Journal [PGP] Des failles de sécurité sous le sapin pour Thunderbird et Enigmail !

11
25
déc.
2017

Cet automne, l'hébergeur de mail Posteo s'est associé avec Mozilla pour commander un audit de Thunderbird et Enigmail… et c'est pas moins de 22 failles de sécurité qui ont été découvertes par l'équipe de Cure53, dont 3 classées critiques et 5 graves.

Que faire ? Il est vivement conseillé de :

  • mettre à jour immédiatement l'extension Enigmail (qui corrige plusieurs failles)
  • désactiver les autres extensions dans Thunderbird jusqu'à ce que l'architecture du système d'extension soit revue de zéro dans Thunderbird 59
  • ne surtout pas utiliser le lecteur de flux RSS intégré à Thunderbird

Thunderbird/Enigmail, c'est quoi ?

Thunderbird est un client mail de bureau initialement développé par Mozilla qui aujourd'hui prend son envol avec une nouvelle équipe. Bref ce qui concerne Thunderbird se passera à l'avenir sur thunderbird.net.

Enigmail est une extension pour Thunderbird permettant de chiffrer les communications en utilisant OpenGPG. On est sur du chiffrement asymétrique assez bourrin (il faut ma clef publique pour m'envoyer un message chiffré, mais personne ne pourra déchiffrer le message sans ma clef privée) qui emmerde bien la DGSI et autres terroristes d'État du même genre.

Autant dire que des failles de sécurité dans des logiciels utilisés par autant de monde pour protéger leurs données, c'est à prendre très au sérieux.

Et Posteo dans tout ça ?

Posteo est une entreprise d'hébergement de courrier électronique créée en 2009 à Berlin. Si vous vous attendiez à m'entendre cracher sur Posteo parce que c'est une entreprise, et bien c'est raté ! Car même si ce n'est pas une coopérative administrée par ses salarié⋅e⋅s, Posteo est un projet vraiment stylé et respectueux de tou⋅te⋅s. Le service fourni pour 1€/mois est constitué d'un compte mail avec 2Go de stockage (+ 0.25€/Go/mois), et un calendrier (CalDAV) et un carnet de contacts (CardDAV) :

  • Zéro publicité, zéro trackers
  • Alimentation en électricité 100% renouvelable (équivalent allemand d'enercoop)
  • Modèle économique durable : pas d'endettement et un juste prix pour les services fournis afin de garantir la pérennité du projet
  • Pas de mauvais coup avec les données personnelles : un grand STOP envoyé et aux demandes commerciales et aux requêtes légales

Au niveau de la sécurité mise en place chez Posteo, on retrouve :

  • L'inscription anonyme avec possibilité d'acheter des tokens en cash
  • Une politique stricte d'anti-rétention de données (les adresses IP accédant aux services ne sont pas stockées)
  • Possibilité d'activer une option pour empêcher l'envoi de mail aux serveurs ne supportant pas TLS
  • Suppression automatique de l'adresse IP d'envoi dans les headers du mail
  • Authentification à facteurs multiples (2FA)
  • Un scrambler intégré à dovecot qui chiffre les boîtes perso pour que même Posteo n'y ait pas accès sans backdoorer ses propres systèmes (par exemple, en cas de perquisition)

(Oui, c'est exactement le genre de système qu'a mis en place la coopérative à prix libre riseup.net suite à des ennuis avec la "justice" états-unienne)

Alors, il n'y a pas encore de service caché Tor pour accéder aux services de Posteo, mais leur politique de confidentialité et de sécurité n'a rien à envier à de nombreux CHATONS qui par habitude ou par manque de considération envers leurs utilisateurices gardent des logs sur leurs serveurs.

Conclusions

Le projet LEAP (LEAP Encryption Access Project) pour déployer des serveurs de messagerie et VPN sécurisés (grâce à un set de scripts Ansible) poursuit son bout de chemin. Il y a quelques mois, la fondation Mozilla a annoncé verser 30000$ pour aider à financer le projet. Le côté client, Bitmask, quant à lui, continue la refonte de son code. Il semblerait que la version Android va recevoir une refonte visuelle.

D'ici là, Thunderbird et Enigmail restent le combo le plus accessible pour chiffrer simplement ses mails. Alors pour procéder avec prudence, n'hésitons pas à utiliser une machine dédiée à vos opérations cryptographiques sensibles ! :-)

Et si nous administrons des machines, privilégions des systèmes cryptographiques qui ne nous donnent pas accès aux données de nos utilisateurices (scrambler dovecot 1 2), et n'hésitons pas à réduire (ou supprimer) les données que nous amassons, comme nous le rappelle encore récemment LQDN.

