Moxie Marlinspike

Moxie Marlinspike

Moxie Marlinspike en 2022.

Biographie

Naissance	Années 1980 Géorgie
Pseudonymes	Moxie Marlinspike, Mike Benham, Matthew Rosenberg, Johnny McDouglas, Matthew Rosenfield, Matthew Rosenfeld, Clement D.
Nationalité	Américain
Domicile	États-Unis
Activités	Cypherpunk, programmeur, hackeur, cryptographe, informaticien, chef d'entreprise
Période d'activité	depuis 1999

Autres informations

A travaillé pour	Signal Messenger (en) (depuis 2018) Open Whisper Systems (2013-2018) Twitter Inc. (en) (2011-2013) Whisper Systems (en) (2010-2011)
Idéologie	Anarchisme
Site web	(en) moxie.org
Distinction	Shuttleworth Foundation Fellowship (d)

Œuvres principales

Protocole Signal, Double Ratchet Algorithm, Convergence (d)

modifier - modifier le code - modifier Wikidata

Moxie Marlinspike est un cryptographe, chercheur en sécurité informatique et entrepreneur américain. Il est l'auteur de l'application de messagerie sécurisée Signal, le cofondateur de la fondation Signal et le CEO de l’entreprise Signal Messenger (en) (anciennement Open Whisper Systems).

Il est également co-auteur du protocole cryptographique Signal Protocol qui permet d'établir des communications chiffrées de bout en bout pour la messagerie instantanée. Ce protocole, initialement introduit dans l'application open source TextSecure, a été adopté par les acteurs majeurs du marché tels que WhatsApp ou Facebook Messenger et sécurise les échanges de plus d'un milliard d'utilisateurs.

Moxie Marlinspike est aussi un ancien responsable de l'équipe sécurité du média social Twitter et l'auteur d'une proposition pour remplacer le système d'authentification de SSL/TLS. Il a découvert certaines vulnérabilités de SSL/TLS ; a maintenu un service de test de pénétration des réseaux WPA^[1] et un système d'anonymisation des requêtes envoyées au moteur de recherche de Google^[2].

Biographie

Moxie Marlinspike^[a],[b] est originaire de l'État de Géorgie^[13] aux États-Unis. Il déménage à San Francisco en 1999 et commence à travailler pour des entreprises technologiques comme BEA Systems^[13],[5]. En 2003, il achète un voilier délabré et le rénove avec trois amis^[c]. Ils apprennent la navigation en autodidactes et effectuent l'année suivante un périple autour des Bahamas, tout en réalisant un documentaire de leur voyage^[13],[5].

En 2010, Moxie Marlinspike est cofondateur et chief technology officer de Whisper Systems^[d],[14], une startup spécialisée en sécurité informatique. En mai 2010, Whisper Systems lance TextSecure et RedPhone ; deux applications Android qui fournissent du chiffrement de bout en bout, respectivement pour les messages SMS et les conversations téléphoniques. La société est rachetée par le réseau social Twitter fin 2011^[15] et Moxie Marlinspike devient responsable de l'équipe chargée de la sécurité de Twitter^[5],[16]. Pendant qu'il est à la tête de cette équipe, Twitter rend open source (GPLv3) les applications de Whisper Systems^[17],[18].

Il quitte Twitter en 2013^[19] et crée Open Whisper Systems^[20] sous la forme d'un projet collaboratif open source^[21] pour continuer le développement de TextSecure et RedPhone^[22],[23]. Au même moment, Trevor Perrin et lui commencent le développement du protocole Signal^[13], dont une première version est ajoutée à l'application TextSecure en février 2014^[24]. En novembre 2015, les deux applications TextSecure et RedPhone sont fusionnées en une seule, nommée Signal^[e],[25]. Conscient que l'application Signal peut disparaitre faute de moyens^[13], et soucieux de pérenniser le protocole^[26], Moxie Marlinspike travaille entre 2014 et 2016 avec WhatsApp^[27], Facebook^[28],[29] et Google^[30] pour les aider à intégrer le protocole Signal dans leurs services de messagerie^[f].

