EFAIL: HTML divulgue des courriels cryptés
Les chercheurs ont donné plus d’informations à propos du problème évoqué hier, à savoir que les mails cryptés avec PGP et S/MIME peuvent être déchiffrés par des tiers.
EFAIL – telle est l’appellation donné au problème en question – permet à des hackers de déchiffrer des courriels cryptés avec PGP ou S/MIME. Cela peut se faire en envoyant un mail spécialement conçu à cet effet avec un contenu HTML. Ce dernier comprend un lien et lorsque la boîte mail de la victime établit un contact avec ce lien, le message est expédié non-crypté.
L’attaque peut se faire en deux temps: un courriel avec un lien dans le code HTML doit d’abord être envoyé à la victime. Le client e-mail, qui doit reproduire ce message, va visiter ce lien, mais en agissant ainsi, le message non-crypté est envoyé dans la requête adressée au serveur d’où provient le lien. L’agresseur peut retrouver cette requête dans ses logs (journaux).
Ensuite, l’agresseur peut envoyer des blocs de données adaptés qui, lorsqu’ils sont lus par la victime, peuvent faire en sorte que l’application e-mail expédie des portions non-cryptées du message vers le serveur du hacker. Les deux problèmes se sont vu attribuer des codes CVE, à savoir CVE-2017-17688 et CVE-2017-17689.
Comment l’empêcher?
La mauvaise nouvelle, c’est qu’il n’existe actuellement aucune solution ou correctif étanche pour le problème. Il est cependant possible de limiter le risque relativement simplement en désactivant les messages HTML dans les paramètres de le logiciel e-mail. Déchiffrer les messages cryptés dans un programme séparé permet aussi de contrer une attaque.
Les chercheurs, qui ont découvert le pot aux roses, ont entre-temps pris contact avec plusieurs outils e-mail, afin de les inciter à sortir un patch. A long terme, ils espèrent aussi que les normes OpenPGP et S/MIME feront l’objet d’une mise à jour.
La bonne nouvelle, c’est que seuls les mails qui sont déjà entre les mains des hackers, sont lisibles. Les pirates ont donc besoin d’un accès à votre boîte mail ou peuvent intercepter les messages lors de leur envoi ou de leur réception, avant de pouvoir les déchiffrer.
Ce travail est l’oeuvre des chercheurs allemands Damian Poddebniak, Christian Dresen, Jens Müller, Fabian Ising, Sebastian Schinzel, Juraj Somorovsky et Jörg Schwenk de la FH Münster et de la Ruh Universität. Simon Friedberger de la KU Leuven a aussi collaboré à la recherche. Sur efail.de, ils répondent aux principales questions relatives au problème. Le rapport technique contenant les résultats se trouve à présent lui aussi en ligne.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici