Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Des vulnérabilités découvertes dans les plugins PGP/GPG de nos clients mails


#1

Publié initialement à : https://korben.info/des-vulnerabilites-decouvertes-dans-les-plugins-pgp-gpg-de-nos-clients-mails.html

On n'a pas encore tous les détails mais un groupe de chercheurs en sécurité dont Sebastian Schinzel, Damian Poddebniak, @dr4ys3n, @jensvoid, @Murgi, @seecurity, @cryptosorcerer, @jurajsomorovsky et Jörg Schwenk de @fh_muenster, @ruhrunibochum, @LeuvenU, ont découvert des vulnérabilités au niveau du chiffrement des emails avec PGP/GPG et S/MIME.

On ne connait pas encore les détails de ces failles qui seront révélées demain, mais elles permettent de lire en clair des emails chiffrés avec PGP, y compris les anciens emails.

https://twitter.com/mikko/status/995927790829670400

Autant dire que ça craint un max. Pour le moment, il n'y a pas de patch et ce que recommande l'EFF et le groupe de chercheurs, c'est tout simplement de désactiver les plugins PGP/GPG qui sont capables de déchiffrer automatiquement vos emails dans des clients mails comme Apple Mail, Thunderbird ou encore Outlook.

D'après ce que j'ai pu lire, et sauf erreur de ma part, ce ne sont pas des failles qui touchent réellement le coeur de PGP/GPG ou son niveau de chiffrement mais plutôt des failles qui au travers de plugins pour client mail, permettent d'exploiter le mode de déchiffrement automatiquement pour ensuite extraire les emails en clair.

On verra bien demain.

En attendant, pour savoir comment désactiver ces plugins, l'EFF a réalisé des petits guides que voici :

Source


#2

Apparemment, ce serait lié aux mails en HTML, notamment aux liens externes (https://lists.gnupg.org/pipermail/gnupg-users/2018-May/060315.html). Enfin, suffit de pas faire de mails en HTML, ça fait des années qu’on dit que c’est mal :stuck_out_tongue: .


#3

Et non pas de chance c’est expliqué ici :
"I don’t send HTML emails. Am I safe?"
No. The attacker can change encrypted text/only emails to HTML emails. You need to disable viewing HTML email to increase protection from EFAIL attacks.

Lien d’information sur cette découverte Bonne lecture
C’est une super tuile qui nous tombe dessus.