Le 21 février 2018^[33], le cofondateur de WhatsApp, Brian Acton, et Moxie Marlinspike annoncent la création de la fondation Signal, un organisme à but non lucratif (501c3) dont l'un des objectifs est le soutien financier du développement de Signal^[34]. Cette fondation reçoit un financement initial de 50 millions de dollars de la part de Brian Acton^[35],[36].

Il annonce début 2022 quitter le poste de CEO de Signal^[37].

Travaux

Vulnérabilités SSL/TLS

Moxie Marlinspike a découvert certaines vulnérabilités dans la mise en œuvre de SSL/TLS (protocoles de sécurisation des échanges sur Internet), notamment chez Microsoft^[38].

Dans un article de 2002, il met en évidence les failles de sécurité des implémentations qui ne vérifient pas correctement l'extension BasicConstraints de la norme X.509 v3 dans le chaînage des certificats électroniques : cela permet à quiconque possédant un certificat valide pour son propre domaine de créer un certificat factice pour n'importe quel domaine^[38]. L'interface de programmation Microsoft CryptoAPI étant déficiente, Internet Explorer, Outlook et tous les logiciels Windows dépendants de SSL/TLS étaient vulnérables à des attaques de type l'homme du milieu (man-in-the-middle). En 2011, la même faille de sécurité est découverte dans la mise en œuvre de SSL/TLS des périphériques iOS d'Apple^[39],[40]. À cette occasion, Il met à jour l'outil écrit neuf ans plus tôt pour montrer les vulnérabilités d'Internet Explorer (sslsniff) afin de prendre en compte l'empreinte des clients iOS^[39].

En 2009, il présente une attaque null-prefix sur les certificats SSL et révèle que la majeure partie des implémentations de SSL ne vérifie pas correctement la valeur Common Name du certificat. Ces implémentations peuvent se faire piéger par des certificats frauduleux qui embarquent un caractère nul dans le champ Common Name^{[g],[41],[42]}.

HTTPS stripping

Dans un article de 2009, Moxie Marlinspike introduit le concept de HTTPS stripping, une attaque de type l'homme du milieu (man-in-the-middle) pour les sites web proposant des ressources sécurisées.

Dans celle-ci, un attaquant se place entre le flux du navigateur web d'un utilisateur et le serveur fournissant les pages ; analyse celui-ci et remplace les adresses web qui devraient utiliser une connexion chiffrée par des liens hypertextes non sécurisés ou par des adresses quasi-homographes sécurisées mais dont le site appartient à l'attaquant. En modifiant quelques détails visuels de la page (ajout d'une icône affichant un verrou sur les pages non chiffrées par exemple^[43]), l'attaque devient suffisamment subtile pour que l'utilisateur ne la remarque ; et le navigateur n'émet pas d'avertissement. Il annonce la création d'un outil (sslstrip) permettant d'automatiser cette attaque, et en effectue une démonstration au Black Hat DC 2009^[44],[45].

Il ne s'agit pas à proprement parler d'une attaque contre un protocole spécifique (SSL/TLS notamment), mais plutôt contre l'ensemble des techniques mises en œuvre pour obtenir l'adresse d'une ressource sécurisée^[46]. Lors d'un test de 24 h sur l'un de ses serveurs, il obtient des comptes PayPal, des numéros de cartes de crédit, des identifiants de courrier électronique, etc.^{[46],[44],[43]}

Le mécanisme de politique de sécurité HTTP Strict Transport Security (HSTS) sera par la suite développé pour combattre ce type d'attaque.

