Les failles de rendu HTML découvertes dans Apple Mail pour iOS et macOS ont été détaillées ce matin, permettant aux attaquants sans scrupules de dériver du texte brut décrypté à partir de vos e-mails cryptés.
Le professeur de sécurité informatique Sebastian Schinzel a publié hier un document de recherche sur cette vulnérabilité baptisée EFAIL.
En quoi consiste cette vulnérabilité?
En résumé, cette vulnérabilité permet à un attaquant de révéler le texte en clair des e-mails cryptés de quelqu'un sans avoir besoin des clés de cryptage privées de l'expéditeur, y compris les e-mails cryptés envoyés par le passé. Pour que l'attaque fonctionne, une partie néfaste doit être en possession de vos e-mails S / MIME ou PGP cryptés.
Cela implique l'utilisation d'une balise d'image spécialement conçue avec une chaîne de texte crypté. La combinaison oblige Apple Mail pour iOS et macOS à déchiffrer le contenu des messages chiffrés. L'ouverture d'un e-mail crypté invite le client à charger l'image spécifiée à partir d'un domaine contrôlé par un attaquant, ce qui lui permet d'obtenir des copies des messages décryptés.
Ce problème affecte également les utilisateurs du client de messagerie Thunderbird de Mozilla.
C'est grave?
Benjamin Mayo discute des ramifications potentielles de cette faille:
L'attaque repose sur le contact avec la même personne qui a envoyé l'e-mail crypté en premier lieu. Il n'est pas possible d'envoyer un e-mail à quelqu'un et de demander à un serveur de recevoir un flux de contenu décrypté. Le potentiel de communications compromises augmente si l'e-mail fait partie d'une conversation de groupe car l'attaquant n'a besoin de cibler qu'une seule personne de la chaîne pour effectuer le décryptage.
En plus du problème de rendu HTML, les chercheurs ont également publié un exploit plus technique de la spécification standard S / MIME elle-même qui affecte une vingtaine de clients en plus d'Apple. À long terme, la correction complète de cette vulnérabilité particulière nécessitera une mise à jour des normes de cryptage des e-mails sous-jacentes.
L'Electronic Frontier Foundation est intervenu en disant:
L'EFF a été en communication avec l'équipe de recherche et peut confirmer que ces vulnérabilités présentent un risque immédiat pour ceux qui utilisent ces outils pour la communication par courrier électronique, y compris l'exposition potentielle du contenu des messages antérieurs.
Ce bogue affecte uniquement les personnes qui utilisent un logiciel de cryptage de messagerie PGP / GPG et S / MIME qui rend les messages illisibles sans clé de cryptage. Les utilisateurs professionnels s'appuient souvent sur le chiffrement pour empêcher l'écoute de leurs communications par courrier électronique.
La plupart des e-mails sont envoyés non cryptés, cependant.
Comment vous protéger
Un correctif temporaire: supprimez le plug-in de chiffrement GPGTools / GPGMail d'Apple's Mail sur macOS (supprimez la GPGMail.mailbundle de / Bibliothèque / Mail / Bundles ou ~ / Bibliothèque / Mail / Bundles).
Comme mesure plus extrême, désactivez la récupération de contenu emote: basculer «Charger du contenu distant dans les messages» dans les préférences de Mail pour macOS et Charger des images distantes dans Mail pour iOS.
Apple est susceptible de publier un correctif d'urgence pour cette grave faille, alors restez à l'écoute et surveillez cet espace car nous nous engageons à vous tenir au courant.
En attendant, dites-nous ce que vous pensez de cette vulnérabilité récemment découverte dans Apple Mail et d'autres clients de messagerie en laissant un commentaire ci-dessous.
