Des vulnérabilités découvertes dans les plugins PGP/GPG de nos clients mails
On n’a pas encore tous les détails mais un groupe de chercheurs en sécurité dont Sebastian Schinzel, Damian Poddebniak, @dr4ys3n, @jensvoid, @Murgi, @seecurity, @cryptosorcerer, @jurajsomorovsky et Jörg Schwenk de @fh_muenster, @ruhrunibochum, @LeuvenU, ont découvert des vulnérabilités au niveau du chiffrement des emails avec PGP/GPG et S/MIME.
On ne connait pas encore les détails de ces failles qui seront révélées demain, mais elles permettent de lire en clair des emails chiffrés avec PGP, y compris les anciens emails.
Autant dire que ça craint un max. Pour le moment, il n'y a pas de patch et ce que recommande l'EFF et le groupe de chercheurs, c'est tout simplement de désactiver les plugins PGP/GPG qui sont capables de déchiffrer automatiquement vos emails dans des clients mails comme Apple Mail, Thunderbird ou encore Outlook.D’après ce que j’ai pu lire, et sauf erreur de ma part, ce ne sont pas des failles qui touchent réellement le coeur de PGP/GPG ou son niveau de chiffrement mais plutôt des failles qui au travers de plugins pour client mail, permettent d’exploiter le mode de déchiffrement automatiquement pour ensuite extraire les emails en clair.
On verra bien demain.
En attendant, pour savoir comment désactiver ces plugins, l’EFF a réalisé des petits guides que voici :
Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).