PGP EFAIL – Ce qu’il faut savoir

Trois chercheurs en sécurité ont publié une recherche documentant deux attaques (side channel) sur le chiffrement de courriels par PGP. Il ne s’agit pas d’une faille dans PGP, mais bien dans son implémentation dans divers clients, tels que Apple Mail, Thunderbird, iOS Mail, etc. Ces vulnérabilités devront être corrigées par les clients de courriel.

En attendant, pas de panique – voici quelques mitigations qui permettent de se protéger et de continuer l’envoi de courriels chiffrés de bout-en-bout :

1 – Déchiffrer les courriels PGP dans une autre application que celle qu’on utilise pour lire les courriels. Oui, ça rajoute une étape, mais on s’assure alors de limiter les possibilités d’attaque sur la confidentialité de nos messages.  

2 – Désactiver le rendu HTML des courriels dans son client. Les vulnérabilités identifiées misent sur la séquence de lecture des différents éléments d’un courriel HTML par le client. Par exemple, certains de ces éléments peuvent être des images ou encore des styles de mises en page… Pour désactiver cette fonction, rendez-vous dans les paramètres de votre client et assurez-vous de décocher les cases – autant dans la composition du message que dans sa signature, s’il y a lieu – qui activent le format HTML. Si cette fonction est désactivée, pas de problème!

3 – Informez vos correspondants de cette vulnérabilité! Si un seul des correspondants se comporte de manière non sécuritaire, la confidentialité des messages peut être atteinte

4 – Faites religieusement vos mises à jour (eh oui, encore ça!).

5 – Utilisez un autre canal de communication confidentiel en attendant de confirmer que vos interlocuteurs savent comment mitiger les risques qu’amène cette vulnérabilité.

 

Il y a de bonnes chances que le client courriel que vous utilisez soit affecté – vous trouverez en page 11 du rapport un tableau identifiant les risques pour chaque client.


Pour en savoir plus :

 

https://efail.de

https://efail.de/efail-attack-paper.pdf

https://www.eff.org/fr/deeplinks/2018/05/not-so-pretty-what-you-need-know-about-e-fail-and-pgp-flaw-0

 

Quatre conseils pour manifester avec plus de sécurité

Les manifestations sont la démonstration de la vitalité démocratique d’une société. Malheureusement, que ce soit dans la poursuite d’activités pacifique, d’arrestations « préventives » ou suivant des actes de désobéissance civile, les manifestations sont un lieu favorisant la surveillance et où les droits des citoyens sont fréquemment bafoués. Ainsi, pour ces situations favorables à une surveillance ciblée, où l’utilisation d’appareils numériques peuvent devenir des sources de vulnérabilité, voici quatre conseils pour vous préparer adéquatement.

Continuer la lecture de Quatre conseils pour manifester avec plus de sécurité

Une rançon pour vos photos?

À première vue, le courriel ne détonne pas. Une connaissance vous envoie un message comprenant une présentation PowerPoint, à en juger par le nom du fichier. Un diaporama de photos de voyage, peut-être. Vous tentez de l’ouvrir, mais ça ne fonctionne pas. Puis soudain…

Sur votre écran, un message pour le moins hostile s’affiche, qui ne vient manifestement pas de votre connaissance: vos fichiers importants ont été cryptés ou, pire encore, vous ne pouvez plus accéder au contenu de votre appareil. Vous êtes victime d’une attaque de type rançongiciel!

La suite à lire sur le site de L’actualité.

Bye, bye, CloudFlare

Originalement, lors de la conception et du déploiement initial de l’infrastructure de Crypto.Québec, nous avions décidé d’utiliser les services de CloudFlare (CF), une compagnie californienne spécialisée dans la livraison de contenu et la mitigation d’attaques de déni de service distribuées. CloudFlare agit comme proxy inverse, permettant une gestion de cache rapide, une certaine répartition de charge (« load balancing ») en cas de surcharge et/ou d’attaque DDoS ainsi qu’une intégration conviviale de leur autorité de certification (CAs) avec notre propre certificat de sécurité SSL.

Or, ce sont ces mêmes avantages qui, dans le meilleur des cas, rendent l’utilisation des services de CloudFlare problématique ou, pour les plus paranoïaques d’entre-nous, une bombe à retardement orwellienne, dans le pire des cas. Nous en sommes venus à la conclusion que les désavantages pesaient plus lourd dans la balance que les avantages de l’utilisation des services de CloudFlare.

Bref, on a tiré la plug sur CF. Quelques explications s’imposent:

Continuer la lecture de Bye, bye, CloudFlare

Mossack Fonseca: un véritable fromage suisse côté sécurité

On ne le dira jamais assez souvent – la sécurité absolue est un mythe. Toutefois, le vieux dicton « aide toi et le ciel t’aidera » est approprié, ici: Mossack Fonseca, la firme panaméenne spécialisée en gestion de sociétés écrans a été, à certains égards, l’artisane de son propre malheur dans le cas bien connu d’évasion fiscale à grande échelle. Comment les 11,5 millions de documents ont-ils été obtenus? Chose certaine, le cabinet d’avocats porte maintenant plainte pour piratage.

Continuer la lecture de Mossack Fonseca: un véritable fromage suisse côté sécurité