Pour résoudre ce problème, OpenPGP offre un chiffrement de bout en bout spécifiquement pour la communication sensible. S / MIME est une norme alternative pour le chiffrement de bout en bout par courrier électronique, généralement utilisé pour sécuriser les communications par e-mail d'entreprise.
Toutefois, un groupe de chercheurs européens en sécurité a publié un avertissement concernant un ensemble de vulnérabilités affectant les utilisateurs de PGP et de S / MIME. L’Electronic Frontier Foundation, le défenseur des droits numériques, affirme avoir communiqué avec cette équipe de recherche et peut donc confirmer que ces vulnérabilités présentent un risque immédiat pour ceux qui utilisent ces outils pour la communication par courriel, y compris l'exposition potentielle du contenu des messages passés.
« Notre conseil, qui reflète celui des chercheurs, est de désactiver et / ou de désinstaller immédiatement les outils qui déchiffrent automatiquement les courriels chiffrés par PGP. Jusqu'à ce que les défauts décrits dans le document soient plus largement compris et résolus, les utilisateurs devraient s’employer à se servir de canaux sécurisés de bout en bout alternatifs, tels que Signal, et arrêter temporairement l'envoi et surtout la lecture des courriels chiffrés par PGP », recommande l’EFF.
Dans un document explicatif, les chercheurs ont évoqué des attaques EFAIL qui pourraient exploiter les vulnérabilités des normes OpenPGP et S / MIME pour révéler le texte en clair des messages électroniques chiffrés. En somme, EFAIL abuse du contenu actif des e-mails HTML, par exemple des images ou des styles chargés en externe, pour exfiltrer le texte en clair via les URL demandées. Pour créer ces canaux d'exfiltration, l'attaquant doit d'abord avoir accès aux courriels chiffrés, par exemple, en espionnant le trafic réseau, en compromettant les comptes de messagerie, les serveurs de messagerie, les systèmes de sauvegarde ou les ordinateurs clients. Les emails pourraient même avoir été collectés il y a des années.
L'attaquant change d'une manière particulière un courriel chiffré et envoie ce courriel chiffré modifié à la victime. Le client de messagerie de la victime déchiffre le courriel et charge tout contenu externe, exfiltrant ainsi le texte en clair à l'attaquant.
Différentes attaques EFAIL
Exfiltration directe
Ici, l'attaque abuse des vulnérabilités dans Apple Mail, iOS Mail et Mozilla Thunderbird pour exfiltrer directement le texte en clair des courriels chiffrés. Ces vulnérabilités peuvent être corrigées dans les clients de messagerie respectifs. Voici comment l’attaque fonctionne :
L'attaquant crée un nouveau courrier électronique en plusieurs parties avec trois parties de corps, comme ci-dessous.
La première contient essentiellement une balise d'image HTML. Notez que l'attribut src de cette balise d'image est ouvert avec des guillemets mais pas fermé. Ensuite vient le texte chiffré PGP ou S / MIME. Et enfin l’attaquant ferme l'attribut src.
L'attaquant va alors envoyer le courriel à la victime. Le client de la victime déchiffre la seconde partie et assemble les trois parties dans un courriel HTML, comme indiqué ci-dessous. Notez que l'attribut src de la balise d'image de la ligne 1 est fermé à la ligne 4, de sorte que l'URL couvre les quatre lignes.
Le client de messagerie va donc encoder tous les caractères non imprimables (par exemple,% 20 est un espace) dans l’URL et demander une image à partir de cette URL. Comme le chemin de l'URL contient le texte en clair du courriel chiffré, le client de messagerie de la victime envoie le texte en clair à l'attaquant.
Les attaques EFAIL d'exfiltration directe fonctionnent aussi bien pour les courriels cryptés PGP que S / MIME.
L'attaque de CBC / CFB Gadget
Ici, les attaquants abusent des vulnérabilités dans la spécification de OpenPGP et S / MIME pour exfiltrer le texte en clair. Le diagramme ci-dessous décrit l'idée des gadgets CBC dans S / MIME. En raison des spécificités du mode de fonctionnement CBC, un attaquant peut modifier avec précision les blocs en clair s'il connaît le texte en clair. Les courriels chiffrés S / MIME commencent généralement par "Content-type: multipart / signed”. Aussi, l'attaquant connaît au moins un bloc complet de texte en clair comme indiqué en (a).
Il peut alors former un bloc canonique de texte en clair dont le contenu ne comporte que des 0, comme indiqué en (b). Les chercheurs ont appelé la paire de blocs X et C0 un gadget CBC. À l'étape (c), il ajoute ensuite à plusieurs reprises des gadgets CBC pour injecter une balise d'image dans le texte chiffré. Cela crée une seule partie de corps chiffrée qui exfiltre son propre texte en clair lorsque l'utilisateur ouvre le courriell de l'attaquant. OpenPGP utilise le mode de fonctionnement CFB, qui a les mêmes propriétés cryptographiques que CBC et permet la même attaque en utilisant des gadgets CFB.
Limitations
Bien que l'attaque EFAIL mette à mal le paradigme d'une communication sécurisée de bout-en-bout, les cas d'exploitation ne sont pas facilement accessibles. L'attaquant doit accéder aux courriels chiffrés soit lors d'une interception d'un trafic réseau local ou via Internet soit en disposant d'accès à un serveur de relais de messagerie. En fonction du scénario l'attaquant pourra dans certains cas bloquer temporairement le mail et le modifier soit de le copier lors de son transit et le rejouer vers la victime une fois altéré.
Contournement provisoire
Le CERT-FR recommande d'appliquer les correctifs fournis par les éditeurs de client de messagerie.