Faiblesses des autorités de certification

Lors des conférences Black Hat de 2011 à Las Vegas, Marlinspike intervient sur le thème SSL and the Future of Authenticity^[47]. Il expose les problèmes récurrents liés aux autorités de certification, leur nombre pléthorique^[h], le manque d'agilité du système en cas de brèche et le faible niveau de sécurité que cela procure au Web^[48]. Pour limiter ces faiblesses, il annonce la création d'un projet nommé Convergence (en), compatible avec l'existant et permettant à l'utilisateur de révoquer ses tiers de confiance^{[49],[50],[51]}.

En 2013, Trevor Perrin et lui soumettent un Internet-Draft à l'Internet Engineering Task Force concernant une extension de TLS appelée TACK (Trust Assertions For Certificate Keys^[52]), dont le principe est basé sur des public-key pinning^[53], afin de réduire les risques inhérents aux autorités de certification^[54].

Craquage MS-CHAPv2

Voyages et surveillances

Conférences et conventions

Moxie Marlinspike intervient régulièrement dans des conventions liées à la sécurité des systèmes d'information.

• Black Hat DC 2009 : New Tricks For Defeating SSL In Practice^[44]
• DEF CON 17 et Black Hat 2009 : More Tricks for Defeating SSL^[55],[56]
• DEF CON 18 et Black Hat 2010 : Changing Threats to Privacy^[57]
• DEF CON 19 et Black Hat 2011 : SSL and the Future of Authenticity^[58],[47]
• DEF CON 20 : Defeating PPTP VPNs and WPA2 with MS-CHAPv2^[59]
• Webstock (en) '15 : Making private communication simple^[60]
• 36C3 : The ecosystem is moving^[61]

Distinctions

Notes et références

Notes

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Moxie Marlinspike » (voir la liste des auteurs).

1. Attaché au respect de la vie privée et hostile à la surveillance de masse^[3],[4], Moxie Marlinspike est très discret sur ses origines^[5]. Moxie Marlinspike est un pseudonyme, mais on ne connait pas avec certitude sa véritable identité^[6]. Il indique que ses parents l'ont prénommé Matthew^[7],[5] et que Moxie est son surnom. Certains médias l'appellent Matthew Rosenfield^[8] et d'autres Matthew Rosenfeld^[9]. Le copyright de ses premiers programmes mentionnait Matthew Rosenberg et sa clé PGP indiquait Johnny McDouglas. Il a également signé des articles sous le nom de Mike Benham^{[4],[10],[11]} et des enregistrements sous celui de Clement D.
2. De même, sa date de naissance est inconnue. Il indique être trentenaire dans une interview donnée en 2015^[5] et Mike Benham avait 22 ans en 2003^[12]. Il est probablement né au début des années 1980.
3. Marlinspike (« épissoir ») est un outil de marine. Un nœud porte aussi ce nom.
4. Whisper signifie « chuchotement, murmure » en anglais.
5. L'application Signal pour iOS est sortie en juillet 2014 et correspondait peu ou prou à RedPhone pour Android. La compatibilité entre Signal iOS et TextSecure Android est ajoutée en mars 2015.
6. Certaines applications qui intègrent le protocole Signal ne l'activent pas par défaut. C'est à l'utilisateur de le faire^[31],[32].
7. Un certificat contenant *[caractère nul].example.com est interprété comme * par une implémentation défaillante, c'est-à-dire validant tous les domaines d'Internet.
8. Il existe environ 650 entités de certification en 2011. Si une seule de ces entités est compromise, c'est l'ensemble de la sécurité du Web qui s'écroule.

