L'EFF communique depuis ce matin pour mettre en garde les utilisateurs de PGP d'une vulnérabilité dont les détails ne sont pas encore connus [1]. Les détails seraient publiés demain mardi 15 mai, à 7h UTC.
Tout ce que l'on sait [2], c'est que la vulnérabilité serait présente dans les modules de sécurité des e-mails, type Enigmail, GPGTools ou Gpg4win, et permettrait également d'accéder aux anciens e-mails chiffrés.
Mais à l'heure actuelle, on ne connait ni la faille, ni ses effets, pas grand-chose en fait…
En attendant plus de détails, la EFF et le chercheur à l'origine du tweet conseillent de déactiver les modules d'encodage/décodage dans les clients e-mails.
[1] - https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now
[2] - https://twitter.com/seecurity/status/995906576170053633
# Pas de panique
Posté par feth . Évalué à 10.
Je mets un lien vers les commentaires de D. Goutte : https://linuxfr.org/users/ptifeth/liens/attention-utilisateurs-de-pgp-de-nouvelles-failles-exigent-une-action-immediate-de-votre-part#comment-1738712
# FUD
Posté par gouttegd . Évalué à 10. Dernière modification le 14 mai 2018 à 17:28.
Arrêtez de relayer ce FUD, bon sang…
Si. On connaît tout, le papier est publié. Et il n’y a rien. Si la vulnérabilité de S/MIME semble avérée, celle d’OpenPGP est du pur FUD.
Plus précisément, l’attaque est réelle, mais elle est déjà complètement mitigée par le système MDC et par le fait que GnuPG renvoie délibérément une erreur lorsqu’on lui demande de déchiffrer un message non-protégé par un MDC.
Donc, si vous n’utilisez pas des versions complètement obsolètes et plus supportées des plugins OpenPGP (genre la version 2007 de GpgOL, le plugin pour Outlook), et si dans le cas spécifique de Thunderbird/Enigmail vos correspondants n’utilisent pas d’algorithmes de chiffrement pré-RFC 4880, vous êtes tranquilles. (Et si vous voulez être encore plus rassurés, désactivez simplement l’affichage automatiquement des mails au format HTML, nul besoin de désactivez complètement OpenPGP comme l’EFF le recommande complètement stupidement…)
Ah, et en aucun cas la « faille » ne permet « d’accéder aux anciens e-mails chiffrés ».
Ils recommandent spécifiquement de « désactiver ou désinstaller » PGP, alors même que c’est S/MIME et non OpenPGP qui est réellement affecté par cette attaque. Tirez-en les conclusions que vous voulez. Moi je commence sérieusement à penser que quelqu’un a un agenda caché derrière cette annonce sensationnaliste.
[^] # Re: FUD
Posté par nico4nicolas . Évalué à 9.
Sans rien connaitre/comprendre de problème, je ne peux que m'étonner qu'il soit possible de conseiller/recommander de désactiver/désinstaller un système de protection avec, certes, une faille. Comme si ne rien avoir était plus protecteur qu'un système avec une faille. Cette constatation m'incite à la méfiance et je suis preneur d'explications qui pourraient expliquer une telle recommandation.
En écrivant cela, je pense à un cas où un attaquant pourrait empêcher le propriétaire d'accéder à ses propres e-mails mais à part ça…
[^] # Re: FUD
Posté par gouttegd . Évalué à 10.
Moi aussi. Cette recommandation est totalement injustifiée par l’attaque rapportée.
D’où mon hypothèse personnelle, qui est que OpenPGP fonctionne trop bien aux goûts de certains et qu’il faut dissuader les gens de l’utiliser. Ce n’est pas nouveau : ça fait des années qu’on entend régulièrement des grands noms de la cryptographie critiquer vertement PGP sur des bases particulièrement fragiles, à grand coup de mauvaise foi (Matthew Green, cryptographe à l’université John Hopkins, en avait fourni un bel exemple il y a deux ou trois ans ; de même que Moxie Marlinspike, ce qui n’a sûrement rien à voir avec le fait qu’il promeut son propre système — complètement centralisé — qu’il érige en grand remplaçant de OpenPGP…). « Il est temps d’abandonner PGP » est devenu une rengaine. Qui a un intérêt à ça ?
Il n’y a rien dans le papier publié qui suggère une telle attaque.
