« Ne paniquez pas ! Mais vous devez arrêter d'utiliser PGP pour chiffrer les emails et passer à une méthode de communication sécurisée différente pour le moment. » C'est ainsi qu'alerte l'Electronic frontier foundation (EFF), ONG de protection des libertés sur Internet basée à San Francisco. Elle relaie en effet un article d'un groupe de chercheurs allemands alertant sur des failles de sécurité au sein des protocoles de chiffrement d'emails PGP et S/MIME. Le groupe a réalisé une preuve de concept sur une seule implémentation de ce type d'attaque, des variantes pourraient apparaître dans les prochains jours. L'article décrit deux attaques qui ont en commun de rendre lisibles des courriels chiffrés après que la personne victime ait ouvert un email malveillant envoyé par un pirate.
La première vulnérabilité est une attaque par « exfiltration directe ». Par ce biais, les attaquants exploitent la manière dont les clients de messagerie affichent du code HTML pour l'utilisateur. Après avoir eu accès à une copie d'un message chiffré - qu'il n'a pas pu décrypter - le hacker crée un nouveau message en clair incluant le premier. Le logiciel de messagerie de la victime « déchiffre la deuxième partie du corps chiffrée et assemble les parties du corps dans un courriel HTML ». Via une étiquette « img » renvoyant à une URL déterminée par le hacker, l'analyseur HTML du client de messagerie exfiltre alors immédiatement le message décrypté vers un serveur contrôlé par le pirate.
Des correctifs qui prendront du temps à être déployés
Le deuxième mode d'attaque utilise les propriétés de malléabilité. En effet, avec certains algorithmes de chiffrement, un attaquant peut modifier un texte chiffré même s'il ne peut pas le lire lui-même. Les algorithmes de cryptage modernes ajoutent des mécanismes pour assurer l'intégrité d'un message, assurant au destinataire que ce texte n'a pas été falsifié. Seulement les black hats ont aussi trouvé des moyens de supprimer ces contrôles d'intégrité. Et la norme OpenPGP ne spécifie pas quoi faire si une vérification d'intégrité n'est pas effectuée. Et donc les clients de messagerie affichent quand même un message incorrect permettant aux hackers d'accéder aux contenus par le procédé exposé plus haut.
Si l'EFF indique que des correctifs logiciels ont commencé à être déployés et que cela prendra du temps et que PGP est jusqu'à aujourd'hui la solution la plus fiable de chiffrement d'emails, la fondation recommande tout de même de désactivez ou désinstallez les plugins d'emails PGP pour le moment. « Ne déchiffrez pas les messages PGP cryptés que vous recevez. Utilisez plutôt des plates-formes de messagerie non basées sur le courrier électronique, telles que Signal, pour vos besoins de messagerie cryptée. Utilisez les outils hors ligne pour déchiffrer les messages PGP que vous avez reçus dans le passé. Vérifiez les mises à jour sur notre site Surveillance Self-Defense concernant les mises à jour des clients et les systèmes de messagerie sécurisés améliorés. »
Commentaire