La Matrix Foundation a publié des correctifs et des détails d’atténuation pour deux vulnérabilités qui utilisent son protocole de communication standard ouvert pour transmettre des informations sensibles.
La Fondation Matrix à but non lucratif, gardien du protocole de communication standard éponyme, a publié des détails et corriger les informations pour deux vulnérabilités qui pourraient permettre aux pirates de prendre en charge des salles de chat classifiées.
Matrix a annoncé les vulnérabilités il y a un mois, mais des détails spécifiques sur l’atténuation ont été sous les wraps pour permettre aux utilisateurs de protocole de le tester et de les mettre en œuvre.
Le protocole est utilisé par les organisations du monde entier, souvent pour transmettre des informations sensibles. Mais les experts avertissent que le problème de sécurité principal ne concerne pas seulement le chat; C’est également ainsi que les effets d’entraînement pourraient potentiellement perturber la coordination d’urgence ou la fuite d’informations sensibles.
«Les serveurs matriciels sont également souvent liés à d’autres serveurs dans différentes organisations», a expliqué Erik Avakian, conseiller technique du groupe de recherche Info-Tech et ancien directeur de la sécurité de l’information de l’État pour le Commonwealth de Pennsylvanie. «Si l’on est piraté, il pourrait avoir des effets en aval et être utilisés pour attaquer les autres.»
‘Hydra’ un effort de sécurité continu
Matrix est une norme ouverte que les utilisateurs peuvent exécuter sur leurs propres serveurs, et non basés sur le cloud comme WhatsApp ou Signal. Il est utilisé par le gouvernement français, les forces armées allemandes et polonaises et d’autres organisations publiques et privées du monde entier.
« La souveraineté des données est l’un des grands arguments de vente de Matrix », a déclaré Johannes Ullrich, doyen de Research pour Sans Technology Institute, notant qu’elle est «quelque peu populaire» auprès des organisations gouvernementales en dehors des États-Unis qui cherchent à éviter les fournisseurs de cloud hébergés ou contrôlés.
Matrix a publié une pré-divulgation des deux vulnérabilités de haute sévérité à la mi-juillet (CVE-2025-49090 et CVE-2025-54315), et a partagé les détails des correctifs sous embargo avec les organisations utilisant le protocole. Initialement, l’objectif était de mettre en œuvre des changements en six jours, mais la fondation a poussé cela par un mois après que les utilisateurs ont soulevé des inquiétudes concernant un tel revirement rapide.
Une version coordonnée s’est produite le lundi 11 août, et les administrateurs de serveurs ont été réalisés trois jours pour mettre à niveau avant que Matrix ne divulgue les détails de la vulnérabilité et introduit la version 12 de la salle aujourd’hui.
« Tout ce processus a été très inhabituel pour l’écosystème, et il est regrettable que nous n’ayons pas pu effectuer ces changements à l’air libre », a écrit Kegan Dougal, ingénieur du personnel de Matrix, dans un article de blog.
Le projet, nommé «Hydra», est un effort coordonné et continu des équipes de sécurité et des consultants de Matrix pour améliorer la sécurité du protocole. Pendant la période d’embargo, la fondation a publié des versions expurgées de Matrix Spec Changes (MSC) «Dès que nous étions à l’aise du point de vue de la sécurité».
Avakian a expliqué que les correctifs et les conseils mis à jour incluent la modification de la façon dont les salles de chat sont gérées et de la façon dont leurs identifiants sont créés.
« Si votre organisation n’est connectée qu’à votre propre système (pas de fédération), vous êtes fondamentalement bien », a-t-il déclaré. « Si vous vous connectez à d’autres serveurs, en particulier ceux auxquels vous ne pouvez pas en pleinement faire confiance, vous devez mettre à jour les salles du nouveau format, ainsi que de vous assurer que vos applications et robots de messagerie sont également mis à jour, afin qu’ils ne se cassent pas. »
Les vulnérabilités pourraient permettre aux pirates de perturber les conversations sensibles
Les vulnérabilités sont considérées comme «élevées» plutôt que «critiques», selon la fondation, car elles «n’entraînent pas de compromis ou d’exposition des données». Matrix note qu’il n’est pas au courant des problèmes exploités.