Bonnes fêtes de fin d'année à vous ! Sauf si vous travaillez chez les GAFAM ou à la DGSI : dans ces cas-là je vous souhaite plein de plantages système irrécupérables, et une bonne marmite de dynamite pour faire sauter les serveurs de votre employeur.

PS: Pour les ami⋅e⋅s anglophones, le dernier épisode de Trouble parle de bidouillages et de sécurité → Trouble S01E08 : Hack the System

Hack the system

  • # sans titre

    Posté par  . Évalué à 2.

    Ce sont des projets tres interessant : Leap; Riseup; ou encore Bitmask.
    Mais que pensez vous de ProtonMail base en Suisse ou encore Unseen.is base en Islande ?

    • [^] # Re: sans titre

      Posté par  (site web personnel) . Évalué à 3.

      La différence principale est d'ordre politique. Riseup est un collectif d'hébergement libriste et libertaire avec une grande crédibilité en matière de respect de ses utilisateurices. Leurs services sont strictement réservés à une utilisation militante, et Riseup a à une exception près refusé systématiquement de coopérer avec les États et leur appareil répressif (police, justice, renseignements).

      A contrario, Protonmail et unseen.is visent un plus grand public, mais ont des pratiques semble-t-il différentes. Dans leur Privacy policy, ProtonMail annonce coopérer avec les requêtes des deux autorités qu'illes sont obligés de reconnaître (les tribunaux régionaux du canton de Genêve et la Cour Suprême Fédérale de Suisse) sauf s'illes voient un intérêt public à contester la requête.

      Unseen.is, en revanche, semble coopérer avec n'importe quelle requête jugée légale : « to comply with a legal process duly served on Unseen ». Donc en gros, même si t'habites en France, un procès intenté par une entité russe, brésilienne, ou iranienne leur suffirait pour balancer toutes tes données (d'après leurs dires).

      Protonmail, à part le prix qui est franchement rédibitoire semble être de très loin le plus sérieux des deux. Mais qui peut se permettre de payer 5-8€/tête un abonnement mail ? Posteo fournit plus de services que Protonmail, moins cher, et ne semble collaborer qu'avec les autorités allemandes.

      Full disclosure: je n'ai aucun lien avec Posteo et n'ai jamais été client⋅e chez elleux, mais je connais quelques personnes très contentes de leurs services pour leur mail perso. Perso, mon rêve ce serait qu'il y ait avec les CHATONS plein de trucs qui ressemblent à Posteo qui se mettent en place ! Parce que fournir des pads, c'est cool. Mais fournir du mail à 1€/mois, c'est ultra stylé ! :-)

  • # HS pourtant ...

    Posté par  . Évalué à 10.

    J'ai arrêté de lire après ça :

    Car même si ce n'est pas une coopérative administrée par ses salarié⋅e⋅s, Posteo est un projet vraiment stylé et respectueux de tou⋅te⋅s.

    • [^] # Re: HS pourtant ...

      Posté par  . Évalué à 9.

      J'ai arrêté un peu avant. Quand ça s'est mis à parler de terroristes d'État. Ouf, j'ai échappé à l'écriture inclusive

      • [^] # Re: HS pourtant ...

        Posté par  . Évalué à 7.

        utilisateurices

        Je n'ai pas suivi tout le débat sur l'écriture inclusive(1) mais j'ai peut-être bien fait car ça sera sans moi, sans façon.

        (1) on me rétorquera peut-être que ce n'est pas de l'écriture inclusive à la lettre, mais j'imagine que c'est dans le même esprit.

      • [^] # Re: HS pourtant ...

        Posté par  . Évalué à 10.

        et donc tu as raté le plus beau :

        n'ai jamais été client⋅e chez elleux

        "elleux"…
        Magnifique, non ?

        Mais en tant que personne du genre masculin, je vais me plaindre de l'apparition du féminin avant le masculin dans ce mot : il faut écrire "euxelles".
        Tiens, c'est une anagramme de "sexuelle"…
        Le harcèlement est partout, on ne s'en sortira pas.

  • # Bisounours

    Posté par  (site web personnel) . Évalué à 10.

    En dehors de l’exclusion des gens qui ont des difficultés de lecture sous excuse d'inclusion (déjà traité en commentaire certes), notons au passage le côté super bisounours "c'est des super gentils" sans aucune critique (tout est tout beau), alors je m'en permet une : sous excuse de penser à vous (FAQ style "on vous empêche pour votre bien", un classique), l'offre est limitée aux gens prêts à laisser leur adresse mail à eux et eux seuls : impossible d'héberger les emails de son domaine, donc il faut prendre leur domaine (ou comment verrouiller les gens pour qu'ils déménagent plus difficilement en cas de problème).
    Perso, ce genre d' "oubli" me fait sourire surtout quand je pense aux arguments classiques libriste "prend pas une adresse @gmail,com, tu pourras pas déménager autrement qu'en changeant d'adresse, faut ton nom de domaine", c'est la où on voit les arguments à géométrie variable.

