Deux des systèmes les plus couramment utilisés pour chiffrer les e-mails - PGP et S / Mime - sont vulnérables aux attaques qui peuvent lire du contenu chiffré. Cela a été révélé hier soir par des chercheurs européens qui publieront demain tous les détails techniques. En attendant, cependant, ils exhortent les utilisateurs à ne pas utiliser ces méthodes de cryptage à partir de leurs clients de messagerie. Les vulnérabilités identifiées par les chercheurs, dirigés par Sebastian Schinzel, professeur de sécurité informatique à l'Université des sciences appliquées de Munster, «pourraient révéler le texte en clair des e-mails chiffrés, y compris les e-mails chiffrés que vous vous êtes envoyés dans le passé». En outre, le professeur a écrit sur Twitter, «pour le moment, il n'y a pas de solutions fiables pour la vulnérabilité détectée. Si vous utilisez PGP / GPG ou S / MIME pour des communications très sensibles, vous devez les désactiver dans votre client de messagerie dès que possible ».
Outre les tweets de Schinzel, il y a un article de l'ONG de défense des droits numériques Electronic Frontier Foundation, qui a été en contact avec les chercheurs et qui "confirme que ces vulnérabilités présentent un risque immédiat pour ceux qui utilisent ces outils pour la communication par courrier électronique, notamment l'exposition possible du contenu des messages passés ". Le conseil de l'EFF et des chercheurs est de désactiver ou désinstaller immédiatement les outils qui décrypteront automatiquement les emails cryptés avec PGP. La référence est aux plugins Thunderbird (Enigmail), macOS Mail (GPGTools) et Outlook (Gpg4win) qui intègrent PGP dans les e-mails. Et jusqu'à ce que les vulnérabilités décrites dans l'article publié demain soient mieux analysées et comprises, le conseil des chercheurs est d'utiliser d'autres canaux cryptés tels que Signal.
Insights
S / MIME est analogue à PGP et offre les mêmes services, mais adopte des formats différents et incompatibles. Contrairement à PGP, qui utilise un système de réseau de confiance pour la distribution des clés publiques, les correspondants utilisant S / MIME requièrent une autorité de certification, qui effectue diverses opérations d'authentification et de validation du demandeur jusqu'à l'émission d'un certificat numérique.
Deux caractéristiques fondamentales sont la signature numérique et l '«enveloppe numérique» (enveloppe numérique): la clé symétrique utilisée pour crypter le message est cryptée avec la clé publique du destinataire et envoyée avec le message. En plus d'assurer l'intégrité et la confidentialité des messages, S / MIME permet l'authentification du propriétaire d'une clé publique à l'aide de certificats numériques.