Des failles critiques dans les outils PGP et S / MIME peuvent révéler des e-mails cryptés en format texte

Un avertissement important pour les personnes utilisant des outils de cryptage de courrier électronique très répandus (PGP et S / MIME) pour les communications sensibles.

Une équipe de chercheurs européens en sécurité a publié un avertissement concernant un ensemble de vulnérabilités critiques découvertes dans les outils de chiffrement PGP et S / Mime qui pourraient révéler vos messages chiffrés en clair.

Ce qui est pire ? Les vulnérabilités ont également un impact sur les e-mails cryptés que vous avez envoyés par le passé.

PGP, ou Pretty Good Privacy, est une norme de chiffrement de bout en bout open source utilisée pour chiffrer les emails de manière à ce que personne, pas même l’entreprise, le gouvernement ou les cybercriminels, ne puisse espionner votre communication.

S / MIME, Secure / Multipurpose Internet Mail Extensions, est une technologie basée sur la cryptographie asymétrique qui permet aux utilisateurs d’envoyer des e-mails cryptés et signés numériquement.

Sebastian Schinzel, professeur de sécurité informatique à l’Université des Sciences Appliquées de Münster, s’est rendu sur Twitter pour avertir les utilisateurs du problème, et a déclaré qu ’"il n’y a actuellement aucun correctif fiable pour cette vulnérabilité".

Electronic Frontier Foundation (EFF) a également confirmé l’existence de vulnérabilités « non divulguées » et a recommandé aux utilisateurs de désinstaller les applications PGP et S / MIME jusqu’à ce que les failles soient corrigées.

« EFF a été en communication avec l’équipe de recherche, et peut confirmer que ces vulnérabilités représentent un risque immédiat pour ceux qui utilisent ces outils de communication électroniques, y compris l’exposition potentielle du contenu des messages passés, » a déclaré l’organisation dans son billet de blog .

"Notre conseil, qui reflète celui des chercheurs, est de désactiver et / ou désinstaller immédiatement les outils qui décryptent automatiquement les e-mails cryptés par PGP."

Ainsi, tant que les vulnérabilités ne sont pas corrigées, il est conseillé aux utilisateurs d’arrêter d’envoyer et surtout de lire les courriers électroniques cryptés par PGP pour le moment, et d’utiliser des outils sécurisés alternatifs de bout en bout, tels que Signal .
EFF a averti les utilisateurs de désactiver immédiatement s’ils ont installé l’un des plugins / outils mentionnés ci-dessous pour gérer les emails cryptés :

  • Thunderbird avec Enigmail
  • Apple Mail avec GPGTools
  • Outlook avec Gpg4win

Il convient de noter que les chercheurs n’ont pas affirmé que les failles résident dans la façon dont l’algorithme de chiffrement fonctionne ; à la place, les problèmes apparaissent dans le fonctionnement des outils de décryptage / plugins.

Les détails techniques complets des vulnérabilités seront publiés dans un journal mardi à 7h00 UTC (3h00 du matin, heure de l’Est du Pacifique).

Restez à l’écoute de The Hacker News pour plus de détails sur les vulnérabilités.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 30 |

Actu en image