Alerte de sécurité pour les utilisateurs de Mailvelope dans Firefox
Créé le 04.May 2017, 17:00 | Catégorie : Blog
Chères utilisatrices, chers utilisateurs de Mailvelope,
nous adressons cet avertissement de sécurité à tous ceux qui utilisent l’extension de chiffrement Mailvelope dans Firefox.
Nous avons fait effectuer un audit de sécurité actuel de Mailvelope. Ce dernier a permis de détecter une faille critique dans l’interaction entre le navigateur Firefox et Mailvelope. Dans certaines circonstances, l’architecture de sécurité de Firefox permet aux agresseurs d’accéder à la clé privée de l’utilisateur par le biais d’extensions compromises. Pour cette raison, nous demandons à tous les utilisateurs de Mailvelope dans Firefox de lire attentivement les recommandations de sécurité ci-dessous.
Les utilisateurs de Mailvelope chez tous les autres fournisseurs de messagerie (comme Gmail, Yahoo etc.) sont également concernés.
L’architecture de Firefox n’isole pas suffisamment les extensions les unes des autres. Cela est connu depuis des années. Or, le fait que même les clés privées d’un utilisateur de Mailvelope peuvent être compromises lors d’ une attaque ciblée n’avait pas encore été prouvé. Les ingénieurs de sécurité de Cure53 que nous avons mandatés ont pu le démontrer. Auparavant, cure53 a déjà audité Mailvelope dans Chrome : mandatés par nous, les ingénieurs ont maintenant pour la première fois examiné l’extension dans son interaction avec Firefox. Dans leur rapport d’enquête, ils concluent que Firefox ne constitue actuellement pas un environnement approprié pour Mailvelope. Ils déclarent :
« En conclusion, l’équipe de Cure53 ne peut recommander l’utilisation de Mailvelope dans Firefox en bonne conscience. »
Faille présente jusqu’en novembre 2017
Après l’audit de sécurité, nous en avons informé le développeur de Mailvelope, Thomas Oberndörfer. Il ne peut cependant pas réparer la faille puisque elle est causée par l’architecture de Firefox. Depuis quelque temps, une nouvelle architecture de Firefox est développée. Mozilla prévoit d’achever les travaux d’ici novembre 2017 avec la sortie de Firefox 57. Thomas Oberndörfer travaille également sur une version de Mailvelope adaptée à l’architecture améliorée de Firefox. Nous le remercions pour son travail de développement.
Jusqu’à ce que Mozilla ait adapté l’architecture, les recommandations de sécurité suivantes s’appliquent :
1ère option : en attendant, utilisez un autre logiciel : vous pouvez soit utiliser Mailvelope dans un autre navigateur, soit utiliser PGP avec un client de messagerie local. Dans notre rubrique d’aide, vous trouverez plusieurs articles sur ce sujet.
2ème option : sinon, un profil Firefox réservé à Mailvelope minimise le risque de façon transitoire. Dans notre rubrique d’aide, nous avons publié des instructions pas-à-pas pour créer des profils dans Firefox : instructions pour Mac instructions pour Windows. Les utilisateurs de Mailvelope ayant un autre fournisseur de messagerie peuvent également suivre ces instructions. Veillez à respecter absolument les recommandations de sécurité suivantes afin de minimiser le risque d’une attaque efficace :
- n’installez aucune autre extension dans le nouveau profil du navigateur.
- Utilisez le profil de Firefox pour votre communication chiffrée avec Mailvelope uniquement : n’ouvrez que la messagerie en ligne de votre fournisseur de messagerie et n’ouvrez jamais d’autres sites internet dans ce profil.
- Choisissez également le mot de passe le plus sûr possible pour votre clé PGP.
- Veillez à ne pas installer d’autres extensions par inadvertance (notamment par hameçonnage) qui pourraient vous attaquer.
Compte tenu des problèmes dans l’architecture de Firefox, nous vous conseillons ce qui suit :
- réduisez au minimum l’utilisation d’extensions dans votre navigateur Firefox jusqu’à ce que Mozilla ait modifié son architecture.
- En créant un compte d’utilisateur supplémentaire et séparé dans votre système d’exploitation pour votre communication chiffrée de bout en bout, vous vous protégez encore mieux des attaquants potentiels.
