PGP EFAIL – Ce qu’il faut savoir

Trois chercheurs en sécurité ont publié une recherche documentant deux attaques (side channel) sur le chiffrement de courriels par PGP. Il ne s’agit pas d’une faille dans PGP, mais bien dans son implémentation dans divers clients, tels que Apple Mail, Thunderbird, iOS Mail, etc. Ces vulnérabilités devront être corrigées par les clients de courriel.

En attendant, pas de panique – voici quelques mitigations qui permettent de se protéger et de continuer l’envoi de courriels chiffrés de bout-en-bout :

1 – Déchiffrer les courriels PGP dans une autre application que celle qu’on utilise pour lire les courriels. Oui, ça rajoute une étape, mais on s’assure alors de limiter les possibilités d’attaque sur la confidentialité de nos messages.  

2 – Désactiver le rendu HTML des courriels dans son client. Les vulnérabilités identifiées misent sur la séquence de lecture des différents éléments d’un courriel HTML par le client. Par exemple, certains de ces éléments peuvent être des images ou encore des styles de mises en page… Pour désactiver cette fonction, rendez-vous dans les paramètres de votre client et assurez-vous de décocher les cases – autant dans la composition du message que dans sa signature, s’il y a lieu – qui activent le format HTML. Si cette fonction est désactivée, pas de problème!

3 – Informez vos correspondants de cette vulnérabilité! Si un seul des correspondants se comporte de manière non sécuritaire, la confidentialité des messages peut être atteinte

4 – Faites religieusement vos mises à jour (eh oui, encore ça!).

5 – Utilisez un autre canal de communication confidentiel en attendant de confirmer que vos interlocuteurs savent comment mitiger les risques qu’amène cette vulnérabilité.

 

Il y a de bonnes chances que le client courriel que vous utilisez soit affecté – vous trouverez en page 11 du rapport un tableau identifiant les risques pour chaque client.


Pour en savoir plus :

 

https://efail.de

https://efail.de/efail-attack-paper.pdf

https://www.eff.org/fr/deeplinks/2018/05/not-so-pretty-what-you-need-know-about-e-fail-and-pgp-flaw-0

 

Les Chiens de garde #89 – Des cartes d’accès d’hôtels compromises, le programme AARDVARK et la saisie de AnonIB

La 89e émission des Chiens de garde, le podcast de Crypto.Québec sur la sécurité, la vie privée et la surveillance, est en ligne. L’épisode a été enregistré le jeudi 26 avril 2018.


Type de fichier : OGG / MP3 – Taille : 47,31MB – Durée : 30:46 m (215 kbps 44100 Hz)

Notes de l’émission

Équipe

  • Animation : Geneviève Lajeunesse
  • Sonorisation : Mathieu Tessier
  • Chroniqueuse : Anne-Sophie Letellier
  • Médias sociaux : Sophie Thériault et Jean-Christophe Gaudet
  • Identité graphique : Bonhomme
  • Indicatif sonore : Danny Provencher / Under Electric Light
  • Autres remerciements : Vues & voix pour les locaux

Les Chiens de garde #88 – L’identité de Guccifer 2.0, l’état de Sergei Skripal et la réplique de Kaspersky

La 88e émission des Chiens de garde, le podcast de Crypto.Québec sur la sécurité, la vie privée et la surveillance, est en ligne. L’épisode a été enregistré le jeudi 5 avril 2018.


Type de fichier : OGG / MP3 – Taille : 29,73MB – Durée : 12:59 m (320 kbps 44100 Hz)

Notes de l’émission

Équipe

Activités de Crypto.Québec dans le cadre de l’exposition Chambre de verre

C’est avec beaucoup d’enthousiasme que nous vous invitons à participer à nos activités offertes dans le cadre l’exposition « Chambre de verre – examiner les traces de vie numérique », une version mobile de l’exposition originale « The Glass Room » présentée par la Fondation Mozilla et organisée par Tactical Technology.

Cet évènement, qui est une initiative du Groupe de recherche sur l’information et la surveillance au quotidien (GRISQ) en collaboration avec Crypto.Québec et l’ESN514 – École de sécurité numérique, se déroulera jusqu’au 8 avril au Hall du Pavillon Président-Kennedy de l’UQAM.

