5/5 - (1 vote)

Découverte d’une faille critique de sécurité de cryptage email.

Une équipe de neuf universitaires avertit le monde d’une vulnérabilité critique dans les outils de cryptage des e-mails OpenPGP et S/MIME.

Selon l’équipe de chercheurs, la faille, de nom de code EFAIL, si elle est exploitée, permet à un attaquant d’extraire le contenu en texte brut des messages envoyés ou reçus.
Les chercheurs indiquent qu'”ils pourraient révéler le texte en clair des e-mails cryptés, y compris les e-mails cryptés envoyés dans le passé“.
Et aussi qu'”il n’existe actuellement aucun correctif fiable pour la vulnérabilité.

Les chercheurs ont promis de publier plus de détails demain, mardi 15 mai. En attendant, ils recommandent pour l’instant aux utilisateurs de ne pas utiliser OpenPGP et S/MIME. (Sources)

BULLETIN D’ALERTE DU CERT-FR

Une variante de l’attaque EFAIL tire parti des fonctionnalités des clients de messageries qui permettent d’enrichir le contenu textuel d’un courriel en intégrant du HTML ou encore du CSS. Ces éléments additionnels sont désignés comme contenu actif.
Un attaquant en mesure d’intercepter un courriel chiffré pourra ainsi y concaténer certains éléments de ces langages, sans modifier la partie chiffrée. Lors du déchiffrement du message par le client de messagerie le contenu actif sera exécuté et le message clair exfiltré. Cette variante fonctionne sur une minorité des clients de messagerie vulnérables à EFAIL. (Sources)

A propos de l'auteur

Laisser un commentaire

Retour en haut