EricPericolo dans les emails cryptés avec PGP, risque de déchiffrement

Deux des systĂšmes les plus couramment utilisĂ©s pour chiffrer les e-mails - PGP et S / Mime - sont vulnĂ©rables aux attaques qui peuvent lire du contenu chiffrĂ©. Cela a Ă©tĂ© rĂ©vĂ©lĂ© hier soir par des chercheurs europĂ©ens qui publieront demain tous les dĂ©tails techniques. En attendant, cependant, ils exhortent les utilisateurs Ă  ne pas utiliser ces mĂ©thodes de cryptage Ă  partir de leurs clients de messagerie. Les vulnĂ©rabilitĂ©s identifiĂ©es par les chercheurs, dirigĂ©s par Sebastian Schinzel, professeur de sĂ©curitĂ© informatique Ă  l'UniversitĂ© des sciences appliquĂ©es de Munster, «pourraient rĂ©vĂ©ler le texte en clair des e-mails chiffrĂ©s, y compris les e-mails chiffrĂ©s que vous vous ĂȘtes envoyĂ©s dans le passé». En outre, le professeur a Ă©crit sur Twitter, «pour le moment, il n'y a pas de solutions fiables pour la vulnĂ©rabilitĂ© dĂ©tectĂ©e. Si vous utilisez PGP / GPG ou S / MIME pour des communications trĂšs sensibles, vous devez les dĂ©sactiver dans votre client de messagerie dĂšs que possible ».

Outre les tweets de Schinzel, il y a un article de l'ONG de défense des droits numériques Electronic Frontier Foundation, qui a été en contact avec les chercheurs et qui "confirme que ces vulnérabilités présentent un risque immédiat pour ceux qui utilisent ces outils pour la communication par courrier électronique, notamment l'exposition possible du contenu des messages passés ". Le conseil de l'EFF et des chercheurs est de désactiver ou désinstaller immédiatement les outils qui décrypteront automatiquement les emails cryptés avec PGP. La référence est aux plugins Thunderbird (Enigmail), macOS Mail (GPGTools) et Outlook (Gpg4win) qui intÚgrent PGP dans les e-mails. Et jusqu'à ce que les vulnérabilités décrites dans l'article publié demain soient mieux analysées et comprises, le conseil des chercheurs est d'utiliser d'autres canaux cryptés tels que Signal.

Insights

S / MIME est analogue Ă  PGP et offre les mĂȘmes services, mais adopte des formats diffĂ©rents et incompatibles. Contrairement Ă  PGP, qui utilise un systĂšme de rĂ©seau de confiance pour la distribution des clĂ©s publiques, les correspondants utilisant S / MIME requiĂšrent une autoritĂ© de certification, qui effectue diverses opĂ©rations d'authentification et de validation du demandeur jusqu'Ă  l'Ă©mission d'un certificat numĂ©rique.

Deux caractéristiques fondamentales sont la signature numérique et l '«enveloppe numérique» (enveloppe numérique): la clé symétrique utilisée pour crypter le message est cryptée avec la clé publique du destinataire et envoyée avec le message. En plus d'assurer l'intégrité et la confidentialité des messages, S / MIME permet l'authentification du propriétaire d'une clé publique à l'aide de certificats numériques.

 

EricPericolo dans les emails cryptĂ©s avec PGP, risque de dĂ©chiffrement 

| Cyber, CYBER, PRP canal |