eFail : une faille de sécurité dans PGP pour les emails

Our advice, which mirrors that of the researchers, is to immediately disable and/or uninstall tools that automatically decrypt PGP-encrypted email. Until the flaws described in the paper are more widely understood and fixed, users should arrange for the use of alternative end-to-end secure channels, such as Signal, and temporarily stop sending and especially reading PGP-encrypted email.

Please refer to these guides on how to temporarily disable PGP plug-ins in:
Thunderbird with Enigmail
Apple Mail with GPGTools
Outlook with Gpg4win

These steps are intended as a temporary, conservative stopgap until the immediate risk of the exploit has passed and been mitigated against by the wider community.


Researchers have known about the theoretical underpinnings of the eFail attack since the early 2000s, and some implementations of the OpenPGP standard already protect against it. Since the attack centers around manipulating custom HTML, systems can and should be able to flag that the email the target actually receives has been altered. The message authentication check for PGP is called "Modification Detection Code," and MDCs indicate the integrity of a message's authentication. But eFail highlights that many email clients will tolerate messages with invalid or missing MDCs instead of dropping them to ease friction between different PGP implementations.

Dois-je retourner sur Facebook ?

Au moins tu seras certain que tes messages sont interceptés :slight_smile:

[me=Otyugh]inspiiiire grandement.[/me]

Si avec ça on va pas se faire troller encore é_è

  • Je suis cela dit très curieux d’avoir des détails du pourquoi du comment. Je pensais que GPG était une implémentation assez direct et une des moins vulnérables à ce genre de… Gros fail. Puis contrairement à ssh y avait pas cet aspect “réseau” qui est souvent source de problème.

J’ai l’impression que la faille viens du fait des outils qui auto-dechiffrent les messages gpg. La faille n’est pas le déchiffrement en lui même.
Cela me rassure beaucoup, mais plombe encore plus l’accès à ce chiffrement puisqu’il faut faire gaffe à “la manière que c’est utilisé”.

Je n’ai pas encore pris connaissance des details de “la faille”. Si quelqu’un a un lien qui explique cela en fr, je suis preneur :slight_smile:

Bulletin d’alerte du CERT-FR https://www.cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-007/

le 14 mai 2018 Bulletin d'alerte du CERT-FR [hr] Objet: Multiples vulnérabilités dans S/MIME et OpenPGP Gestion du document [table] [tr] [td]Référence[/td] [td]CERTFR-2018-ALE-007[/td] [/tr] [tr] [td]Titre[/td] [td]Multiples vulnérabilités dans S/MIME et OpenPGP[/td] [/tr] [tr] [td]Date de la première version[/td] [td]14 mai 2018[/td] [/tr] [tr] [td]Date de la dernière version[/td] [td]15 mai 2018 à 11h44[/td] [/tr] [tr] [td]Source(s)[/td] [td]Site détaillant le principe de la vulnérabilité EFAIL[/td] [/tr] [tr] [td]Pièce(s) jointe(s)[/td] [td]Aucune(s)[/td] [/tr] [/table] [b]Tableau 1:[/b] Gestion du document Une gestion de version détaillée se trouve à la fin de ce document. Risque(s) [ul][li]Atteinte à la confidentialité des données[/li][/ul] Systèmes affectés De multiples clients de messagerie ont été identifiés comme étant vulnérables. Une liste établie par les chercheurs à l'origine de la découverte de cette vulnérabilité est disponibles dans l'article tel que référencé dans la section documentation. Résumé Le 14 mai 2018, un site internet rendait disponible les détails d'une attaque baptisée EFAIL permettant de compromettre les échanges de courriels sécurisés par les mécanismes S/MIME et OpenPGP. L'attaque permet à un acteur malveillant d'obtenir la version déchiffrée d'un message protégé par l'un des systèmes de chiffrement S/MIME ou OpenPGP. Pour cela l'attaquant doit être en position [i]d'homme du milieu[/i] c'est à dire être capable de lire les échanges courriels entre un expéditeur et un destinataire. Fuite de données et contenu actif Une variante de l'attaque EFAIL tire parti des fonctionnalités des clients de messageries qui permettent d'enrichir le contenu textuel d'un courriel en intégrant du HTML ou encore du CSS. Ces éléments additionnels sont désignés comme contenu actif. Un attaquant en mesure d'intercepter un courriel chiffré pourra ainsi y concaténer certains éléments de ces langages, sans modifier la partie chiffrée. Lors du déchiffrement du message par le client de messagerie le contenu actif sera exécuté et le message clair exfiltré. Cette variante fonctionne sur une minorité des clients de messagerie vulnérables à EFAIL. Attaque cryptographique L'autre variante de l'attaque EFAIL exploite les propriétés de malléabilité des chiffrements utilisés par S/MIME et OpenPGP afin de directement modifier le chiffré d'un message sans avoir besoin de disposer des clés cryptographiques. Ces manipulations auront pour objectif d'y ajouter directement le contenu actif malveillant qui, une fois déchiffré, permettra de transmettre les données vers l'extérieur. Cette variante est plus complexe à exploiter mais concerne la majorité des clients de messagerie vulnérables à EFAIL. Limitations Bien que l'attaque EFAIL mette à mal le paradigme d'une communication sécurisée de bout-en-bout, les cas d'exploitation ne sont pas triviaux. L'attaquant doit accéder aux mails chiffrés soit lors d'une interception d'un trafic réseau local, soit via Internet en disposant d'accès à un serveur de relais de messagerie. En fonction du scénario l'attaquant pourra dans certains cas bloquer temporairement le mail et le modifier, ou le copier lors de son transit et rejouer la copie vers la victime une fois altéré. Il est à noter que la surface d'attaque est corrélée avec le nombre de destinataires d'une communication chiffrée. En effet, chaque destinataire d'un même courriel peut être la cible d'une attaque suivant le principe d'EFAIL. Contournement provisoire Le CERT-FR recommande d'appliquer les correctifs fournis par les éditeurs de client de messagerie. Suivant le délai de mise à disposition de correctifs par les éditeurs, le CERT-FR recommande également l'application des mesures temporaires suivantes.

[ul][li]Désactiver l’utilisation du contenu actif dans le client de messagerie (HTML, CSS).[/li]
[li]Utiliser une application indépendante du client de messagerie pour pratiquer les opérations de chiffrement et de déchiffrement des courriels. Ces actions peuvent par ailleurs être réalisées dans un environnement distinct et déconnecté du réseau.[/li][/ul]
Documentation

[ul][li]Site détaillant le principe de la vulnérabilité du 14 mai 2018
https://efail.de/ [/li]
[li]Article de recherche présentant les travaux sur la vulnérabilité EFAIL
https://efail.de/efail-attack-paper.pdf [/li]
[li]Référence CVE CVE-2017-17688
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17688 [/li]
[li]Référence CVE CVE-2017-17689
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17689 [/li]
[li]Désactivation du contenu actif dans Thunderbird
http://kb.mozillazine.org/Plain_text_e-mail_(Thunderbird)#Displaying_messages [/li]
[li]Désactivation du contenu actif dans Outlook
https://support.microsoft.com/en-us/help/831607/how-to-view-all-e-mail-messages-in-plain-text-format[/li][/ul]

Un résumé “friendly” :

De: "KheOps " <***> Envoyé: Lundi 14 Mai 2018 14:58:29 Objet: [membres] À propos de l'attaque « efail » liée à PGP

Bonjour les membres,

Certain·e·s d’entre vous ont vu passer l’attaque « efail »¹, présentée
comme une vulnérabilité due à PGP. Si vous ne l’avez pas vue passer, je
recommande de jeter un œil :slight_smile:

Si la vulnérabilité est bien réelle, la façon dont c’est présenté pour
le grand public, et en particulier le fait que l’EFF conseille sans
nuance d’arrêter d’utiliser PGP², est sujet à critiques, notamment sur
la liste d’EDRi. Personnellement je pense aussi que paniquer et arrêter
PGP complètement n’est dans la plupart des cas pas la bonne réaction.

Les attaques présentées reposent essentiellement sur ce processus :

  • le client courriel de l’utilisateurice déchiffre un mail chiffré ;
  • un attaquant actif a modifié le mail chiffré en chemin en y ajoutant
    du code HTML malicieux ;
  • lorsqu’interprété par le client post-déchiffrement, ce code fait
    envoyer le contenu déchiffré vers une URL extérieure contrôleé par
    l’attaquant (c’est ce qu’ils appellent un canal dérobé ou
    backchannel).

Si les soucis reposent en partie sur la façon dont un client courriel
fait interagir le processus de déchiffrement avec l’interprération HTML
ainsi que sur certains choix dans le standard OpenPGP, il y a quand même
un truc central : le canal dérobé nécessaire à l’attaque est créé par
l’interprétation de code (HTML) par le client.

Dans beaucoup de cas, donc, désactiver le rendu HTML et de toute
ressource externe au message dans votre logiciel courriel évitera le
gros du risque. En dehors de PGP, c’est de toute façon en général plutôt
une bonne idée… :slight_smile:

Bisous !

KheOps

¹ https://efail.de/
² https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now

[edit de piero : suppr des mails…]