Cette faille de sécurité, nommée EFAIL, ne concerne pas les protocoles eux-mêmes comme il était présenté initialement mais certains plugins et outils qui les exploitent, ce qui la rend la situation un peu moins critique.
Une faille qui n'est pas exploitable facilement
En premier lieu, la faille EFAIL n'est exploitable que sur les messages des utilisateurs utilisant S/MIME ou PGP pour chiffrer leurs communications.S/MIME est un standard principalement utilisé en entreprise. Sur macOS et iOS notamment, les logiciels d'Apple affichent un cadenas à côté de l'expéditeur lors de l'envoi d'un mail par cette méthode. Néanmoins, il semblerait qu'Apple ait corrigé cette faille depuis la version 10.13.4 de High Sierra, ayant été informée bien avant le commun des mortels de cette vulnérabilité. Gmail peut lui aussi être concerné car le client web propose une option pour chiffrer les messages en utilisant S/MIME.
En ce qui concerne PGP, cela requiert généralement l'installation d'un module complémentaire, bien que certains clients l'intègrent par défaut. Par exemple, Thunderbird, le client mail de la fondation Mozilla, est touché par cette faille.
Si vous utilisez un plugin ou un outil PGP ou S/MIME, rassurez-vous donc, vous n'êtes pas forcément exposé. Sur 35 clients et services compatibles S/MIME testés, 25 étaient touchés ; de même, sur 28 clients PGP testés, seuls 10 étaient compromis.
Plus rassurant encore, la vulnérabilité permet de déchiffrer les messages à votre insu mais cela nécessite d'avoir accès aux messages, ce qui limite clairement la portée de la faille de sécurité.
Cela peut se faire en récupérant les messages depuis l'ordinateur de l'utilisateur, en les extrayant du serveur de l'entreprise qui stocke les mails ou encore en les captant via un réseau non protégé mais cela nécessite pour l'attaquant des connaissances supplémentaires et du temps.
Une faille vieille d'une décennie
On ne parle pas d'ossements ici mais toujours de la faille. Il semblerait que cette découverte très récente concerne une vulnérabilité présente depuis une dizaine d'années. A vrai dire, la faille concernant PGP est connue et documentée depuis 1999, même si, évidemment, des correctifs avaient été mis en place au début des années 2000.Au grand damne des utilisateurs, il n'y a aucun moyen de s'assurer qu'elle n'a pas été utilisée pour déchiffrer ses mails.
Derrière EFAIL, plusieurs failles sont à énumérer en réalité, qui concernent les technologies de chiffrement, les clients et les services. Au cas par cas, les données que les pirates peuvent récupérer en clair varient.
Vous pouvez retrouver le document complet publié par l'équipe de chercheur à l'origine de la découverte sur le site officiel EFAIL.
Fonctionnement de la faille EFAIL
Techniquement, comment fonctionne cette vulnérabilité ? C'est le HTML, qui sert à mettre en forme un mail, qui est au cœur du problème. La technique de piratage nécessite quelques étapes.Tout d'abord, l'attaquant doit donc récupérer une copie d'un mail chiffré entre le destinataire et l'expéditeur. Une fois en main, il crée une version modifiée de l'email, dont le contenu chiffré est compris dans une balise HTML, en y ajoutant un lien vers un nom de domaine contrôlé par l'attaquant. Enfin, il renvoie ce mail piégé vers la cible. En l'ouvrant, le client mail déchiffrera le message pour que l'utilisateur puisse le visualiser et une copie en clair sera envoyée vers le nom de domaine contenu dans la balise HTML, permettant ainsi à l'attaquant de le récupérer.
A partir de là, il aura accès à toutes les informations du mail - via les données cachées du mail - et pourra aller bien plus loin dans le piratage des données de l'utilisateur.
Que faire pour s'en prémunir ?
Maintenant, une seule chose à faire : ne plus utiliser son client mail pour déchiffrer les messages. C'est la meilleure solution à court terme pour se débarrasser radicalement du problème puisque la faille de sécurité EFAIL exploite le client mail. Désactivez le chiffrement, supprimez les certificats associés le cas échéant et désinstallez les modules que vous pourriez avoir installé.Pour le reste, il n'y a plus qu'à attendre patiemment que les développeurs des logiciels publient un correctif maintenant que l'équipe à l'origine de la vulnérabilité a rendu publique sa trouvaille.