Références

1. (en) Robert McMillan, « New Cloud-Based Service Steals Wi-fi Passwords », sur PC World, 7 décembre 2009 (consulté le 9 décembre 2013).
2. (en) Andy Greenberg, « A Better Way To Hide From Google », sur Forbes, 10 avril 2010 (version du 12 octobre 2013 sur Internet Archive).
3. Emmanuel Paquette, « Signal, la messagerie anarchiste du Net », sur lexpansion.lexpress.fr, 6 juin 2019 (consulté le 6 mai 2020).
4. Daphnée Denis, « Moxie Marlinspike, le hacker qui a refusé d'espionner les citoyens d'Arabie saoudite », sur slate.fr, 15 mai 2013 (version du 7 juin 2013 sur Internet Archive).
5. (en) Danny Yadron, « Moxie Marlinspike: The Coder Who Encrypted Your Texts », sur The Wall Street Journal, 9 juillet 2015 (version du 10 juillet 2015 sur Internet Archive).
6. Sébastian Seibt, « Un plan saoudien de cybersurveillance dévoilé par un expert américain », sur France 24, 15 mai 2013 (consulté le 15 mai 2020).
7. (en) samzenpus, « Moxie Marlinspike Answers Your Questions », sur slashdot.org, 19 décembre 2011 (version du 19 décembre 2011 sur Internet Archive).
8. (en) Matt Smith, « Saudi's Mobily denies asking for help to spy on customers », sur Reuters, 15 mai 2013 (consulté le 21 février 2018).
9. « Signal: la dernière messagerie chiffrée à la mode », sur La Voix du Nord, 26 février 2020 (consulté le 6 mai 2020).
10. (sv) « Moxies mål – säker chatt », sur computersweden.idg.se, 25 septembre 2014 (consulté le 5 juillet 2020).
11. Exemples d'articles signés par Mike Benham :
    • (en) « Why Going To Sacramento Isn't An Efficient Use Of Your Time », sur indybay.org, 17 juin 2003 (version du 4 mars 2016 sur Internet Archive) ;
    • (en) « Why Drugs Should be Legalized », sur geocities.ws (version du 4 mars 2016 sur Internet Archive).
12. (en) Lessley Anderson, « The Anarchist Knitting Circle », sur sfweekly.com, 21 mai 2003 (version du 20 octobre 2012 sur Internet Archive).
13. (en) Andy Greenberg, « Meet Moxie Marlinspike, the Anarchist Bringing Encryption to All of Us », sur Wired, Condé Nast, 31 juillet 2016 (consulté le 15 mai 2020).
14. (en) Elinor Mills, « WhisperCore app encrypts all data on Android », sur cnet.com, 15 mars 2011 (version du 5 décembre 2013 sur Internet Archive).
15. (en) « Twitter Acquires Moxie Marlinspike's Encryption Startup Whisper Systems », sur Forbes, 28 novembre 2011 (consulté le 4 octobre 2013).
16. (en) Alex Hern, « Twitter's former security head condemns Whisper's privacy flaws », sur The Guardian, 17 octobre 2014 (consulté le 22 janvier 2015).
17. (en) Chris Aniszczyk, « The Whispers Are True », sur Twitter, 20 décembre 2011 (version du 24 octobre 2014 sur Internet Archive).
18. (en) Whisper Systems Development Team, « RedPhone is now Open Source! », sur whispersys.com, 18 juillet 2012 (version du 31 juillet 2012 sur Internet Archive).
19. (en) Danny Yadron, « What Moxie Marlinspike Did at Twitter », sur The Wall Street Journal, 10 juillet 2015 (version du 18 mars 2016 sur Internet Archive).
20. (en) Andrew Rosenblum, « Moxie Marlinspike Makes Encryption for Everyone — The Signal developer on why the FBI and governments can’t be trusted », sur Popular Science, Bonnier Corporation, 26 avril 2016 (consulté le 15 mai 2020).
21. Hélène Lelièvre (ICT Journal), « L'application de messagerie mobile WhatsApp chiffre désormais ses messages avec la solution d'Open Whisper Systems, un protocole Open Source. », sur Le Monde informatique, 24 novembre 2014 (consulté le 15 mai 2020).
