Une faille identifiée dans l’outil de chiffrement PGP
Un chercheur en sécurité IT a identifié une faille dans la solution de chiffrement mail PGP (Pretty Good Privacy). Il est conseillé aux entreprises de désactiver immédiatement l’outil jusqu’à publication d’un correctif.
Le chiffrement mail proposé par la solution PGP (Pretty Good Privacy) est devenu «pretty bad». Des failles ont été découvertes dans cette solution de chiffrement par l’équipe de Sebastian Schinzel, professeur en sécurité IT de l’Université des sciences appliquées de Münster. Le chercheur, qui a fait part de ses découvertes sur Twitter avant de publier davantage de détails prochainement, a aussi mis au jour des vulnérabilités dans le standard de chiffrement S/MIME.
La faille identifiée, qui n’a pour l’heure pas de correctif fiable, pourrait révéler le texte en clair des courriels cryptés, y compris les courriels cryptés envoyés dans le passé. Le chercheur conseille de désactiver immédiatement les outils qui décryptent automatiquement les courriels cryptés via PGP. Entrée en contact avec l’équipe de chercheurs, l'Electronic Frontier Foundation (EFF) confirme dans un billet de blog que la faille en question pose un risque immédiat pour ceux qui utilisent ces outils de communication, y compris l'exposition potentielle du contenu des messages passés. L’EFF donne en outre des instructions pour désactiver correctement les plugins de chiffrements concernés pour les clients macOS Mail, Outlook et Thunderbird.
Tant que la faille n’est pas colmatée, l’EFF conseille aux utilisateurs de se servir d'autres canaux sécurisés de bout en bout, par exemple Signal, et de cesser temporairement d'envoyer et surtout de lire les courriels cryptés via PGP.
