Le papier final rapportant l’attaque doit sortir d’embargo demain, mais d’après la version préliminaire qui a été communiquée aux développeurs de GnuPG (que l’EFF n’a pas pris la peine de contacter avant de dire à tout le monde, en gros, « arrêter d’utiliser PGP »… meh), l’attaque n’est ni franchement nouvelle ni aussi catastrophique que proclamée.
L’attaque est complètement défaite par le mécanisme de vérification d’intégrité (MDC, Modification Detection Code) incorporé à OpenPGP depuis le RFC 4880 il y a… onze ans. Alors, certes, il est malheureusement possible de supprimer le MDC d’un message (c’est une véritable faille du protocole OpenPGP, qui n’a été découverte qu’après la publication du RFC 4880), et donc de se placer dans une situation où l’attaque est de nouveau possible, mais GnuPG renvoie un code d’erreur explicite dans ce cas, il appartient aux clients de messagerie se reposant sur GnuPG de ne pas l’ignorer.
Pour information, les messages de Werner Koch (principal développeur de GnuPG) et de Rob J. Hansen (mainteneur de la FAQ GnuPG) sur le sujet, notamment le passage suivant :
Werner saw a preprint of this paper some time ago. I saw it recently. Patrick Brunschwig of Enigmail saw it. None of us are worried.
Merci ! À la limite, un presque copier-coller de ton commentaire dans la section journaux serait de nature à rassurer les 3 utilisateurs de PGP qui paniquent, je trouve :-)
Non merci. Cette « attaque » est un non-évènement, qui a déjà fait couler depuis ce matin beaucoup plus d’octets qu’elle ne le mérite.
Là seule attaque notable là-dedans, c’est une attaque directe contre la crédibilité d’OpenPGP, à gros coups de FUD, et le plus triste est que c’est l’EFF qui mène la charge (« arrêtez d’utiliser PGP, utilisez Signal plutôt » …).
/Mode paranoïaque ON
Qui a intérêt à ce que les gens utilisant PGP cessent subitement de l’utiliser ?
OK, l’attaque est désormais publique, et comme toutes les attaques désormais, elle a son propre nom (Efail), son site et son logo…
Je ne me prononce pas sur l’attaque ciblant le protocole S/MIME, qui semble réellement sérieuse. Mais sur l’attaque ciblant le protocole OpenPGP, je confirme ma première impression : meh.
Comme prévu, l’attaque ne fonctionne pas avec la majorité des clients mails, comme indiqué dans la table 4 du papier. Elle fonctionne avec Thunderbird/Enigmail, seulement si le message est chiffré avec un algorithme ancien comme 3DES ou CAST5 (parce que, avec ces algorithmes, GnuPG ne rejette pas immédiatement le message en absence de MDC — la raison en est que ces messages sont peut-être de vieux messages, générés à l’époque du RFC 2440, et que l’absence de MDC est peut-être légitime ; à l’inverse un message chiffré avec un algorithme moderne comme AES est forcément plus récent que le RFC 4880 qui a introduit le MDC, et l’absence de MDC est alors injustifiable).
Merci à l’EFF de répandre du FUD sur OpenPGP alors que :
contrairement à ce que leur annonce alarmiste proclame, il n’y a rien dans le papier qui laisse entendre que l’attaque pourrait permettre de déchiffrer des messages transmis antérieurement à l’attaque ;
le protocole S/MIME est semble-t-il beaucoup plus vulnérable à cette attaque (quasiment toutes les implémentations testées sont vulnérables d’après le papier), mais c’est PGP que l’EFF recommande explicitement de « désactiver ou désinstaller ».
# oups, faut la refaire, supprimez ?
Posté par feth . Évalué à 2.
Euh, j'aurais pas inversé l'ordre, entre le partage de lien et la consommation de café ?
lien et titre inversés… oups
[^] # Re: oups, faut la refaire, supprimez ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 5.
Corrigé, merci.
[^] # Re: oups, faut la refaire, supprimez ?
Posté par feth . Évalué à 2.
C'est moi qui te remercie !
☕
# Pas de panique
Posté par gouttegd . Évalué à 10.
Le papier final rapportant l’attaque doit sortir d’embargo demain, mais d’après la version préliminaire qui a été communiquée aux développeurs de GnuPG (que l’EFF n’a pas pris la peine de contacter avant de dire à tout le monde, en gros, « arrêter d’utiliser PGP »… meh), l’attaque n’est ni franchement nouvelle ni aussi catastrophique que proclamée.
L’attaque est complètement défaite par le mécanisme de vérification d’intégrité (MDC, Modification Detection Code) incorporé à OpenPGP depuis le RFC 4880 il y a… onze ans. Alors, certes, il est malheureusement possible de supprimer le MDC d’un message (c’est une véritable faille du protocole OpenPGP, qui n’a été découverte qu’après la publication du RFC 4880), et donc de se placer dans une situation où l’attaque est de nouveau possible, mais GnuPG renvoie un code d’erreur explicite dans ce cas, il appartient aux clients de messagerie se reposant sur GnuPG de ne pas l’ignorer.
Pour information, les messages de Werner Koch (principal développeur de GnuPG) et de Rob J. Hansen (mainteneur de la FAQ GnuPG) sur le sujet, notamment le passage suivant :
[^] # Re: Pas de panique
Posté par feth . Évalué à 5.
Merci ! À la limite, un presque copier-coller de ton commentaire dans la section journaux serait de nature à rassurer les 3 utilisateurs de PGP qui paniquent, je trouve :-)
[^] # Re: Pas de panique
Posté par gouttegd . Évalué à 8.
Non merci. Cette « attaque » est un non-évènement, qui a déjà fait couler depuis ce matin beaucoup plus d’octets qu’elle ne le mérite.
Là seule attaque notable là-dedans, c’est une attaque directe contre la crédibilité d’OpenPGP, à gros coups de FUD, et le plus triste est que c’est l’EFF qui mène la charge (« arrêtez d’utiliser PGP, utilisez Signal plutôt » …).
/Mode paranoïaque ON
Qui a intérêt à ce que les gens utilisant PGP cessent subitement de l’utiliser ?
[^] # Re: Pas de panique
Posté par gouttegd . Évalué à 10.
OK, l’attaque est désormais publique, et comme toutes les attaques désormais, elle a son propre nom (Efail), son site et son logo…
Je ne me prononce pas sur l’attaque ciblant le protocole S/MIME, qui semble réellement sérieuse. Mais sur l’attaque ciblant le protocole OpenPGP, je confirme ma première impression : meh.
Comme prévu, l’attaque ne fonctionne pas avec la majorité des clients mails, comme indiqué dans la table 4 du papier. Elle fonctionne avec Thunderbird/Enigmail, seulement si le message est chiffré avec un algorithme ancien comme 3DES ou CAST5 (parce que, avec ces algorithmes, GnuPG ne rejette pas immédiatement le message en absence de MDC — la raison en est que ces messages sont peut-être de vieux messages, générés à l’époque du RFC 2440, et que l’absence de MDC est peut-être légitime ; à l’inverse un message chiffré avec un algorithme moderne comme AES est forcément plus récent que le RFC 4880 qui a introduit le MDC, et l’absence de MDC est alors injustifiable).
Merci à l’EFF de répandre du FUD sur OpenPGP alors que :
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.