Pour toutes les personnes qui s’intéressent aux questions entourant la collecte de données personnelles, la surveillance et les algorithmes, il y aura une vingtaine d’activités incontournables qui prendront la forme de conférences, d’ateliers, de formations et de projections. Voici donc les activités offertes par Crypto.Québec.

Crypto.Brunchs: samedi 31 mars et 7 avril

De 13h à 16h, nous fournirons café, nourriture et « coachs » pour vous accompagner dans votre apprentissage et répondre à vos questions. De votre côté, apportez votre appareil mobile et ordinateur. Pendant trois heures, vous pourrez donc installer et vous familiariser avec différents logiciels de chiffrement (TOR, PGP, Tails, etc.). L’évènement est gratuit, mais la réservation est obligatoire. Aucune connaissance préalable n’est requise pour participer à l’atelier.

Informations et réservation pour le 31 mars
Informations et réservation pour le 7 avril

Crypto.Party: jeudi 5 avril

De 17h à 19h, nous fournirons des « coachs » pour vous accompagner dans votre apprentissage et répondre à vos questions. De votre côté, apportez votre appareil mobile et ordinateur. Pendant trois heures, vous pourrez donc installer et vous familiariser avec différents logiciels de chiffrement (TOR, PGP, Tails, etc.). L’évènement est gratuit, mais la réservation est obligatoire. Aucune connaissance préalable n’est requise pour participer à l’atelier.

Informations et réservation pour le 5 avril

Autres activités à surveiller

Nous serons également présents le 27 mars, à la projection du documentaire Black Code. Ce dernier traite de la façon dont les gouvernements à travers le monde manipulent l’Internet pour censurer et surveiller leurs citoyens, et comment ces citoyens ripostent. La lutte pour le contrôle du cyberespace remettra au premier plan les idées relatives à la vie privée, à la citoyenneté et à la démocratie. La projection du film sera suivie d’une discussion avec Michel Lambert, directeur général de l’organisation Alternatives et des membres de l’équipe de Crypto.Québec.

Informations et réservation pour l’activité

Nous vous conseillons de ne pas manquer la projection exclusive de Meeting Snowden. Synopsis: Moscou, décembre 2016, Edward Snowden, Larry Lessig et Birgitta Jónsdóttir sont réunis pour la première fois et en toute discrétion dans une chambre d’hôtel non identifiée. Alors que les soupçons d’ingérence de la Russie dans les élections américaines émergent, alors que le pays enterre son ambassadeur assassiné en Turquie, alors qu’Edward Snowden délivre ses interviews au compte-goutte, alors que le monde prépare Noël, ils s’unissent à Moscou autour de la seule question qui vaille, leur cause commune : comment sauver la démocratie ?

La projection du film se déroulera le lundi 2 avril et sera suivie d’une discussion animée par Anne-Sophie Letellier, doctorante en communication à l’UQAM, membre de Crypto.Québec et du Groupe de recherche sur l’information et la surveillance au quotidien (GRISQ).

Informations et réservation pour l’activité

Tout au long de l’exposition, il y aura aussi une multitude d’activités avec entrée libre, telles que les « ingénieuses » pauses du midi présentées par Esn514 et les évènements du Département d’informatique de l’UQAM.

– Consultez la programmation complète sur le site web de l’exposition
Abonnez-vous à la page Facebook de l’évènement
Suivez le mot-clic #ChambreDeVerre sur Twitter

En terminant, n’oubliez pas de prendre votre kit de data detox en 8 jours lorsque vous visiterez l’exposition! Au plaisir de vous y voir!

Les Chiens de garde #87 – La valeur d’une identité numérique, les tendances émergentes en cybercriminalité et comment contourner une cage de Faraday

La 87e émission des Chiens de garde, le podcast de Crypto.Québec sur la sécurité, la vie privée et la surveillance, est en ligne. L’épisode a été enregistré le jeudi 15 mars 2018.

Type de fichier : OGG / MP3 – Taille : 28,49MB – Durée : 23:59 m (166 kbps 44100 Hz)

Notes de l’émission

Équipe

  • Animation : Geneviève Lajeunesse
  • Sonorisation : Mathieu Tessier
  • Chroniqueur : Jean-Philippe Décarie-Mathieu
  • Médias sociaux : Sophie Thériault et Jean-Christophe Gaudet
  • Identité graphique : Bonhomme
  • Indicatif sonore : Danny Provencher / Under Electric Light
  • Autres remerciements : Vues & voix pour les locaux