EFAIL : une faille permet de lire les mails en théorie chiffrés [MàJ]
Une vulnérabilité majeure a été découverte dans certaines méthodes de chiffrement des mails. Les détails seront dévoilés demain, mardi 15 mai, mais cette faille de sécurité est suffisamment dangereuse pour que tous les utilisateurs de ces moyens de chiffrement en prennent connaissance dès aujourd'hui. Inutile de paniquer pour autant, cette vulnérabilité qui permet de lire les messages sans avoir la clé de déchiffrement ne concerne a priori qu’une partie d’utilisateurs. En revanche, la faille touche tous les mails chiffrés par les plug-ins concernés et il n’y a, à ce jour, aucun correctif.
À défaut d’avoir les détails exacts, on connaît les recommandations des chercheurs en sécurité européens qui ont découverts la faille et de l’EFF qui a travaillé avec eux. Leur conseil est de désactiver les modules qui permettent de chiffrer et déchiffrer les messages dans les clients mails, et d’utiliser un autre moyen de communication protégé pour le moment. Des instructions sont disponibles pour Mail (avec GPGTools), le client par défaut de macOS, pour Thunderbird (avec Enigmail) et pour Outlook (avec Gpg4Win).
Ces mesures sont temporaires, le temps pour les développeurs de ces solutions de chiffrement de mettre au point un vrai correctif. Il semble que seuls ces trois clients mail, avec trois modules précis, sont concernés, pas les protocoles de chiffrement eux-mêmes, ce qui serait une bonne nouvelle. On en saura plus demain, mais en attendant, mieux vaut suivre les recommandations si vous utilisez ces solutions de chiffrement dans les trois logiciels listés par l’EFF.
[MàJ 14/05/2018 12h28] : puisque la faille commençait à fuiter, les chercheurs en sécurité ont décidé de publier en avance leurs découvertes. Toutes les explications sont disponibles sur le site officiel nommé « EFAIL ». Nous prendrons le temps d’analyser en détail le contenu de cette vulnérabilité, mais disons déjà qu’il s’agit d’une vraie faille de sécurité qui concerne les protocoles de chiffrement et non quelques clients, comme nous le suggérions initialement. Mieux vaut utiliser d’autres méthodes de communication sécurisée pour le moment.
Un monde truffé de failles...
Et on veut encore et encore tout informatiser...
@pagaupa
Tu crois que le courrier postal classique était plus protégé ?
ben je pouvais écrire avec du citron :-)
@xDave
Alors qu’à présent on peut écrire avec des ?
@pagaupa
Sans informatique, il y avait aussi beaucoup de failles. Il ne faut pas toujours associer ces deux mots.
@pagaupa
Les programmes étant écrits par des humains, il y a forcément des failles et il y en aura toujours
Si on regarde uniquement les vulnérabilités, ne nous leurrons pas, ce n'était pas mieux avant où d'un seul coup d'œil toute ta famille, tes voisins et tes collègues connaissaient toute ta vie sans possibilité d'y faire quoique ce soit.
Si on regarde, en revanche, l'impact à plus grande échelle, là je lui donne effectivement raison : cela peut toucher énormément de clients très rapidement.
Mais il y a bien sur une grande différence (on l'a vu avec "Spectre") entre vulnérabilité et menace, souvent le grand public confond.
Pour l'instant on en sais pas encore assez sur les failles exploitées et il faut rester tres prudent, mais c'est du serieux et comme le dit l'article dans sa mise a jour, le probleme se situe dans le protocole et pas dans les réalisations (qui peuvent elles aussi embarquer des failles).
Le plus important a prendre en compte c'est que la faille concernant le protocole S/MIME rend virtuellement tout courrier comme potentiellement corrompu... et l'attaque possible est de type man in middle, donc avec une possibilité que le courrier soit modifié entre l'expediteur et le serveur...
En tout cas le moi de mai semble bien chargé au niveau problèmes de sécurité. Il y a quelque jour c’était une arrivée de nouvelles exploitation des variantes de Spectre qui étaient révélées...
C’est original d’écrire « il semble » et de mettre un présent de l’indicatif derrière « sont » ;-)
Ca a au moins le mérite de rappeler que HTML n'est pas un format adapté pour les emails, et que son usage ouvre des portes qu'il ne faut surtout pas ouvrir.
A propos, kkun connais un client email qui supporte nativement le markdown ?
[Doublon]