Techno

Chiffrement de courriel, des vulnérabilités potentielles découvertes

André Boily

Lundi, 14 Mai 2018, 23:17

La messagerie chiffrée Pretty Good Privacy

Des chercheurs européens en sécurité informatique ont trouvé le moyen d'extraire le texte de courriels chiffrés par les encodages PGP et S/MIME.

Certains trouvent la faille importante, d'autres moins. N'empêche, des chercheurs en sécurité informatique ont découvert des faiblesses dans la carapace des deux protocoles de chiffrement les plus utilisés, soit PGP et S/MIME, pour protéger les transmissions de messagerie courriels.

Appelée EFail, cette faille affecte en tout une douzaine de logiciels clients comme Apple Mail Microsoft Outlook ou Thunderbird pour me mentionner que ceux-là. Ceux-ci empruntent une extension de sécurité pour chiffrer les courriels ou encore intègrent une norme à même le code du logiciel. De leur côté, les systèmes de messagerie Web ne sont pas visés par la découverte.

Pour exploiter la faille, il vous faut une copie des courriels chiffrés de la personne visée. Les chercheurs ont découvert qu'en altérant le contenu chiffré avec des codes informatiques, on pouvait produire un procédé HTML (du code de pages Web en somme).

Une fois altéré, le courriel chiffré pouvait être renvoyé au logiciel client du destinateur qui va le déchiffrer par erreur, puis le renvoyer au serveur du pirate potentiel par une demande URL.

Ça peut paraître compliqué à première vue, surtout que PGP est un vieux code de chiffrement datant des années 90 très peu utilisé de nos jours et dont l'acronyme signifie Pretty Good Privacy.

Mais il reste que plusieurs journalistes, activistes politiques ou avertisseurs d'alerte utilisent ces chiffrements pour protéger leurs courriels qui, autrement, sont envoyés en format texte brut - comme tous les courriels que vous envoyez et recevez quotidiennement.

Pour une sécurité accrue, la fondation EFF (Electronic Frontier Foundation) recommande des plateformes chiffrées autres que la messagerie courriel pour envoyer des messages, comme Signal qui est disponible sur appareils mobiles et ordinateurs. Et d'utiliser des outils de déchiffrement hors ligne pour ouvrir les messages PGP reçus par le passé.

Les éditeurs de logiciels clients sont déjà à l'oeuvre pour colmater la faille.

Articles recommandés

Ailleurs sur le web

Menu