Secu
Failles dans PGP : buzz ou alerte sur le chiffrement des mails
Par Jacques Cheminat, publié le 15 mai 2018
Des universitaires ont découvert une vulnérabilité au sein de l’outil de chiffrement PGP, ainsi que dans les plugins pour des services de messagerie. Les utilisateurs sont invités à désactiver les plug-ins concernés et se tourner vers des solutions de chiffrement de bout en bout. Certains experts crient à une mauvaise communication et constatent que des patchs existent depuis plusieurs mois.
Coup de froid sur le chiffrement et en particulier sur PGP (Pretty Good Privacy). En effet, tout est parti d’un tweet de Sebastian Schinzel, professeur de sécurité informatique à l’université de science appliquée de Münster, où il indique « nous publierons des failles dans PGP/GPG et S/MIME le 15 mai 2018 à 7 h. Elles peuvent révéler en clair des messages chiffrés, ainsi que d’anciens messages chiffrés envoyés ». Dans un autre message, l’universitaire précise « Il n’existe actuellement aucun correctif fiable sur ces vulnérabilités. Si vous utilisez PGP / GPG ou S / MIME pour une communication très sensible, vous devez le désactiver dans votre client de messagerie ». Finalement face à la pression, les chercheurs ont publié leurs travaux sur le site Efail.de donnant ainsi ce nom aux vulnérabilités trouvées.
Pour valider et vérifier les travaux de l’équipe de Sebastian Schinzel, les chercheurs ont partagé leurs résultats avec plusieurs personnes et organisations. Parmi elles, l’Electronic Frontier Foundation (EFF) évaluant que « ces vulnérabilités présentent un risque immédiat pour ceux qui utilisent ces outils pour échanger par courrier électronique, y compris l’exposition potentielle du contenu des messages anciens ».
Pour l’association, le conseil est similaire à celui des chercheurs, « désactiver et/ou désinstaller les outils qui déchiffrent automatiquement les mails cryptés PGP ». L’EFF cite différents services impactés : Thunderbird with Enigmail, Apple Mail with GPGTools et Outlook with Gpgwin4. In fine, L’EFF conseil aux utilisateurs de se tourner vers des solutions alternatives avec un chiffrement de bout en bout, comme Signal.
Une divulgation irresponsable
GNU Privacy Guard, à l’origine d’une version libre d’OpenPGP, modère le scénario catastrophe en expliquant dans un tweet, « Ils ont trouvé des clients de messagerie ne vérifiant pas correctement les erreurs de déchiffrement et suivent également les liens dans les mails HTML. Donc, la vulnérabilité est dans les clients de messagerie et non dans les protocoles. En fait, OpenPGP est immunisé s’il est utilisé correctement, tandis que S/MIME n’a pas déployé de remédiation ».
D’autres spécialistes accusent Sebastian Schinzel et son équipe d’avoir mené une campagne de buzz pouvant provoquer une panique autour de PGP. Protonmail a très vite réagi à travers Twitter pour explique que son service de messagerie sécurisée n’était pas impacté par Efail, « la principale faille réside dans plusieurs clients PGP, mais PGP et OpenPGP se portent bien ». Il en profite aussi pour tacler l’EFF et les chercheurs, « Efail est le meilleur exemple d’une divulgation irresponsable. Puis des conseils irresponsables de l’EFF et des médias pour désactiver PGP alors que plusieurs solutions sont déjà patchées ». Un débat à suivre…