PGP - Pretty Good Privacy - est un système qui suit le standard OpenPGP pour le chiffrement et le déchiffrement de données. Il peut être utilisé pour les échanges privés d'emails. Avec le principe de la cryptographie asymétrique, une clé publique mise à disposition permet de chiffrer des messages qui sont déchiffrés avec une clé privée.

Cela permet à quiconque de chiffrer des données et de les envoyer à un destinataire qui est le seul capable de les déchiffrer avec sa clé privée. La communication est ainsi sécurisée avec la source qui est protégée. La pratique est commune pour des équipes de sécurité informatique.

C'est le cas avec Product Security Incident Response Team (PSIRT) d'Adobe qui a commis une boulette en publiant la clé publique… mais aussi sa clé privée. Adobe PSIRT s'occupe de la protection pour des vulnérabilités affectant des produits d'Adobe, et propose une communication via une adresse psirt@adobe.com.

Retirée depuis, la publication accidentelle avait été repérée et relayée par un chercheur en sécurité finlandais extrêmement surpris. En fin de semaine dernière, Adobe PSIRT a rapidement publié une nouvelle clé publique… seule, après avoir révoqué l'ancienne.

La publication accidentelle pourrait être due à l'emploi d'une extension pour navigateur permettant d'exporter des clés dans un fichier texte. Une personne aurait appuyé sur le mauvais bouton, en ne cliquant pas sur uniquement le bouton pour l'exportation de la clé publique.

Un fail, même si Naked Security (Sophos) souligne toutefois que la clé privée diffusée par erreur par Adobe PSIRT était elle-même chiffrée avec une passphrase. " Cela signifie qu'elle ne peut pas être utilisée sans un code secret de déverrouillage, mais les clés privées ne sont pas censées être divulguées, même si elles sont stockées sous forme chiffrée ", écrit Naked Security.