22. (en) Andy Greenberg, « Your iPhone Can Finally Make Free, Encrypted Calls », sur Wired, 29 juillet 2014 (consulté le 18 janvier 2015).
23. (en) « A New Home », sur Open Whisper Systems, 21 janvier 2013 (version du 29 avril 2013 sur Internet Archive).
24. (en) Brian Donohue, « TextSecure Sheds SMS in Latest Version », sur Threatpost, 24 février 2014 (consulté le 14 juillet 2016).
25. (en) Andy Greenberg, « Signal, the Snowden-Approved Crypto App, Comes to Android », sur Wired, Condé Nast, 2 novembre 2015 (consulté le 15 mai 2020).
26. (en) Andy Greenberg, « Signal Is Finally Bringing Its Secure Messaging to the Masses », sur Wired, Condé Nast, 14 février 2020 (consulté le 15 mai 2020).
27. (en) Cade Metz, « Forget Apple vs. the FBI: WhatsApp Just Switched on Encryption for a Billion People », sur Wired, Condé Nast, 5 avril 2016 (consulté le 15 mai 2020).
28. (en) Andy Greenberg, « ‘Secret Conversations:’ End-to-End Encryption Comes to Facebook Messenger », sur Wired, Condé Nast, 8 juillet 2016 (consulté le 15 mai 2020).
29. (en) Andy Greenberg, « You can finally encrypt Facebook Messenger, so do it. », sur Wired, 4 octobre 2016.
30. (en) Andy Greenberg, « With Allo and Duo, Google Finally Encrypts Conversations End-to-End », sur Wired, Condé Nast, 18 mai 2016 (consulté le 24 septembre 2016).
31. Guénaël Pépin, « Après les SMS, le plan de Silence pour décentraliser les messageries chiffrées », sur nextinpact.com, 12 avril 2017 (consulté le 15 mai 2020).
32. (en) Michael Grothaus, « If you value your privacy, switch to Signal as your messaging app now », sur Fast Company, 19 avril 2019 (version du 11 mai 2019 sur Internet Archive).
33. (en) Moxie Marlinspike et Brian Acton, « Signal Foundation », sur signal.org, 21 février 2018 (consulté le 21 février 2018).
34. (en) Andy Greenberg, « WhatsApp Co-Founder Puts $50M Into Signal To Supercharge Encrypted Messaging », sur Wired, 21 février 2018 (version du 22 février 2018 sur Internet Archive).
35. (en) Parmy Olson, « Exclusive: WhatsApp Cofounder Brian Acton Gives The Inside Story On #DeleteFacebook And Why He Left $850 Million Behind », sur Forbes, 26 septembre 2018 (version du 2 mai 2020 sur Internet Archive).
36. (en) Jason Murdock, « Bad News FBI, Edward Snowden's Favorite Chat App Signal Just Got $50m in Funding », sur Newsweek, 22 février 2018 (consulté le 15 mai 2020).
37. (en) « New year, new CEO », sur Signal Messenger, 10 janvier 2022 (consulté le 10 janvier 2022)
38. Avec le pseudonyme « Moxie Marlinspike » :
    • (en) Moxie Marlinspike, « Internet Explorer SSL Vulnerability 08/05/02 », sur thoughtcrime.org (version du 16 juin 2013 sur Archive.today).
    Avec le pseudonyme « Mike Benham » :
    • (en) Mike Benham, « IE SSL Vulnerability », sur seclists.org, 5 août 2002 (consulté le 6 mai 2020) ;
    • (en) David Legard, « Severe Security Flaw Found in IE », sur PC World, 13 août 2002 (version du 7 avril 2013 sur Internet Archive).
39. (en) Mathew J. Schwartz, « Apple iOS Bug Worse Than Advertised », sur informationweek.com, 27 juillet 2011 (version du 23 juin 2015 sur Internet Archive).
40. (en) Darren Pauli, « iPhone data interception tool released », sur scmagazine.com.au, 27 juillet 2011 (version du 14 décembre 2013 sur Internet Archive).
41. (en) Kim Zetter, « Vulnerabilities Allow Attackers To Impersonate Any Website », sur Wired, 30 juillet 2009 (consulté le 9 décembre 2013).
