mercredi 1 janvier 2020

Panique sur le mail : failles de sécurité au sein de PGP et S/MIME

Panique sur le mail : failles de sécurité au sein de PGP et S/MIME

Sécurité : L’Electronic Frontier Fondation diffuse un avertissement à l’attention des utilisateurs de mails chiffrés : une faille a été découverte par des chercheurs dans les protocoles PGP et S/MIME et pourrait exposer les messages protégés par ces outils en clair.
Les failles en question n’ont pas encore été révélées publiquement : les chercheurs à l’origine de cette découverte indiquent qu’un article doit être publié demain afin d’exposer en détail les vulnérabilités identifiées. Sur Twitter, l’un des chercheurs à l’origine de la découverte indique que la faille en question pourrait permettre à un attaquant de révéler le contenu de certains mails chiffrés.
 
L’EFF confirme les découvertes des chercheurs et appelle les utilisateurs d’outils de chiffrement à désactiver purement et simplement les plugins PGP sur leurs outils de gestion des mails et conseille d’avoir recours à des outils de communications chiffrée alternatifs, tel que Signal. Aucun correctif n’est en effet disponible pour l’instant.

Don’t believe the hype ?

Les détails concernant la faille ne seront publiés que demain, mais déjà plusieurs chercheurs relativisent la portée de celle-ci. Comme l’explique le développeur du projet GnuPG sur sa mailing list, le problème semble en effet résider dans l’implémentation des plugins de chiffrement PGP plus que dans le protocole en lui-même.
Selon lui le problème réside plutôt dans la façon dont le client de messagerie se comporte lorsqu’il rencontre des liens html dans les mails chiffrés. Face à cette faille de sécurité, tous les clients de messagerie et toutes les implémentations de PGP S/MIME ne se valent donc pas. L'un des développeurs du projet Enigmail, l'extension de chiffrement OpenPGP pour Thunderbird, sembleêtre d'accord avec lui et appelle à ne pas céder à la panique. 
Dans le doute, mieux vaut donc attendre la publication de l’article contenant les détails de la faille, prévue pour demain. Beaucoup de chercheurs estiment qu’il vaut mieux attendre et rester prudent, quand bien même un avertissement de l’EFF n’est pas une chose à prendre à la légère.
Si vous avez une information d’importance capitale à communiquer à l’un de vos correspondants, il vaut peut être mieux utiliser un autre outil ou attendre quelques jours, le temps de pouvoir mieux jauger de la portée de la faille. Mais il est encore un peu tôt pour déclarer que PGP et S/MIME sont irrémédiablement troué
Disqus Comments

APROPOS DE MOI




a


SALUT,moi
je m'appel FEUNKOUA TALLA NELSON MANDELA
passionné de la nouvelle technologie de l'informatique.
je suis camerounais étudiant au lycée, ayant crée ce site
juste pour exprimer mon savoir en informatique.
MERCI

Post du jour

Comment aller au menu ingénieur et depacter voir desimlocker son Android

cette application, vous peut sembler pour le chinois, mais si vous avez un  smartphone  Android MTK, c'est un  téléphone avec ...

articles recents