Pour des raisons de transparence, voici les recommandations du rapport d’enquête de Cure53 :
« On peut recommander deux méthodes aux utilisateurs qui se fient à Mailvelope pour le cryptage de données très sensibles. Premièrement, ils peuvent utiliser Mailvelope dans un profil de navigateur dans lequel Mailvelope est la seule et unique extension installée sans autres extensions. Deuxièmement, ils devraient recourir à d’autres logiciels, par exemple Thunderbird avec Enigmail. »
« Il est actuellement recommandé à tout utilisateur de Mailvelope sous Firefox d’exporter ses paramètres Mailvelope, de supprimer Mailvelope de Firefox et d’importer les paramètres Mailvelope dans Mailvelope installé au préalable dans Google Chrome. Sinon, Mailvelope peut être utilisé dans un profil de navigateur séparé, à condition qu’aucune autre extension soit installée pour minimiser le risque de vol de clés. »
Les ingénieurs de sécurité mandatés par Posteo ont trouvé la faille
Au quotidien, nos clients utilisent différents appareils, navigateurs et extensions dans leurs environnements locaux. La sécurité de la communication de nos clients est très importante pour nous. C’est pourquoi nous faisons régulièrement examiner des composants standard externes, à la recherche de failles. Nous travaillons, entre autres, avec les experts de sécurité informatique de Cure53 qui ont trouvé la faille dans Mailvelope sous Firefox.
Le docteur Mario Heiderich (Cure53) explique :
« Le problème se trouve actuellement dans l’architecture. Pour cela, il n’y a pas de solution facile. Mozilla le sait, mais doit aussi maîtriser le grand écart difficile entre les changements radicaux et les décisions pondérées qui semblent souvent lentes. Mais on va dans la bonne direction, ce qui est tout à fait positif pour un logiciel complexe.»
Thomas Oberndörfer (Mailvelope) dit :
« Bien entendu, Mailvelope dépend de la sécurité de la plateforme de navigateur sous-jacente. Les failles dans le système d’extensions de Firefox sont connues depuis un moment. Il est d’autant plus appréciable que Mozilla fasse maintenant des ajustements. Les audits de sécurité comme celui qu’a effectué Posteo sont pour nous un indicateur important pour savoir comment améliorer Mailvelope. »
Le rapport d’enquête sera publié après la réparation de la faille
Il est prévu que Mozilla répare seulement la faille décrite ci-dessus en novembre 2017. C’est pour cela que, par mesure de sécurité, nous ne publierons le rapport d’enquête à une date ultérieure. Le rapport décrit précisément une attaque qui pourrait fonctionner. Le rapport est déjà à disposition de Mailvelope ainsi que de l’office fédéral allemand pour la sécurité en matière de technologies de l’information (le « BSI »).
L’audit de sécurité a également démontré des résultats positifs pour Mailvelope que nous voudrions mentionner ici : on a vérifié si les fournisseurs de messagerie avec lesquels Mailvelope est utilisé pourraient accéder à la clé privée des utilisateurs de Mailvelope enregistrée dans le navigateur. Cela n’était pas le cas. Toutes les autres tentatives des ingénieurs de sécurité d’accéder aux clés privées enregistrées dans Mailvelope en tant que fournisseurs de sites internet ou en tant qu’attaquants de type « Homme du milieu » n’ont également pas abouti.
La faille montre que l’open source augmente la sécurité
Pour des raisons de sécurité, nous prenons en charge uniquement des composants open source ayant un code transparent, comme l’extension de chiffrement Mailvelope. Selon nous, un code transparent est essentiel pour la sécurité et le contrôle démocratique sur Internet : des experts indépendants peuvent à tout moment identifier des failles ou des portes dérobées grâce à une analyse du code, comme dans le cas actuel. Ainsi, on n’est plus obligé de se fier aux déclarations de sécurité d’un fournisseur ou d’un développeur. Avec les audits de sécurité que nous mandatons, nous souhaitons contribuer à augmenter la sécurité des composants open source courants et du véritable chiffrement de bout en bout.
Meilleures salutations,
l’équipe Posteo