PGP EFAIL – Ce qu’il faut savoir

Trois chercheurs en sécurité ont publié une recherche documentant deux attaques (side channel) sur le chiffrement de courriels par PGP. Il ne s’agit pas d’une faille dans PGP, mais bien dans son implémentation dans divers clients, tels que Apple Mail, Thunderbird, iOS Mail, etc. Ces vulnérabilités devront être corrigées par les clients de courriel.

En attendant, pas de panique – voici quelques mitigations qui permettent de se protéger et de continuer l’envoi de courriels chiffrés de bout-en-bout :

1 – Déchiffrer les courriels PGP dans une autre application que celle qu’on utilise pour lire les courriels. Oui, ça rajoute une étape, mais on s’assure alors de limiter les possibilités d’attaque sur la confidentialité de nos messages.  

2 – Désactiver le rendu HTML des courriels dans son client. Les vulnérabilités identifiées misent sur la séquence de lecture des différents éléments d’un courriel HTML par le client. Par exemple, certains de ces éléments peuvent être des images ou encore des styles de mises en page… Pour désactiver cette fonction, rendez-vous dans les paramètres de votre client et assurez-vous de décocher les cases – autant dans la composition du message que dans sa signature, s’il y a lieu – qui activent le format HTML. Si cette fonction est désactivée, pas de problème!

3 – Informez vos correspondants de cette vulnérabilité! Si un seul des correspondants se comporte de manière non sécuritaire, la confidentialité des messages peut être atteinte

4 – Faites religieusement vos mises à jour (eh oui, encore ça!).

5 – Utilisez un autre canal de communication confidentiel en attendant de confirmer que vos interlocuteurs savent comment mitiger les risques qu’amène cette vulnérabilité.

 

Il y a de bonnes chances que le client courriel que vous utilisez soit affecté – vous trouverez en page 11 du rapport un tableau identifiant les risques pour chaque client.


Pour en savoir plus :

 

https://efail.de

https://efail.de/efail-attack-paper.pdf

https://www.eff.org/fr/deeplinks/2018/05/not-so-pretty-what-you-need-know-about-e-fail-and-pgp-flaw-0

 

Les Chiens de garde #66 – Les dangers de la consultation psychologique en ligne, fuite chez Deloitte et Chelsea Manning refusée au Canada

La 66e émission des Chiens de garde, le podcast de Crypto.Québec sur la sécurité, la vie privée et la surveillance, est en ligne. L’épisode a été enregistré le mercredi 27 septembre 2017.


Type de fichier : OGG / MP3 – Taille : 24,31MB – Durée : 20:43 m (164 kbps 44100 Hz)

Notes de l’émission

  • Vie privée:
    • Librem 5, un téléphone avec la sécurité des données et la vie privée en tête (merci Crapaud!).
    • Un service de consultation de psychologue en ligne… via Skype. What could go wrong? (merci Patrice)
  • Fuites:
    • La négligence non-malicieuse est une véritable source de problèmes pour les entreprises: 7% de tous les buckets S3 de AWS fuient de l’information privée.
    • Les comptes administrateurs et le système de messagerie interne chez Deloitte auraient été compromis en 2016.
    • Adobe a accidentellement mis en ligne une clé privée PGP – doh!
  • Hacking:
  • Varia:

Équipe

Un crypto party réussi

Hier soir avait lieu à la Maison Notman le premier crypto party organisé par Crypto.Québec. Une cinquantaine de personnes présentent purent en apprendre sur la cryptographie symétrique et asymétrique, les tunnels VPNs, les réseaux anonymes comme Tor et sur des outils comme Signal, pour chiffrer et protéger l’envoi de SMS et d’appels téléphonique.

Merci à tous et toutes d’avoir participé à cet atelier, qui était le premier d’une série. Un gros merci aussi à Mathieu Breton pour avoir immortalisé l’événement en photo.

[La présentation en format PDF]

Gallerie de photos

PhotosCryptoparty-3dec2015-1 PhotosCryptoparty-3dec2015-2 PhotosCryptoparty-3dec2015-3 PhotosCryptoparty-3dec2015-4 PhotosCryptoparty-3dec2015-5 PhotosCryptoparty-3dec2015-6 PhotosCryptoparty-3dec2015-7 PhotosCryptoparty-3dec2015-8 PhotosCryptoparty-3dec2015-9 PhotosCryptoparty-3dec2015-10 PhotosCryptoparty-3dec2015-11

Atelier pratique du jeudi 3 décembre – Informations pratiques

Suite à l’annonce de notre atelier pratique la semaine dernière, nous avons reçu un nombre important de commentaires positifs et de questions. C’est pourquoi nous avons décidé de fournir à l’avance quelques informations qui pourraient vous être utiles.

Continuer la lecture de Atelier pratique du jeudi 3 décembre – Informations pratiques