fbpx

Les chercheurs ont trouvé une vulnérabilité dans deux protocoles de cryptage de courrier électronique populaires

Les chercheurs européens en sécurité ont découvert une nouvelle vulnérabilité alarmante dans les formes les plus courantes de cryptage des emails. L’attaque, décrite dans un rapport publié lundi matin, permet aux mauvais acteurs d’injecter du code malveillant dans des emails interceptés, en dépit de protocoles de cryptage conçus pour se protéger de l’injection de code. Implémenté correctement, le code malveillant pourrait être utilisé pour voler tout le contenu de la boîte de réception d’une cible.

Cette vulnérabilité affecte deux des protocoles de cryptage de messagerie les plus courants, PGP et S / MIME, bien que le degré de vulnérabilité dépende fortement de l’implémentation du protocole par le client. Un certain nombre de clients différents sont vulnérables, notamment Apple Mail, l’application Mail sur iOS et Thunderbird. Notamment, de nombreux systèmes d’authentification de message actuellement disponibles peuvent efficacement bloquer l’attaque.

Si un e-mail chiffré utilisant ces clients est intercepté en transit, un attaquant pourrait utiliser la nouvelle vulnérabilité pour modifier l’e-mail, en ajoutant un code HTML malveillant avant de l’envoyer à la cible. Lorsque la cible ouvre le nouvel e-mail, le code malveillant peut être utilisé pour renvoyer le texte en clair de l’e-mail.

De nombreux serveurs d’entreprise utilisent toujours le cryptage S / MIME, de sorte que l’attaque présente un risque important pour les systèmes actuels.

Le logiciel open-source GNU Privacy Guard a écrit dans une déclaration, « Il y a deux façons d’atténuer cette attaque: Ne pas utiliser les emails HTML … utiliser un chiffrement authentifié. »

Sebastian Schinzel, un professeur de sécurité informatique à l’Université des Sciences Appliquées de Münster qui a co-écrit le papier avertit sur Twitter que « il n’y a actuellement pas de correctifs fiables pour la vulnérabilité. » Il recommande aux gens de désactiver leur cryptage dans leur client e-mail utiliser PGP pour les communications sensibles. L’Electronic Frontier Foundation appelle ces mesures «un palliatif temporaire et conservateur» jusqu’à ce que la communauté élargisse les problèmes.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *