Sebastian Schinzel, professeur de cybersécurité à l’université des sciences appliquées de Münster, fait partie du groupe de chercheurs européens qui a découvert des vulnérabilités critiques dans PGP/GPG et S/MIME, des outils pour assurer la confidentialité des correspondances.
We’ll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4
— Sebastian Schinzel (@seecurity) 14 mai 2018
Les chercheurs donneront tous les détails dans un article de recherche publié mardi à 7 heures.
Ils ont été en contact avec leurs homologues de l’Electronic Frontier Foundation (EFF), qui confirme que ces vulnérabilités posent une menace immédiate pour ceux qui utilisent ces outils, et pourraient notamment divulguer les contenus de messages anciens.
Dans l’immédiat, aucun correctif n’a été trouvé.
Il est donc recommandé de désinstaller, ou d’arrêter immédiatement d’utiliser ces outils.
Voici trois guides en anglais pour désinstaller les plugins PGP :
Les personnes utilisant le chiffrement S/MIME inclus dans leur gestionnaire de courriels sont également invitées à le désactiver.
Avec plus de temps, il est espéré que la communauté développe des correctifs, ou a minima atténue les risques.
L’annonce de la publication de l’article à une date ultérieure peut sembler spectaculaire. Schinzel affirme que l’on découvrira demain les raisons qui ont poussé le groupe à agir ainsi.