Un groupe de chercheurs a découvert une série de failles dans les protocoles PGP / GPG et S / MIME. Les faiblesses ont été confirmées par le FEP, ce qui indique qu’avec elles il est possible d’exposer le contenu des messages cryptés que nous avons reçus dans le passé. Notre courrier, par conséquent, serait découvert malgré le fait d’être chiffré théoriquement.
Il est recommandé de désactiver les extensions qui déchiffrent PGP
Le conseil fondamental pour tous les utilisateurs de cette technologie est de désactiver ou de désinstaller tout outil qui déchiffre automatiquement les e-mails cryptés avec PGP. Il existe des instructions pour le faire dans des cas tels qu’Enigmail dans Thunderbird, GPGTools dans Apple Mail ou Gpg4win dans Outlook. Il est également conseillé d’arrêter d’utiliser ce type de cryptage dans nos communications, et de passer à d’autres alternatives avec un cryptage de bout en bout déjà bien établi dans les communications mobiles, tel que Signal, option recommandée par Electronic Frontier Fondation.
Le problème réside dans les clients de messagerie, pas dans le protocole
Les chercheurs responsables de cette découverte se plaignent que l’embargo n’a pas été respecté par certains médias et experts. Certains les critiquent parce qu’ils ont contacté le FEP. Comme exemple, ils n’ont pas délivré les détails du problème aux développeurs OpenPGP. L’un des responsables du développement, Werner Koch, a expliqué dans la liste de diffusion OpenPGP comment l’annonce a été quelque peu exagérée. Le document des chercheurs et lui-même ont souligné que la vulnérabilité tire parti de l’utilisation du HTML dans le courrier.
Deux attaques avec des atténuations à court et à long terme
Dans l’article des chercheurs, plus de détails sont donnés sur ces vulnérabilités, qui selon eux peuvent être exploitées avec deux types d’attaques. Tout d’abord, il y a l’attaque « exfiltration directe » qui tire profit des vulnérabilités dans Apple Mail, iOS Mail et Mozilla Thunderbild, qui peuvent être corrigées par les clients, donc on s’attend à ce que les patchs apparaissent bientôt pour atténuer ces risques. La deuxième attaque est ce que l’on appelle le gadget CBC / CFB, (Cipher-Block-Chaining / Cipher-FeedBack), les systèmes de cryptage symétrique utilisés dans OpenPGP.
Pour ces chercheurs, les principales méthodes pour résoudre ces deux problèmes sont les suivantes:
À court terme: désactiver le décryptage direct dans le client de messagerie. Nous devrons utiliser une application distincte de notre client pour déchiffrer ces emails, quelque chose d’encombrant, mais qui nous procure une sécurité totale en évitant les risques. Les attaques EFAIL abusent du contenu actif, par exemple dans les images et les styles HTML, et la désactivation du rendu nous empêche de nous exposer.
Il y a d’autres façons d’exploiter le problème, mais elles sont beaucoup plus complexes, disent-ils.
À moyen terme: les correctifs. Comme nous l’avons indiqué dans les clients affectés par le premier type d’attaque, certains développeurs vont fournir des correctifs pour éviter le problème.
À long terme: mettre à jour les standards OpenPGP et S / MIME. C’est la proposition des chercheurs, bien qu’il semble que les responsables de cette norme ne soient pas d’accord, comme Werner Koch l’a expliqué dans ce message.
Le problème existe, mais la vérité est que OpenPGP n’est pas particulièrement étendu, car son utilisation n’a pas été facilitée.
Soyez le premier à commenter