PGP EFAIL – Ce qu’il faut savoir

Trois chercheurs en sécurité ont publié une recherche documentant deux attaques (side channel) sur le chiffrement de courriels par PGP. Il ne s’agit pas d’une faille dans PGP, mais bien dans son implémentation dans divers clients, tels que Apple Mail, Thunderbird, iOS Mail, etc. Ces vulnérabilités devront être corrigées par les clients de courriel.

En attendant, pas de panique – voici quelques mitigations qui permettent de se protéger et de continuer l’envoi de courriels chiffrés de bout-en-bout :

1 – Déchiffrer les courriels PGP dans une autre application que celle qu’on utilise pour lire les courriels. Oui, ça rajoute une étape, mais on s’assure alors de limiter les possibilités d’attaque sur la confidentialité de nos messages.  

2 – Désactiver le rendu HTML des courriels dans son client. Les vulnérabilités identifiées misent sur la séquence de lecture des différents éléments d’un courriel HTML par le client. Par exemple, certains de ces éléments peuvent être des images ou encore des styles de mises en page… Pour désactiver cette fonction, rendez-vous dans les paramètres de votre client et assurez-vous de décocher les cases – autant dans la composition du message que dans sa signature, s’il y a lieu – qui activent le format HTML. Si cette fonction est désactivée, pas de problème!

3 – Informez vos correspondants de cette vulnérabilité! Si un seul des correspondants se comporte de manière non sécuritaire, la confidentialité des messages peut être atteinte

4 – Faites religieusement vos mises à jour (eh oui, encore ça!).

5 – Utilisez un autre canal de communication confidentiel en attendant de confirmer que vos interlocuteurs savent comment mitiger les risques qu’amène cette vulnérabilité.

 

Il y a de bonnes chances que le client courriel que vous utilisez soit affecté – vous trouverez en page 11 du rapport un tableau identifiant les risques pour chaque client.


Pour en savoir plus :

 

https://efail.de

https://efail.de/efail-attack-paper.pdf

https://www.eff.org/fr/deeplinks/2018/05/not-so-pretty-what-you-need-know-about-e-fail-and-pgp-flaw-0

 

Les Chiens de garde #85 – Cybersécurité et budget fédéral, les Russes (encore) dans les élections et memcached

La 85e émission des Chiens de garde, le podcast de Crypto.Québec sur la sécurité, la vie privée et la surveillance, est en ligne. L’épisode a été enregistré le jeudi 1er mars 2018.


OGG / MP3 – Taille : 61,72MB – Durée : 26:58 m (320 kbps 44100 Hz)

Notes de l’émission

Équipe

Les Chiens de garde #62 – ROPEMAKER, l’information privée sur les cartes d’embarquement et la fuite de Onliner Spambot

La 62e émission des Chiens de garde, le podcast de Crypto.Québec sur la sécurité, la vie privée et la surveillance, est en ligne. L’épisode a été enregistré le mercredi 30 août 2017.


Type de fichier : OGG / MP3 – Taille : 70,35MB – Durée : 30:44 m (320 kbps 44100 Hz)

Notes de l’émission

Équipe

Les Chiens de garde #55 – La sécurité des centrales nucléaires, retour sur le hack du DNC et les aventures de Kaspersky aux USA

La 55e émission des Chiens de garde, le podcast de Crypto.Québec sur la sécurité, la vie privée et la surveillance, est en ligne. L’épisode a été enregistré le mercredi 12 juillet 2017.


Type de fichier : OGG / MP3 – Taille : 79,59MB – Durée : 34:46 m (320 kbps 44100 Hz)

Notes de l’émission

Équipe