42. (en) Dan Goodin, « Wildcard certificate spoofs web authentication », sur theregister.co.uk, 30 juillet 2009 (consulté le 9 décembre 2013).
43. (en) Andy Greenberg, « Breaking Your Browser's 'Padlock' », sur Forbes, 18 février 2009 (version du 27 février 2014 sur Internet Archive).
44. (en) Moxie Marlinspike, « New Tricks For Defeating SSL In Practice » [PDF], Thoughtcrime.org (consulté le 6 mai 2020).
45. (en) Kelly Jackson Higgins, « SSLStrip Hacking Tool Released », sur darkreading.com, 24 février 2009 (consulté le 5 juillet 2020).
46. (en) « Moxie Marlinspike's New SSL Attack is Nothing New », sur www.sslshopper.com (consulté le 6 mai 2020).
47. (en) « Black Hat 2011 - Moxie Marlinspike - SSL And The Future Of Authenticity » [vidéo], sur YouTube, 18 août 2011 (consulté le 9 décembre 2013).
48. (en) « Future of SSL in doubt? Researcher Marlinspike unveils alternative to certificate authorities », sur infosecurity-magazine.com, 8 août 2011 (consulté le 15 mai 2020).
49. (en) Mathew J. Schwartz, « New SSL Alternative: Support Grows for Convergence », sur informationweek.com, 30 septembre 2011 (version du 1^er octobre 2011 sur Internet Archive).
50. (en) Ellen Messmer, « The SSL certificate industry can and should be replaced », sur networkworld.com, 12 octobre 2011 (version du 1^er mars 2014 sur Internet Archive).
51. (en) Tim Greene, « With SSL, who can you really trust? », sur networkworld.com, 18 août 2011 (version du 20 octobre 2011 sur Internet Archive).
52. (en) « Trust Assertions For Certificate Keys », sur tack.io (consulté le 9 décembre 2013).
53. (en) « TACK: certificate pinning to solve the SSL CA problem (tack.io) », sur Hacker News, 22 mai 2012 (consulté le 5 juillet 2020).
54. (en) Dan Goodin, « SSL fix flags forged certificates before they’re accepted by browsers », sur arstechnica.com, 23 mai 2012 (consulté le 15 mai 2020).
55. (en) « DEF CON 17 - Moxie Marlinspike - More Tricks for Defeating SSL » [vidéo], sur YouTube, DEF CON (consulté le 22 janvier 2015).
56. (en) Moxie Marlinspike, « More Tricks For Defeating SSL In Practice » [PDF], Thoughtcrime.org (consulté le 15 mai 2020).
57. (en) « DEF CON 18 - Moxie Marlinspike - Changing Threats To Privacy: From TIA to Google » [vidéo], sur YouTube, DEF CON (consulté le 22 janvier 2015).
58. (en) « DEF CON 19 - Moxie Marlinspike - SSL And The Future Of Authenticity » [vidéo], sur YouTube, DEF CON (consulté le 22 janvier 2015).
59. (en) « DEF CON 20 - Marlinspike Hulton and Ray - Defeating PPTP VPNs and WPA2 Enterprise with MS-CHAPv2 » [vidéo], sur YouTube, DEF CON (consulté le 22 janvier 2015).
60. (en) « Webstock '15: Moxie Marlinspike - Making private communication simple » [vidéo], sur Vimeo, Webstock (consulté le 22 avril 2015).
61. (en) « 36C3 - The ecosystem is moving » [vidéo], sur YouTube, 36C3 (consulté le 6 janvier 2020).

Voir aussi

Sur les autres projets Wikimedia :

• Moxie Marlinspike, sur Wikimedia Commons

Articles connexes

• Libertés sur Internet
• Vie privée et informatique
• Cypherpunk
• Privacy by Design

Liens externes

• (en) Site officiel 
• Notices d'autorité  :

  • VIAF

•   Portail de l’informatique
•   Portail de la cryptologie
•   Portail de la sécurité informatique
•   Portail de la sécurité de l’information
•   Portail des logiciels libres
•   Portail des télécommunications