Une vulnérabilité majeure a été découverte dans certaines méthodes de chiffrement des mails. Les détails seront dévoilés demain, mardi 15 mai, mais cette faille de sécurité est suffisamment dangereuse pour que tous les utilisateurs de ces moyens de chiffrement en prennent connaissance dès aujourd'hui. Inutile de paniquer pour autant, cette vulnérabilité qui permet de lire les messages sans avoir la clé de déchiffrement ne concerne a priori qu’une partie d’utilisateurs. En revanche, la faille touche tous les mails chiffrés par les plug-ins concernés et il n’y a, à ce jour, aucun correctif.
À défaut d’avoir les détails exacts, on connaît les recommandations des chercheurs en sécurité européens qui ont découverts la faille et de l’EFF qui a travaillé avec eux. Leur conseil est de désactiver les modules qui permettent de chiffrer et déchiffrer les messages dans les clients mails, et d’utiliser un autre moyen de communication protégé pour le moment. Des instructions sont disponibles pour Mail (avec GPGTools), le client par défaut de macOS, pour Thunderbird (avec Enigmail) et pour Outlook (avec Gpg4Win).
Ces mesures sont temporaires, le temps pour les développeurs de ces solutions de chiffrement de mettre au point un vrai correctif. Il semble que seuls ces trois clients mail, avec trois modules précis, sont concernés, pas les protocoles de chiffrement eux-mêmes, ce qui serait une bonne nouvelle. On en saura plus demain, mais en attendant, mieux vaut suivre les recommandations si vous utilisez ces solutions de chiffrement dans les trois logiciels listés par l’EFF.
[MàJ 14/05/2018 12h28] : puisque la faille commençait à fuiter, les chercheurs en sécurité ont décidé de publier en avance leurs découvertes. Toutes les explications sont disponibles sur le site officiel nommé « EFAIL ». Nous prendrons le temps d’analyser en détail le contenu de cette vulnérabilité, mais disons déjà qu’il s’agit d’une vraie faille de sécurité qui concerne les protocoles de chiffrement et non quelques clients, comme nous le suggérions initialement. Mieux vaut utiliser d’autres méthodes de communication sécurisée pour le moment.