EFAIL – Vulnérabilités dans OpenPGP et S/MIME

Le 15 mai 2018 des chercheurs allemands et belges ont publié des vulnérabilités critiques dans les protocoles OpenPGP et S/MIME utilisés pour le chiffrement des mails. Baptisées EFAIL, ces vulnérabilités permettent de déchiffrer des mails préalablement volés, en envoyant un e-mail à un des destinataires du message chiffré d’origine.

Le principe de l’attaque est le suivant :

  1. Prérequis : l’attaquant doit disposer du message chiffré volé sur un serveur de messagerie ou via une attaque man-in-the-middle
  2. Envoi du message chiffré en le « cachant » dans une balise HTML via un mail adressé à un des destinataires légitime du mail d’origine
  3. Déchiffrement par le client de messagerie du destinataire qui dispose des clés ainsi que d’une fonctionnalité de déchiffrement automatique
  4. Concatenation du message déchiffré à la suite de l’URL spécifiée dans la balise HTML
  5. Envoi du message déchiffré au travers d’une requête http faite vers le serveur web de l’attaquant

Malgré la forte médiatisation des ces vulnérabilités ces derniers jours, celles ci ne sont finalement pas si critiques que cela car :

  • Elles nécessitent d’avoir, au préalable, volé les messages chiffrés
  • En attendant une solution plus perenne, elles sont facilement contournables en désactivant le chargement de contenu externe sur les clients de messagerie ou en désactivant les  fonctions de déchiffrement automatiques des clients de messagerie pour ceux qui utilisent OpenPGP

Pour plus de détails sur les vulnérabilités en question, le plus simples est de consulter directement le site efail.de