ALERTE : Multiples vulnérabilités S/MIME OpenPGP (14.05.18)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Multiples vulnérabilités S/MIME OpenPGP (14.05.18)

Messagede pierre » 15 05 2018

Multiples vulnérabilités dans S/MIME et OpenPGP

Version initiale de l'alerte
14 mai 2018

Révision de l'alerte
15 mai 2018

Source(s)
Voir Documentation


Risque(s)
Atteinte à la confidentialité des données

Systèmes affectés
De multiples clients de messagerie ont été identifiés comme étant vulnérables.

Une liste établie par les chercheurs à l'origine de la découverte de cette vulnérabilité est disponibles dans l'article tel que référencé dans la section documentation.

Image

Résumé
Le 14 mai 2018, un site internet rendait disponible les détails d'une attaque baptisée EFAIL permettant de compromettre les échanges de courriels sécurisés par les mécanismes S/MIME et OpenPGP.

L'attaque permet à un acteur malveillant d'obtenir la version déchiffrée d'un message protégé par l'un des systèmes de chiffrement S/MIME ou OpenPGP. Pour cela l'attaquant doit être en position d'homme du milieu (Man in the middle) c'est à dire être capable de lire les échanges courriels entre un expéditeur et un destinataire.

Fuite de données et contenu actif
Une variante de l'attaque EFAIL tire parti des fonctionnalités des clients de messageries qui permettent d'enrichir le contenu textuel d'un courriel en intégrant du HTML ou encore du CSS. Ces éléments additionnels sont désignés comme contenu actif.

Un attaquant en mesure d'intercepter un courriel chiffré pourra ainsi y concaténer certains éléments de ces langages, sans modifier la partie chiffrée. Lors du déchiffrement du message par le client de messagerie le contenu actif sera exécuté et le message clair exfiltré. Cette variante fonctionne sur une minorité des clients de messagerie vulnérables à EFAIL.

Attaque cryptographique
L'autre variante de l'attaque EFAIL exploite les propriétés de malléabilité des chiffrements utilisés par S/MIME et OpenPGP afin de directement modifier le chiffré d'un message sans avoir besoin de disposer des clés cryptographiques. Ces manipulations auront pour objectif d'y ajouter directement le contenu actif malveillant qui, une fois déchiffré, permettra de transmettre les données vers l'extérieur. Cette variante est plus complexe à exploiter mais concerne la majorité des clients de messagerie vulnérables à EFAIL.

Limitations
Bien que l'attaque EFAIL mette à mal le paradigme d'une communication sécurisée de bout-en-bout, les cas d'exploitation ne sont pas triviaux.

L'attaquant doit accéder aux mails chiffrés soit lors d'une interception d'un trafic réseau local, soit via Internet en disposant d'accès à un serveur de relais de messagerie. En fonction du scénario l'attaquant pourra dans certains cas bloquer temporairement le mail et le modifier, ou le copier lors de son transit et rejouer la copie vers la victime une fois altéré.

Il est à noter que la surface d'attaque est corrélée avec le nombre de destinataires d'une communication chiffrée. En effet, chaque destinataire d'un même courriel peut être la cible d'une attaque suivant le principe d'EFAIL.

Contournement provisoire
Appliquez immédiatement les correctifs fournis par les éditeurs de client de messagerie (cherchez la dernière version).

Suivant le délai de mise à disposition de correctifs par les éditeurs, le CERT-FR recommande l'application des mesures temporaires suivantes.

Désactiver l'utilisation du contenu actif dans le client de messagerie (HTML, CSS).
Utiliser une application indépendante du client de messagerie pour pratiquer les opérations de chiffrement et de déchiffrement des courriels. Ces actions peuvent par ailleurs être réalisées dans un environnement distinct et déconnecté du réseau.

Documentation
Site détaillant le principe de la vulnérabilité du 14 mai 2018
https://efail.de/

Article de recherche présentant les travaux sur la vulnérabilité EFAIL (anglais - 21 pages)
https://efail.de/efail-attack-paper.pdf

Référence CVE CVE-2017-17688
http://cve.mitre.org/cgi-bin/cvename.cg ... 2017-17688

Référence CVE CVE-2017-17689
http://cve.mitre.org/cgi-bin/cvename.cg ... 2017-17689

Désactivation du contenu actif dans Thunderbird
http://kb.mozillazine.org/Plain_text_e- ... hunderbird)#Displaying_messages

Désactivation du contenu actif dans Outlook
https://support.microsoft.com/en-us/hel ... ext-format
Avatar de l’utilisateur
pierre
 
Messages: 23438
Inscription: 20 05 2002
Localisation: Ici et maintenant

Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Google [Bot] et 3 invités