Sebastian Schinzel, professeur de cybersécurité à l’université des sciences appliquées de Münster, fait partie du groupe de chercheurs européens qui a découvert des vulnérabilités critiques dans PGP/GPG et S/MIME, des outils pour assurer la confidentialité des correspondances.

Les chercheurs donneront tous les détails dans un article de recherche publié mardi à 7 heures.

Ils ont été en contact avec leurs homologues de l’Electronic Frontier Foundation (EFF), qui confirme que ces vulnérabilités posent une menace immédiate pour ceux qui utilisent ces outils, et pourraient notamment divulguer les contenus de messages anciens.

Dans l’immédiat, aucun correctif n’a été trouvé.

Il est donc recommandé de désinstaller, ou d’arrêter immédiatement d’utiliser ces outils.

Voici trois guides en anglais pour désinstaller les plugins PGP :

Thunderbird avec Enigmail

Apple Mail avec GGPGTools

Outlook avec Gpg4win

Les personnes utilisant le chiffrement S/MIME inclus dans leur gestionnaire de courriels sont également invitées à le désactiver.

Avec plus de temps, il est espéré que la communauté développe des correctifs, ou a minima atténue les risques.

L’annonce de la publication de l’article à une date ultérieure peut sembler spectaculaire. Schinzel affirme que l’on découvrira demain les raisons qui ont poussé le groupe à agir ainsi.