    Perso, quelque soit la "gentillesse" d'un fournisseur de mail, le fait de ne pas avoir le choix (qu'ils déconseillent avec leurs arguments serait normal, mais pas qu'ils empêchent l'accès à leur service à qui veut garder son indépendance si les gens considèrent que les "défauts" sont acceptables pour eux) d'utiliser son nom de domaine est éliminatoire (pas de confiance sur la liberté).

    Voilà, c'est juste pour contre-balancer le côté "bisounours" affiché dans le journal du commanditaire (c'est bien de payer un audit, pas la peine non plus d'en faire des tonnes en "publicité positive")

  • # Des détails

    Posté par  (site web personnel) . Évalué à 10. Dernière modification le 26 décembre 2017 à 15:33.

    Pour les curieux, l’extrait de l’audit concernant Enigmail est disponible.

    Sur la vulnérabilité TBE-01-002, je n’ai aucun commentaire à faire si ce n’est un doh! doublé d’un facepalm … Encore une excellente illustration de la loi d’Adi Shamir : Cryptography is bypassed, not penetrated. Pourquoi attaquer de front un algorithme de chiffrement quand on peut s’en prendre à une banale expression rationnelle ?

    En revanche la vulnérabilité TBE-01-005 me laisse dubitatif. L’audit semble dire qu’Enigmail déchiffre automatiquement et silencieusement un bloc chiffré caché au fin fond d’un e-mail, permettant à un attaquant d‘obtenir une copie déchiffré d’un message simplement en l’insérant subrepticement dans le fil d’une conversation.

    Je ne sais pas dans quelles conditions (p.ex. quelles versions d’Enigmail et/ou de GnuPG) ils ont testé ça (ni même si ils ont réellement testé ce scénario ou s’il s’agit juste d’une vulnérabilité théorique), mais le déchiffrement d’un bloc chiffré, même caché au fin fond d’un email de plusieurs centaines de lignes, n’est la plupart du temps pas silencieux puisque GnuPG doit demander à l’utilisateur de saisir la phrase de passe de sa clef privée. Ce n’est que si la phrase de passe est déjà dans le cache de l’agent GnuPG (donc si l’utilisateur s’en est servi dans les dix minutes précédentes, dans la configuration par défaut) qu’on ne lui demande rien. Ce n’est pas insurmontable pour l’attaquant (qui pourrait s’arranger par exemple pour envoyer lui-même un mail chiffré à sa victime quelques minutes avant de lui envoyer le mail contenant le message dont il veut obtenir le texte clair), mais ce n’est ni très discret ni aussi facile que ne semble le suggérer l’audit.

    Ah, et sinon :

    Enigmail est une extension pour Thunderbird permettant de chiffrer les communications en utilisant OpenGPG.

    Je vais (encore) chipoter, mais « OpenGPG », ça n’existe pas. Piqûre de rappel :

    • PGP (Pretty Good Privacy) = le programme original, écrit par Zimmerman au début des années 1990
    • OpenPGP = le standard (RFC 4880) décrivant le format des messages et clefs manipulés par PGP
    • GnuPG (GNU Privacy Guard, parfois appelé gpg qui est en fait le nom du binaire principal) = une implémentation libre du standard OpenPGP
    • [^] # Re: Des détails

      Posté par  . Évalué à 4.

      Merci pour ce lien vers l'audit parce que le journal en parle sans jamais donner de source.

      "ne surtout pas utiliser le lecteur de flux RSS intégré à Thunderbird"

      Après une recherche rapide, je ne trouve toujours pas un minimum de détails sur cette affirmation. Il a bien https://posteo.de/en/blog/security-warning-for-thunderbird-users-and-enigmail-users-vulnerabilities-threaten-confidentiality-of-communication qui dit

      The audit discovered profound security problems in connections with RSS feeds, which are expected to be fixed entirely no earlier than Thunderbird version 59. Due to security reasons, the actual attack will not be described in this post. Usage of RSS feeds in Thunderbird can endanger and reveal your entire communication and other sensitive data.

      Donc il y a une faille grave mais on en saura pas plus avant plusieurs mois (sortie de Tb59). Sans aller jusqu'au PoC, c'est quand même pas très rassurant de lire "n'y touchez pas et on vous dira pas pourquoi".

      • [^] # Re: Des détails

        Posté par  . Évalué à 5.

        Sans aller jusqu'au PoC, c'est quand même pas très rassurant de lire "n'y touchez pas et on vous dira pas pourquoi".

        En même temps, si tu dis pourquoi, il est sans doute (ça dépend évidemment des problèmes) assez facile d'en faire un PoC et c'est pour ça qu'ils ne disent rien.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # on pourrait en savoir plus ?