L’attaque rapportée permet uniquement à un attaquant qui intercepte un mail en transit de modifier le mail de telle sorte que, une fois le message (modifié) reçu par son destinaire, déchiffré par son implémentation d’OpenPGP ou S/MIME (en supposant l’absence totale de contre-mesure permettant de détecter la modification, ce qui n’est pas le cas pour OpenPGP — mais apparemment c’est hélas le cas pour S/MIME), et son contenu analysé par son client de messagerie, ledit client de messagerie fasse fuiter le contenu du message à une adresse contrôlée par l’attaquant.
L’attaque est sérieuse dans le cas de S/MIME, oui, mais dans le cas d’OpenPGP ne justifie absolument pas la réaction démesurée et alarmiste de l’EFF (« désactivez OpenPGP ou vous allez tous mourir »).
[^] # Re: FUD
Posté par gouttegd . Évalué à 10.
Et hop, dernier exemple, Bruce Schneier en remet une couche sur l’attaque d’aujourd’hui. Notez comme il parle d’emblée d’une « vulnérabilité PGP » et ne dit pas un mot sur S/MIME, alors qu’il est très clair à la lecture du papier que S/MIME est beaucoup plus vulnérable qu’OpenPGP.
Et on n’oublie pas de terminer par le classique « laissez tomber PGP, utilisez Signal » :
[^] # Re: FUD
Posté par claudex . Évalué à 4.
Je suis d’accord les attaques sur PGP sont assez virulentes (surtout que ce n’est pas comme si c’était très répandu non plus). On dirait que certains ont été mordus par une clef PGP. Mais il y a cependant une critique qui me semble valable. Pourquoi, une protection qui est là depuis 2001 ne laisse qu’un warning et donne le message en cleartext sans option particulière. 17 ans après, on pourrait imaginer que l’outil ne retourne pas le text dans une option contourner explicitement cette protection.
Après, c’est une vraie attaque, elle a été corrigée mais plusieurs clients étaient vulnérables. Dire que c’est un non-événement parce qu’on a prévenu les gens à l’avance me semble un peu présomptueux.
Un autre point, c’est Werner Koch qui dit qu’il n’a pas été prévenu mais a eu les infos par les dev de Kmail1. Alors que les chercheurs annoncent avoir contacté les développeurs de GPG en novembre.
d’ailleurs, sympa de foutre les dev de kmail dans la merde, qui ne seront sans doute plus prévenus la prochaine fois. ↩
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: FUD
Posté par gouttegd . Évalué à 4.
Lorsqu’un message n’est pas protégé par un MDC, GnuPG renvoie déjà une erreur (et non un warning), lorsqu’il peut être sûr que l’absence de MDC n’est pas normale. Concrètement, si le message est chiffré avec un algorithme moderne (introduit avec le RFC4880, qui a également normalisé le MDC), alors il devrait être protégé par un MDC et on peut le rejeter s’il ne l’est pas.
Mais si le message est chiffré avec un algorithme plus ancien (typiquement 3DES), il a probablement été générée par une ancienne implémentation. Comment GnuPG pourrait-il alors savoir si l’absence de MDC est légitime (parce que l’implémentation émettrice ne connaît pas le système MDC) ou si c’est parce qu’un attaquant a fait sauter le MDC en cours de route ? Dans ce cas, GnuPG émet un warning, à charge au client mail ou à l’utilisateur d’agir.
Alors certes, quand on est un yakafocon comme Matthew Green, on peut gueuler en all caps que la solution est évidente, IL FAUT CONSIDÉRER LE MDC OBLIGATOIRE EPICÉTOU.
Mais quand on est développeur de GnuPG, on est un peu plus circonspect. Pour info, traiter l’absence de MDC comme erreur fatale dans tous les cas (pas seulement lorsqu’un algorithme moderne est utilisé) avait été considéré il y a bien longtemps par les développeurs, qui avaient finalement décidé de n’en rien faire suite aux plaintes des utilisateurs (il semblerait qu’il y ait beaucoup de monde qui déchiffrent régulièrement des vieux messages, et qui seraient incommodés par une telle mesure).
Pour ce que ça vaut, la discussion en cours actuellement chez les développeurs est de finalement mettre en œuvre cette mesure, en utilisant précisément le papier Efail pour convaincre les utilisateurs récalcitrants que c’est justifié.
D’après Werner (qui a posté un historique sur gnupg-users), il y a eu des échanges en novembre effectivement, qui se sont interrompus abruptement.
