Panique sur le mail : failles de sécurité au sein de PGP et S/MIME

Sécurité : L’Electronic Frontier Fondation diffuse un avertissement à l’attention des utilisateurs de mails chiffrés : une faille a été découverte par des chercheurs dans les protocoles PGP et S/MIME et pourrait exposer les messages protégés par ces outils en clair.

Le chiffrement des mails a du plomb dans l’aile :dans un avertissement, l’Electronic Frontier Foundation alerte les utilisateurs d’outils de chiffrement de mails de la découverte de failles de sécurité importantes au sein des protocoles PGP et S/MIME. Ces deux protocoles sont utilisés pour assurer le chiffrement des mails de bout en bout et sont généralement considérés comme les outils de référence à utiliser pour s’assurer de la confidentialité des échanges. Ils sont notamment utilisés par des applications comme Proton Mail ou encore le plugin Enigmail.

Les failles en question n’ont pas encore été révélées publiquement : les chercheurs à l’origine de cette découverte indiquent qu’un article doit être publié demain afin d’exposer en détail les vulnérabilités identifiées. Sur Twitter, l’un des chercheurs à l’origine de la découverte indique que la faille en question pourrait permettre à un attaquant de révéler le contenu de certains mails chiffrés.

L’EFF confirme les découvertes des chercheurs et appelle les utilisateurs d’outils de chiffrement à désactiver purement et simplement les plugins PGP sur leurs outils de gestion des mails et conseille d’avoir recours à des outils de communications chiffrée alternatifs, tel que Signal. Aucun correctif n’est en effet disponible pour l’instant.

Don’t believe the hype ?

Les détails concernant la faille ne seront publiés que demain, mais déjà plusieurs chercheurs relativisent la portée de celle-ci. Comme l’explique le développeur du projet GnuPG sur sa mailing list, le problème semble en effet résider dans l’implémentation des plugins de chiffrement PGP plus que dans le protocole en lui-même.
Selon lui le problème réside plutôt dans la façon dont le client de messagerie se comporte lorsqu’il rencontre des liens html dans les mails chiffrés. Face à cette faille de sécurité, tous les clients de messagerie et toutes les implémentations de PGP S/MIME ne se valent donc pas. L'un des développeurs du projet Enigmail, l'extension de chiffrement OpenPGP pour Thunderbird, sembleêtre d'accord avec lui et appelle à ne pas céder à la panique.
Dans le doute, mieux vaut donc attendre la publication de l’article contenant les détails de la faille, prévue pour demain. Beaucoup de chercheurs estiment qu’il vaut mieux attendre et rester prudent, quand bien même un avertissement de l’EFF n’est pas une chose à prendre à la légère.
Si vous avez une information d’importance capitale à communiquer à l’un de vos correspondants, il vaut peut être mieux utiliser un autre outil ou attendre quelques jours, le temps de pouvoir mieux jauger de la portée de la faille. Mais il est encore un peu tôt pour déclarer que PGP et S/MIME sont irrémédiablement troué