    Posté par  (site web personnel, Mastodon) . Évalué à 4.

    Des failles de sécurité sous le sapin pour Thunderbird et Enigmail !

    J'ai eu beau prendre le temps de lire en entier ce publi-reportage, mais je n'ai pas vraiment trouvé les descriptions des failles de T-bird. Peut-on en conclure que l'alarmisme est une tendance so 2017 ?

    Donc voilà, il y a quoi comme faille dans Thunderbird ?

    • [^] # Re: on pourrait en savoir plus ?

      Posté par  . Évalué à 4.

      https://www.enigmail.net/download/other/Enigmail%20Pentest%20Report%20by%20Cure53%20-%20Excerpt.pdf

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: on pourrait en savoir plus ?

      Posté par  (site web personnel) . Évalué à 6.

      Donc voilà, il y a quoi comme faille dans Thunderbird ?

      À ma connaissance les vulnérabilités découvertes dans Thunderbird n’ont pas été rendues publiques, contrairement à celles de Enigmail. La raison en est que si les vulnérabilités d’Enigmail ont déjà été corrigées (version 1.9.9 publiée le 19 décembre), ce n’est pas (encore) le cas pour Thunderbird, apparemment car les vulnérabilités découvertes ont une cause profonde, liée à l’architecture même du logiciel, et de fait ne se corrigent pas en quelques jours.

      Je cite le blog de Posteo.de (l’emphase est de moi):

      The add-on architecture of Thundebird allows an attacker to obtain your email communication through compromised add-ons. The add-ons are insufficiently separated and have access to the content in Thunderbird. This includes end-to-end encrypted communications: Even a users private PGP keys can fall into the hands of an attacker.

      À première vue quelque chose ne colle pas ici : si on peut aisément concevoir qu’un défaut d’isolation des greffons permette à un greffon d’accéder à n’importe quelle donnée au sein de Thunderbird, cela ne suffit pas à mettre en danger les clefs OpenPGP privées qui ne sont jamais manipulées directement ni par Thunderbird ni par Enigmail. Il y a une double indirection entre Thunderbird/Enigmail et les clefs OpenPGP : Enigmail délègue le déchiffrement (ou la signature) d’un message au programme gpg qui lui-même délègue toute opération impliquant une clef privée à l’agent GnuPG, qui est le seul programme à manipuler les clefs privées directement.

      Pour qu’un greffon Thunderbird permette à un attaquant d’accéder « même aux clefs OpenPGP privées », il faudrait que les vulnérabilités donnent un accès non seulement à Thunderbird lui-même, mais à travers lui à tout le système de fichiers (permettant d’exfiltrer un fichier arbitraire).

      Malheureusement, la suite du message de Posteo.de sous-entend que c’est précisément le cas :

      Here, even Enigmail cannot improve the situation. It is even possible for an attacker to use compromised Thunderbird add-ons and gain access to parts of your device and your sensitive data.

      Je note que si c’est réellement le cas, vos clefs OpenPGP privées devraient être le dernier de vos soucis. D’une part, elles sont de toutes façons stockées sous forme chiffrée en permanence (l’agent GnuPG ne les déchiffre qu’en mémoire, juste avant de les utiliser quand il en a besoin, et les efface de sa mémoire aussitôt après) et donc pour peu que vous avec une phrase de passe décente, l’attaquant qui les exfiltrerait ne se retrouverait pas plus avancé.

      D’autre part et surtout, si l’attaquant peut accéder à l’ensemble de votre système de fichiers, pourquoi chercherait-il vos clefs OpenPGP alors qu’il peut déjà récupérer tous les documents qu’il veut, à la source, en clair ?

      • [^] # Re: on pourrait en savoir plus ?

        Posté par  . Évalué à 3.

        Vu que Thunderbird utilise le même système d'extension que Firefox (avant la 57), il est soumis aux mêmes problèmes. C'est-à-dire qu'elles peuvent plus ou moins tout faire. Il ne doit donc pas être difficile de faire une extension qui va chercher la clef sur le disque (pour 99,42% des gens, c'est au même endroit) et lance une popup pour demander le mot de passe (en la faisant ressembler à pinentry). Le seul truc qui me semble bizarre, c'est que ce n'est pas une découverte, et c'est bien pour ça que Firefox a cassé les extensions (en plus des performances).

        D’autre part et surtout, si l’attaquant peut accéder à l’ensemble de votre système de fichiers, pourquoi chercherait-il vos clefs OpenPGP alors qu’il peut déjà récupérer tous les documents qu’il veut, à la source, en clair ?

        Sauf que les mails restent chiffré, là, ils pourraient déchiffrer les mails.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.