Je ne vois pas ce que tu veux dire. Ce n’est pas Werner qui a mis fin à l’embargo. Le site Efail (avec le papier) était en ligne hier matin, 24h avant la fin de l’embargo annoncé par l’EFF. Ni Werner ni les autres développeurs de GnuPG nBont divulgué quoi que ce soit.
[^] # Re: FUD
Posté par esdeem . Évalué à 2.
On a pas dû lire la même chose :
Je cite :
0. Assume good faith 1. Be kind to other people 2. Express yourself 4. Apply rule 0
[^] # Re: FUD
Posté par aiolos . Évalué à 0.
On peut aussi considérer que l'EFF n'est pas composée de spécialistes en crypto et qu'ils se fient au papier (ou le communiqué qu'ils ont reçus), dont l'abstract dit explicitement :
Ce qui contredit ton affirmation que
(Note que je n'ai pas fini de lire le papier, je ne connais pas la véracité de ces deux affirmations)
Après, je trouve aussi la réaction de l'EFF largement exagérée et j'ai du mal avec le "utilisez Signal". Après, ils disent, si tu lis bien le warning, plutôt qu'ils ne connaissent pas les détails de l'attaque et qu'en attendant ils conseillent de désactiver les plugins GPG des clients mails en attendant que l'attaque soit révélée (c.a.d le lendemain).
Bref, à mon avis, toi aussi tu FUD un peu (mais dans l'autre sens)…
[^] # Re: FUD
Posté par LaBienPensanceMaTuer . Évalué à 2.
Pas tout à fait, car il est écrit "even if they were collected long ago", ce qui implique qu'il y a eu une "attaque" préalable pour pouvoir accéder aux anciens mails.
L'attaque "as-is" ne permet effectivement pas d'accéder aux anciens emails sans cette collecte préalable.
[^] # Re: FUD
Posté par aiolos . Évalué à 1.
C'est un peu la base du modèle de sécurité qu'ils attaquent :
Pour mener à bien l'attaque il faut d'ailleurs capable de renvoyer un mail intercepté et modifié.
[^] # Re: FUD
Posté par gouttegd . Évalué à 10.
Je maintiens : l’attaque ne permet pas d’accéder aux anciens e-mails chiffrés. Elle permet à un attaquant, ayant déjà mis la main sur des anciens messages (par enregistrement du traffic à l’époque, ou par pénétration du serveur IMAP où ces messages sont stockés par exemple), de réaliser une attaque active en fabriquant un nouveau message contenant l’ancien message dont il souhaite obtenir le texte clair.
Autrement dit, c’est une attaque active qui permet (ou permettrait en l’absence des contre-mesures propres à OpenPGP) à chaque coup le texte clair d’un message. Le fait que le message en question soit un nouveau message intercepté extemporanément ou un ancien message capturé et rejoué par l’attaquant ne change concrètement pas grand’chose.
Dire que la faille « permet d’accéder aux anciens e-mails » est une exagération très imprudente, et lourde de conséquences. Dans l’esprit de quiconque connaît un peu de crypto, c’est compris comme « la faille permet de déchiffrer a posteriori du traffic passé », ce qui ne serait possible que si la clef privée était d’une manière ou d’une autre divulguée. Cette formulation conduit ainsi les utilisateurs a craindre pour leur clef privée, de manière complètement non-justifiée.
On est le lendemain, tous les détails sont connus (au moins depuis hier puisque l’embargo n’a pas été respecté), et ils conseillent toujours d’arrêter d’utiliser PGP. Et pas « temporairement » :
J’aimerais bien. Mais je maintiens que de mon point de vue, la seule attaque notable est une attaque de plein fouet contre la crédibilité d’OpenPGP, visant entre autres à jeter les utilisateurs dans les bras des messageries centralisées e non-interopérables à-la-Signal. Et c’est une attaque qui fonctionne impeccablement.
[^] # Re: FUD
Posté par Faya . Évalué à 7.
Oui enfin bon faut pas tirer sur le messager non plus…
Ce journal m'a permis de découvrir le soucis (vu que je vais rarement dans la rubrique Liens) et dès la première ligne il donne la source "L'EFF communique depuis ce matin pour mettre en garde". + "à l'heure actuelle, on ne connait ni la faille, ni ses effets, pas grand-chose en fait…"
Il est carrément mesuré et factuel ce journal. Amélioré par le 1er commentaire qui pointe vers tes explications on comprend effectivement qu'il n'y a pas le feu. Mais c'est dommage de le moinsser…
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.