP ! Ou ajoutez FR-Minecraft dans vos exceptions, nous n'abusons pas des pubs
Aidez nous a financer le site: Joignez l'utile à l'agréable et profitez d'FR-Minecraft sans publicités en devenant VIP ! Ou ajoutez FR-Minecraft dans vos exceptions, nous n'abusons pas des pubs

Minecraft Release Candidate 1.19.2-rc1: Une faille dans le tchat

Le 05/08/2022 à 5h46
Aidez nous a financer le site: Joignez l'utile à l'agréable et profitez d'FR-Minecraft sans publicités en devenant VIP ! Ou ajoutez FR-Minecraft dans vos exceptions, nous n'abusons pas des pubs

C'était prévisible compte tenu de nos nombreuses remarques faites quand aux choix technique fait par Mojang pour la signature du tchat: ce tchat "sécurisé" n'était pas sécurisé, et Mojang a publié dans l'urgence une nouvelle Release Candidate pour essayer de corriger cette faille.



Une mise à jour secrète
Qui dit mise à jour de sécurité dis mise à jour secrète, en effet il est préférable de ne pas divulguer pour le moment aux potentiel hacker comment faire pour pirater le tchat des joueurs qui jouent encore actuellement en version 1.19.1.

Officiellement donc Mojang a simplement communiqué sur le fait que la faille de sécurité touche le système de signature du tchat et de connexion au serveur, on peut donc penser que la fameuse clé secrète, pour laquelle nous avions déjà critiqué Mojang et Microsoft sur le choix de la stocker sur les serveurs de Microsoft, n'est plus secrète et que des personnes ont trouvé le moyen de l'intercepté. (Pour rappel en cryptographie une clé secrète doit rester secrète en toute circonstance et uniquement connu de son utilisateur. À partir du moment ou plus d'une personne la connais elle n'est plus secrète, ce qui est une faille de sécurité. La stocker sur les serveurs de Microsoft est donc une grave erreur de conception en matière de sécurité).

En analysant la Release Candidate sortie ce jeudi, on peut avoir une confirmation que la faille est effectivement à ce niveau, puisque Mojang a ajouté dans le jeu un mécanisme de révocation de la clé de signature, ce qui signifie que Microsoft a maintenant la possibilité de supprimer et remplacer la clé servant à la signature du tchat de n'importe quel joueur. En cas de révocation de votre clé de chiffrement il faudra vous reconnecter manuellement sur votre compte Microsoft afin de récupérer la nouvelle clé "secrète" stockée chez Microsoft (la connexion automatique ne permettant semble-t-il pas de la récupérer). Reste à savoir le nombre de compte touché par cette faille et combien de personne seront concerné par ces révocations de clés.

Pas d'autres corrections de bugs
Aucun autre changement n'ont été apporté à cette Release Candidate, et Mojang précise qu'ils espèrent qu'elle sera la première mais aussi la dernière Release Candidate de cette branche 1.19.2. elle devrait sortir en l'état. Aucune date de sortie n'a cependant été annoncé pour le moment.


Vous pouvez tester cette release candidate dès maintenant en un clic sur "Tester la snapshot" depuis le launcher FR-Minecraft. Si vous souhaitez tester cette release candidate il est recommandé de faire une sauvegarde de vos mondes, puisque les releases candidates sont, comme les snapshots, des versions potentiellement instables qui risquent de corrompre votre monde.


Pensez a sécuriser votre compte: Désactivez l'option de "Tchat sécurisé" dans le menu "Option de discussion" (mettre la valeur "Non"), étape obligatoire (mais pas suffisante) pour éviter de vous faire bannir par Microsoft.
Si vous souhaitez ouvrir un serveur sans la modération forcé de Microsoft, je vous invite a passer votre serveur en mode offline en changeant la config online-mode=true en online-mode=false dans le fichier de configuration "server.properties" de votre serveur (Attention toutefois, cela permettra à n'importe qui d'utiliser n'importe quel pseudo puisqu'il n'y a plus d'authentification, utilisez des plugins pour limiter ce problème).
Cet article a été publié par Tronics, le 2022-08-05 05:46:48. Source
Validé par  Tronics. Dernière modification par  Tronics le 07/08/2022 à 0:47.
Partager :
Commentaires de la news Minecraft
Minecraft Release Candidate 1.19.2-rc1: Une faille dans le tchat :
franswa (rédacteur)
le 05/08/2022 à 07:52
Sur les différents serveurs ou je suis allé, c'est partout pareil: l'intégralité des messages sont considérés comme étant des messages modifiés, ils sont donc impossible à reporter.
Quant à la faille qu'ils ont corrigé, de ce que j'ai vu, Mojang Studios n'avait aucun moyen de s'assurer qu'un message n'avait pas été supprimé par un mod au moment ou le joueur report. Comme il y a un système de vérification de chaine de validation, un mod ne peut pas ajouter un message en plein milieu d'une conversation car ça invaliderait tout ce qui se trouve en aval. Par contre supprimer un message ça ne change rien. Un moyen de hacker le système était, de s'envoyer à soi-même une question piege, puis de poser une question banale dans le chat à un joueur, et de report la reponse du joueur en utilisant un mod pour virer la question banale du contexte.
Tronics (administrateur)
le 05/08/2022 à 23:43
Merci pour ces précisions très instructive franswa :-) mais du coups je m'interroge, le fait de modérer les messages masqué/supprimé n'était-il pas une feature revendiqué ? Cette feature serait-elle devenu un bug ? Bref la vrai solution serait de simplement supprimer ce système de modération, comme ça plus de bug ^^
Noixdecoco (anonyme)
le 07/08/2022 à 09:54
Il n'y a pas eu de corrigé de bug

Ajouter un commentaire


Pour ne plus poster de commentaires anonymes, connectez-vous sur le forum.