D'après l'expert en sécurité Steve Thomas, les messages envoyés depuis Cryptocat entre le 17 Octobre 2011 et le 15 Juin 2013 sont compromis. La faille de sécurité affecte toutes les versions du logiciel de chat depuis la version 2.0.
La faille a été découverte récemment et a été corrigée dans la version 2.0.42.
Thomas dit que la vulnérabilité a été déclenchée par une faille dans le code pour convertir des chaînes de caractères en tableaux d'entiers. Une fonction qui attend un tableau de valeurs entières de 15 bits a été effectivement convertis en une série de chiffres de 0 à 9 avec la valeur ASCII du chiffre prenant la place de la valeur entière de 15 bits et a diminué les valeurs possibles de 2^15 à 10. Cela signifiait que les clés privés Elliptic Curve Cryptography (ECC) ou cryptographie sur les courbes elliptiques seraient "ridiculement faibles" et présenteraient un vecteur d'attaque idéal pour du brute force. L'expert a été particulièrement mécontent du commentaire fait lors de la correction du bug car les développeurs ont essayé de couvrir leur erreur en disant que cette mise à jour a été effectuée en raison de problèmes de compatibilité ascendante (mouarf!).
Cryptocat est conçu pour fournir un service de chat en ligne chiffré. Il utilise la messagerie Off-the-Record (OTR) pour chiffrer les messages des utilisateurs. Cette technique génère de nouvelles paires de clés pour chaque chat afin de créer ce qui est connu sous le nom de Perfect-Forward-Secrecy (PFS). L'idée est d'empêcher les pirates de sniffer les clés adjacentes quand une clé est crackée dans le canal de communication afin que les messages antérieurs et postérieurs continuent d'être protégés. Cryptocat peut être utilisé comme une extension de navigateur pour Chrome, Firefox et Safari. Thomas dit que cette faille permet de déchiffrer une conversation en une poignée de minutes...
Les développeurs de Cryptocat ont depuis répondu avec un post sur leur blog, en remerciant expressément Steve Thomas pour son effort. Selon les développeurs, le bug n'a pas affecté les conversations privées mais les discussions de groupe avec plus de deux participants.
L'incident a également causé de l'embarras pour les spécialistes en sécurité de VeraCode. En Février, l'équipe de Cryptocat avait fièrement annoncée que Cryptocat avait gagné un niveau de classification VeraCode 2 et un score de sécurité de 100/100. (Re-mouarf!)
Jeu de briques
Snake
Pacman
Bubble