Suivant le délai de mise à disposition de correctifs par les éditeurs, le CERT-FR recommande également l'application des mesures temporaires suivantes.
Désactiver l'utilisation du contenu actif dans le client de messagerie (HTML, CSS).
Utiliser une application indépendante du client de messagerie pour pratiquer les opérations de chiffrement et de déchiffrement des courriels. Ces actions peuvent de plus être réalisés dans un environnement distinct et déconnecté du réseau.
L’expert en sécurité informatique Mikko Hypponen affirme que la faille décelée pourrait en théorie être utilisée pour déchiffrer des courriels mis en cache ou envoyés dans les dernières années, à condition que l’attaquant ait déjà échangé des courriels chiffrés avec la personne concernée. « C’est une mauvaise nouvelle, parce que les personnes qui utilisent PGP le font pour une raison, explique-t-il à la BBC. Elles ne l’utilisent pas pour le plaisir, mais parce qu’elles ont des secrets réels ».
Les équipes GnuPG en relativisent la portée
Cependant, le communiqué officiel des équipes GnuPG et Gpg4Win appelle à en relativiser la portée. Notons que les équipes ont précisé que le communiqué concerne OpenPGP, GnuPG et Gpg4Win, il ne couvre pas S / MIME.
« Récemment, des chercheurs en sécurité ont publié un article intitulé "Efail : briser le chiffrement S / MIME et OpenPGP en utilisant des canaux d'exfiltration ". L'EFF est allé jusqu'à recommander de désinstaller immédiatement Enigmail. Nous avons trois choses à dire, et ensuite nous allons vous montrer en quoi nous avons raison.
- Ce document est mal nommé ;
- Cette attaque cible les clients de messagerie bogués ;
- Les auteurs ont dressé une liste des clients de messagerie bogués.
« En 1999, nous avons réalisé que le mode de chiffrement symétrique d'OpenPGP (une variante du chiffrement feedback) a une faiblesse: dans certains cas, un attaquant pourrait modifier du texte. Comme Werner Koch, le fondateur de GnuPG, l'a dit: "[Phil Zimmermann] et Jon Callas m'ont demandé d'assister à la conférence AES à Rome pour discuter des problèmes avec le mode CFB qui étaient à l'horizon. Cette discussion a eu lieu en mars 1999 et PGP et GnuPG ont mis en place une première version [de notre contre-mesure] environ un mois plus tard. Selon le fichier NEWS de GnuPG, [notre contre-mesure] a été implémentée en été 2000. "
« La contre-mesure mentionnée par Werner se nomme Modification Detection Code ou MDC. Elle a été une partie standard de GnuPG pendant près de dix-huit années. Pendant presque tout ce temps, tout message qui ne disposait pas de MDC attaché a enclenché, du côté de GnuPG, le lancement d’un message d’avertissement clair et évident ».
Et d’expliquer que « GnuPG envoie aussi des messages d'avertissement si un MDC indique qu’un message a été modifié. Dans les deux cas, si votre client de messagerie respecte cet avertissement et fait la bonne chose - à savoir, ne pas vous montrer le courriel -, alors vous êtes complètement protégé de l'attaque Efail, car il s’agit là juste d’un spin moderne de quelque chose contre laquelle nous avons commencé à nous défendre depuis près de vingt années ».
Si l'attaque EFAIL vous inquiète, les équipes vous suggèrent de passer à la dernière version de GnuPG et de vérifier auprès de votre fournisseur de plugin email pour voir si elles traitent les erreurs MDC correctement. La plupart le font.
Vous pourriez être vulnérable si vous utilisez une ancienne version de GnuPG (notamment les versions 1.x, la version actuelle est la 2.2), ou si votre plugin e-mail ne gère pas convenablement l'avertissement de GnuPG. Vous pourriez aussi avoir eu une certaine exposition dans le passé si à l'époque vous utilisiez une version antérieure à l’an 2000 de GnuPG, et / ou si vous avez utilisé un plugin email qui n'a pas géré l'avertissement correctement.
Concernant les déclarations faites en début de communiqué, les équipes ont expliqué que :
- Ce document est mal nommé. Ce n'est pas une attaque contre OpenPGP. C'est un attaque sur les clients de messagerie bogués qui ignorent les avertissements de GnuPG et font des choses folles après avoir été averti ;
- Cette attaque cible les clients de messagerie bogués. Une utilisation correcte du MDC empêche complètement cette attaque. GnuPG a bénéficié du soutien de MDC depuis l’été 2000 ;
- Les auteurs ont dressé une liste des clients de messagerie buggés. Cela vaut la peine de parcourir leur liste de clients de messagerie pour voir si le vôtre est vulnérable. L’équipe prévient cependant qu’il se peut que cela ne soit pas pertinent. Par exemple, Mailpile déclare ne pas être vulnérable, mais le document indique que Mailpile est susceptible de l’être.
Sources : EFAIL, EFF, CERT-FR, liste de diffusion GnuPG (équipes, fondateur)
Voir aussi :
La plupart des entreprises n'investissent pas suffisamment dans la sécurité des applications, jusqu'à ce que survienne une attaque informatique
Spectre NG : Intel reporte la publication du premier correctif jusqu'au 21 mai, le fondeur a sollicité plus de temps avant la divulgation des failles
Sécurité informatique : 26 % des entreprises manquent de temps pour appliquer les correctifs, selon une enquête réalisée par Outpost24
Une faille de sécurité dans les assistants vocaux populaires permet de mener des attaques, par l'envoi d'instructions audio secrètes
Sécurité : une augmentation de 350 % des détections de ransomwares dans le monde en 2017, selon le rapport GTIR de NTT Security