S’il n’est pas abordé immédiatement, Avakian a expliqué que les deux défauts graves pourraient permettre aux pirates de perturber les conversations et les communications de confiance. On pourrait laisser un mauvais acteur prendre le contrôle des pouvoirs de «créateur» pour une salle de chat, leur permettant d’apporter des modifications, de rediriger les gens vers une autre pièce ou de fermer la pièce. L’autre pourrait permettre à quelqu’un de prédire l’adresse d’une pièce avant que le créateur ne l’initialise, ce qui pourrait provoquer une confusion ou permettre aux acteurs de menace de créer une fausse version d’une pièce.
Cela pourrait leur permettre de «répandre potentiellement une désinformation, de inciter les gens à partager des informations ou simplement à arrêter les canaux de communication essentiels aux affaires ou pendant une crise ou un projet sensible», a-t-il déclaré.
Nouveau MSCS regroupé dans la version 12
Matrix a déclaré qu’il avait pris la «décision inhabituelle» des MSC embargo en raison du risque d’exploitation. Ils incluent:
- MSC4289: Données explicites que les créateurs de chambres ont un pouvoir «infini». «Le contrôle d’accès nécessite une hiérarchie et le créateur est en haut de cette hiérarchie», explique Matrix. Cela permet également aux administrateurs de promouvoir d’autres utilisateurs de se dire ou de se rétrécir s’ils perdent le contrôle de leurs chambres. «Si les créateurs deviennent voyous ou disparaissent, la solution consiste à établir un nouveau créateur en améliorant la pièce ou en créant un nouveau.»
- MSC4291: Modifie le format des ID de la pièce afin qu’ils soient les mêmes que l’identifiant de l’événement. Matrix explique qu’il s’agit d’une mesure de précaution pour empêcher une classe théorique d’attaques où les administrateurs malveillants introduisent de faux événements dans une pièce pour le détourner.
- MSC4297: Protège contre les «réinitialisations de l’État» qui reviennent à une pièce à un état antérieur. De telles réinitialisations peuvent remettre à nouveau les utilisateurs dans une pièce qu’ils ont laissée; ou le serveur peut ne plus reconnaître les utilisateurs précédemment présents.
Ces MSC sont regroupées dans la version 12 de la salle, qui devrait être officiellement publiée plus tard ce mois-ci.
Mettre à niveau maintenant, soyez pointilleux sur les connexions à long terme
Les utilisateurs de Matrix et les administrateurs de serveurs sont invités à mettre à niveau les clients vers la dernière version et à s’assurer qu’il prend en charge la prochaine version 12 de la salle.
Avakian recommande de mettre à jour tous les clients et bots, y compris toutes les applications, intégrations ou outils automatisés connectés à un serveur de matrice. Les connexions aux sites externes doivent être limitées dans la mesure du possible, et les administrateurs et les utilisateurs clés doivent être alertés immédiatement sur les modifications.
« Comme pour tout changement critique, l’emploi d’une approche de test d’abord évitera le potentiel de briser les choses pour les utilisateurs finaux et de perturber les affaires », a-t-il déclaré.
À long terme, a-t-il exhorté, être «pointilleux» sur qui vous vous connectez, autorisez uniquement la fédération avec des serveurs de confiance et vous assurer que le vrai «créateur» est le seul capable d’effectuer certains changements ou actions. Surveillez régulièrement par l’exploitation de l’exploitation des événements et examinez les changements importants de la salle pour une activité suspecte. Et appliquez toujours des correctifs et des mises à jour, mais seulement après des tests appropriés.
« De plus, il est important de garder à l’esprit les principes de confiance zéro », a déclaré Avakian. « Traitez les autres serveurs avec prudence, même s’ils font partie de votre réseau et sécurisent en conséquence. »
