Les chercheurs en sécurité envoient un avertissement au monde entier concernant une faille critique dans les outils de chiffrement de messagerie OpenPGP et S / MIME. La vulnérabilité porte le nom de code EFAIL et permet aux attaquants d’extraire le contenu en texte brut de tous vos messages envoyés / reçus.

Le fait que cette faille rend le cryptage des e-mails inutile est très inquiétant. Malheureusement, l’EFF a confirmé qu’il n’existait actuellement aucun correctif ou solution fiable pour résoudre le problème.

En attendant qu'un nombre suffisant de clients soit corrigé de manière fiable, l'envoi de messages chiffrés avec PGP peut créer des incitations négatives pour l'écosystème, ce qui incite d'autres personnes à les déchiffrer. Équilibrer les risques de continuer à l'utiliser peut être délicat et dépend de votre situation et de celle de vos contacts.

Les utilisateurs sont invités à désactiver les plugins de cryptage de messagerie

Jusqu'à nouvel ordre, il a été conseillé aux utilisateurs de désactiver les plug-ins de chiffrement de courrier électronique afin d'éviter aux attaquants de récupérer les anciens messages chiffrés une fois le document publié.

Ces étapes sont conçues comme un palliatif temporaire conservateur jusqu'à ce que le risque immédiat de l'exploit soit passé et atténué par la communauté plus large.

Pour plus d'informations sur la désactivation du chiffrement du courrier électronique dans Outlook, vous pouvez consulter le guide de EFF.

L'état actuel de la situation

Certains chercheurs ont commencé à divulguer plus de détails sur la faille plus tôt que prévu et, par conséquent, le site Web efail.de est en ligne et le document de recherche également. Les deux présentent des détails détaillés sur la faille EFAIL. La vulnérabilité affectait déjà les plug-ins de messagerie pour la prise en charge des opérations de chiffrement.