Une équipe de chercheurs a découvert une faille touchant les mécanismes de cryptographie S/MIME et OpenPGP utilisés pour le chiffrement des e-mails.

S/MIME et OpenPGP sont des mécanismes de cryptographie permettant le chiffrement des e-mails dans le client de messagerie.

EFAIL – c’est le nom de la faille – permet à un attaquant en position d’homme du milieu de lire et de modifier des messages entre un expéditeur et son destinataire.

Elle tire parti des fonctionnalités d’enrichissement HTML et CSS des clients de messagerie.

Un attaquant qui aurait réussi à intercepter un message chiffré pourra exploiter certaines propriétés de chiffrement de S/MIME et OpenPGP pour modifier le contenu sans posséder les clés de déchiffrement. Ainsi, un attaquant pourra ajouter un contenu malveillant au message qui, une fois déchiffré par le destinataire pourra envoyer du contenu en clair vers l’attaquant.

Même si la faille est relativement critique, elle n’est pas facile à mettre en œuvre, puisqu’elle nécessite d’intercepter les flux emails entre deux personnes. Il serait facile, théoriquement, de la mettre en place dans un environnement wifi non sécurisé, un faux wifi public opérateur, etc.

En attendant des mises à jour par les éditeurs de logiciels de messagerie, il est recommandé de désactiver les contenus HTML et CSS dans les mails ou d’effectuer les opérations de chiffrement via des applications tierces, de préférences dans un environnement distincts et déconnecté du réseau.

Vous trouverez tous les détails sur la faille sur le site qui lui est dédié : https://efail.de/

Icodia met en œuvre du chiffrement TLS complet sur toute la chaine de messagerie, limitant (voir supprimant) l’impact de cette faille.
Il est globalement plus sécurisé d’utiliser SSL/TLS car le chiffrement s’effectue sur le tunnel de transport et non sur le contenu du message.
Dans le cas d’un chiffrement par S/MIME ou OpenPGP, il est possible d’intercepter un message, tandis qu’avec SSL/TLS, une attaque de l’homme du milieu n’est pas envisageable.