Les failles de chiffrement de courrier électronique peuvent exposer les messages Apple Mail, Outlook et Thunderbird

En prévision d'une publication complète des détails le 15 mai, les chercheurs européens et le FEP annoncent précocement que les messages encodés avec PGP / GPG et S / MIME sont vulnérables à un ensemble de vulnérabilités de sécurité graves – un problème qui affecte plus de 20 clients de messagerie. Comme il n'y a "actuellement aucun correctif fiable pour la vulnérabilité", les chercheurs recommandent aux utilisateurs de désactiver immédiatement le chiffrement dans les clients de messagerie individuels, et d'utiliser d'autres méthodes pour envoyer leurs données sécurisées pour le moment.

Bien que les exploits soient de nature assez technique, ils se divisent en deux catégories: «Exfiltration directe» et «CBC / CFB Gadget Attack». L'exfiltration directe affecte les clients macOS et iOS Mail d'Apple, ainsi que Thunderbird de Mozilla. attaquant pour envoyer un courrier électronique qui décode et partage automatiquement le contenu d'un message chiffré d'une victime dans une réponse. Les chercheurs croient qu'un correctif simple sera en mesure de résoudre ce problème, bien qu'il soit actuellement assez facile à exploiter.

Par comparaison, l'attaque de gadgets affecte une plus grande variété de clients de messagerie, y compris Microsoft Outlook, mais varie en efficacité selon qu'elle est utilisée contre le cryptage PGP ou S / MIME. Contre PGP, il ne fonctionne apparemment qu'une fois par trois tentatives, mais contre S / MIME, un seul e-mail peut casser jusqu'à 500 messages à la fois. Alors que les chercheurs disent que chaque fournisseur de messagerie peut proposer des atténuations individuelles, ils suggèrent que les spécifications sous-jacentes pour OpenPGP et S / MIME devront être corrigées à long terme.

LIS  Téléchargement gratuit de JetElements Nulled v1.2.1

Pour le moment, l'EFF encourage les utilisateurs de clients de messagerie à suivre ces guides pour désactiver temporairement le cryptage des e-mails PGP et S / MIME, ce qui empêchera les pirates d'utiliser les exploits pour décrypter et accéder aux e-mails privés:

Apple Mail avec GPGTools

Microsoft Outlook avec Gpg4win

Mozilla Thunderbird avec Enigmail

Des informations supplémentaires devraient être publiées demain à 7h00 UTC / 3h00 heure de l'Est / 12:00 heure du Pacifique. Les clients de messagerie modernes commenceront probablement à recevoir des correctifs individuels pour résoudre la vulnérabilité au cours des prochains jours.


Lien source

Comments

comments

Laisser un commentaire