Mise à jour : informations sur les annonces « efail »
Créé le 14.May 2018, 18:40 | Catégorie : Blog
Actualisation du 15 Mai à 15h30 :
Nous avons une nouvelle pour toutes les utilisatrices et tous les utilisateurs de Mailvelope :
L’extension de chiffrement open source Mailvelope n’est pas concernée par les failles critiques efail et peut encore être utilisée. C’est ce qu’a annoncé Mailvelope cet après-midi. Avec Mailvelope, PGP peut encore être utilisé dans la messagerie en ligne Posteo. Nous sommes en contact avec le développeur de Mailvelope, Thomas Oberndörfer.
Il a cependant annoncé que l’approche de l’extension avec les e-mails HTML serait améliorée du point de vue de la protection des données et que, par exemple, le téléchargement de contenus distants comme les images serait rendu optionnel.
Il conseille aux utilisateurs de mettre à jour le module à la version 2.2.2 sortie aujourd’hui qui règle quelques problèmes annexes.
14 Mai 18h40 :
Chères utilisatrices et chers utilisateurs de Posteo,
aujourd’hui, les médias ont fait part de failles de sécurité au sein des standards de chiffrement de bout en bout PGP et S/MIME.
Nous n’avons eu connaissance de ces recherches qu’aujourd’hui. Par conséquent, nous ne pouvons pas encore évaluer définitivement cette publication. Nous examinons actuellement le document pour vous, demandons l’avis d’experts en sécurité et avons également pris contact avec les développeurs de logiciels de chiffrement courants.
Nous souhaitons répondre brièvement aux questions qui nous ont été posées et donner quelques conseils pour les utilisateurs de PGP et S/MIME. Dès que nous en saurons plus, nous actualiserons cet article de blog.
En bref :
1.) Si vous n’utilisez pas le chiffrement de bout en bout avec PGP ou S/MIME, ce sujet ne vous concerne pas.
2.) Si vous utilisez PGP ou S/MIME, bloquez l’exécution du code HTML et le téléchargement de contenus distants (vous trouverez des instructions à ce sujet à la fin de cet article de blog).
3.) Tous les participants d’une communication chiffrée doivent mettre en place les mesures décrites dans la partie 2.).
« Le chiffrement des e-mails » n’est-il désormais plus sûr ?
Non, cette généralité n’est pas correcte. En effet, « le seul et unique » chiffrement des e-mails n’existe pas. De nos jours, les e-mails sont généralement sécurisés par la combinaison de différentes technologies de sécurité et de chiffrement. Par exemple, le chiffrement de bout en bout ne protège pas la totalité de la communication par e-mail, même si ceux qui le croient sont nombreux : il ne protège que les données de contenu.
Les métadonnées et l’objet sont protégés par le chiffrement lors de l’acheminement pourvu par les fournisseurs.
La sécurité d’une communication par e-mail dépend ainsi de la combinaison de différentes technologies. Si une technologie de chiffrement est considérée de façon isolée, cela dit en pratique peu de la sécurité effective d’une communication par e-mail donnée.
Une attaque n’est possible que dans des conditions restreintes
Ceux qui ont élaboré cette recherche présupposent dans leur scénario que l’agresseur a déjà accès à la communication chiffrée. Cependant, les fournisseurs de messagerie utilisent aujourd’hui des technologies de sécurité capables d’empêcher efficacement les attaques de « l’homme du milieu » et les accès non autorisés aux communications chiffrées.
L’Office fédéral pour la sécurité en matière de technologies de l’information (BSI) (lien en allemand) écrit, lui aussi, au sujet des conditions nécessaires à l’attaque :
« Pour pouvoir exploiter la faille, un agresseur doit avoir accès au transport, au serveur de messagerie ou à la boîte mail du destinataire. »
Le fait est que les fournisseurs sécurisent aujourd’hui de mieux en mieux le transport, les serveurs de messagerie et les boîtes mail – chez nous, cela reflète l’état actuel de la technique. Les utilisateurs doivent également bien sécuriser leurs terminaux.
Un exemple concernant le transport : en 2014, nous étions le premier fournisseur à introduire la technologie innovante DANE qui corrige les failles courantes du chiffrement à l’acheminement. La combinaison d’un chiffrement de bout en bout et d’un chiffrement à l’acheminement utilisant DANE confère un très haut niveau de protection.
Astuce : Dans la messagerie en ligne Posteo, il est indiqué avant l’envoi d’un e-mail si votre e-mail chiffré est protégé par DANE.
Nous protégeons les serveurs de messagerie à l’aide de plusieurs technologies et d’une infrastructure qui protège notre réseau interne et les boîtes mail des clients d’attaques extérieures de façon très conséquente. Vous pouvez protéger votre boîte mail avec un mot de passe fort et nous chiffrons chaque accès à votre boîte mail à l’aide des toutes dernières technologies.
Vous atteignez un niveau de protection encore plus haut si vous activez l’authentification à deux facteurs combiné à la protection supplémentaire de la boîte mail. Avec la garantie de l’envoi par TLS, vous empêchez le fait que vos e-mails soient transmis sans chiffrement à l’acheminement à d’autres serveurs de messagerie.
Le BSI fait également état d’une autre condition pour l’attaque :
« De plus, les contenus actifs doivent être autorisés du côté du destinataire, c’est-à-dire l’exécution du code html et en particulier le téléchargement de contenus distants. »
C’est pourquoi les utilisateurs de chiffrement de bout en bout doivent immédiatement vérifier dans leurs paramètres si l’exécution du code HTML et le téléchargement de contenus externes sont activés et, le cas échéant, changer cela. Cela devrait très probablement écarter les menaces sérieuses.
Instructions pour bloquer le téléchargement de contenus externes/l’exécution du code HTML
Thunderbird :
Désactiver l’affichage HTML
1. Dans Thunderbird, cliquez en haut à droite sur le bouton de menu.
2. Cliquez sur « Affichage ».
3. Dans « Corps du message en », choisissez l’élément de menu « texte seul ».
Désactiver les contenus externes
1. Dans Thunderbird, cliquez en haut à droite sur le bouton de menu et ouvrez les « Options ».
2. Ouvrez l’élément de menu « Vie privée ».
3. Dans la rubrique « Contenu des messages », ôtez la croix devant « Autoriser le contenu distant dans les messages ».
Apple Mail :
1. Cliquez dans la barre de menu sur « Mail » puis ouvrez les « Préférences ».
2. Ouvrez l’élément de menu « Présentation ».
3. Ôtez la croix devant « Charger le contenu distant des messages ».
iOS :
1. Ouvrez les « Réglages ».
2. Tapez sur « Mail ».
3. Dans la rubrique « Messages », désactivez l’interrupteur à côté de « Charger les images ».
Outlook :
1. Cliquez sur « Fichier » puis dans le menu latéral sur « Options ».
2. Ouvrez l’élement de menu « Centre de gestion de la confidentialité » puis cliquez sur « Paramètres du Centre de gestion de la confidentialité ».
3. Cliquez sur « Sécurité de messagerie électronique ».
4. Dans la rubrique « Lire comme texte brut », cochez « Lire tous les messages standard au format texte brut » et « Lire tous les messages électroniques signés numériquement au format texte brut ».
5. Confirmez le changement en cliquant sur « Ok ».
Bien cordialement,
l’équipe Posteo