Journal Vulnérabilité dans PGP et S/MIME, veuillez patienter, plus d'informations suivront

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes : aucune
10
14
mai
2018

L'EFF communique depuis ce matin pour mettre en garde les utilisateurs de PGP d'une vulnérabilité dont les détails ne sont pas encore connus [1]. Les détails seraient publiés demain mardi 15 mai, à 7h UTC.

Tout ce que l'on sait [2], c'est que la vulnérabilité serait présente dans les modules de sécurité des e-mails, type Enigmail, GPGTools ou Gpg4win, et permettrait également d'accéder aux anciens e-mails chiffrés.

Mais à l'heure actuelle, on ne connait ni la faille, ni ses effets, pas grand-chose en fait…
En attendant plus de détails, la EFF et le chercheur à l'origine du tweet conseillent de déactiver les modules d'encodage/décodage dans les clients e-mails.

[1] - https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now
[2] - https://twitter.com/seecurity/status/995906576170053633

  • # Pas de panique

    Posté par  . Évalué à 10.

  • # FUD

    Posté par  (site web personnel) . Évalué à 10. Dernière modification le 14 mai 2018 à 17:28.

    Arrêtez de relayer ce FUD, bon sang…

    on ne connait ni la faille, ni ses effets, pas grand-chose en fait

    Si. On connaît tout, le papier est publié. Et il n’y a rien. Si la vulnérabilité de S/MIME semble avérée, celle d’OpenPGP est du pur FUD.

    Plus précisément, l’attaque est réelle, mais elle est déjà complètement mitigée par le système MDC et par le fait que GnuPG renvoie délibérément une erreur lorsqu’on lui demande de déchiffrer un message non-protégé par un MDC.

    Donc, si vous n’utilisez pas des versions complètement obsolètes et plus supportées des plugins OpenPGP (genre la version 2007 de GpgOL, le plugin pour Outlook), et si dans le cas spécifique de Thunderbird/Enigmail vos correspondants n’utilisent pas d’algorithmes de chiffrement pré-RFC 4880, vous êtes tranquilles. (Et si vous voulez être encore plus rassurés, désactivez simplement l’affichage automatiquement des mails au format HTML, nul besoin de désactivez complètement OpenPGP comme l’EFF le recommande complètement stupidement…)

    Ah, et en aucun cas la « faille » ne permet « d’accéder aux anciens e-mails chiffrés ».

    la EFF et le chercheur à l'origine du tweet conseillent de déactiver les modules d'encodage/décodage dans les clients e-mails.

    Ils recommandent spécifiquement de « désactiver ou désinstaller » PGP, alors même que c’est S/MIME et non OpenPGP qui est réellement affecté par cette attaque. Tirez-en les conclusions que vous voulez. Moi je commence sérieusement à penser que quelqu’un a un agenda caché derrière cette annonce sensationnaliste.

    • [^] # Re: FUD

      Posté par  . Évalué à 9.

      la EFF et le chercheur à l'origine du tweet conseillent de déactiver les modules d'encodage/décodage dans les clients e-mails.

      Ils recommandent spécifiquement de « désactiver ou désinstaller » PGP, alors même que c’est S/MIME et non OpenPGP qui est réellement affecté par cette attaque. Tirez-en les conclusions que vous voulez. Moi je commence sérieusement à penser que quelqu’un a un agenda caché derrière cette annonce sensationnaliste.

      Sans rien connaitre/comprendre de problème, je ne peux que m'étonner qu'il soit possible de conseiller/recommander de désactiver/désinstaller un système de protection avec, certes, une faille. Comme si ne rien avoir était plus protecteur qu'un système avec une faille. Cette constatation m'incite à la méfiance et je suis preneur d'explications qui pourraient expliquer une telle recommandation.

      En écrivant cela, je pense à un cas où un attaquant pourrait empêcher le propriétaire d'accéder à ses propres e-mails mais à part ça…

      • [^] # Re: FUD

        Posté par  (site web personnel) . Évalué à 10.

        je suis preneur d'explications qui pourraient expliquer une telle recommandation.

        Moi aussi. Cette recommandation est totalement injustifiée par l’attaque rapportée.

        D’où mon hypothèse personnelle, qui est que OpenPGP fonctionne trop bien aux goûts de certains et qu’il faut dissuader les gens de l’utiliser. Ce n’est pas nouveau : ça fait des années qu’on entend régulièrement des grands noms de la cryptographie critiquer vertement PGP sur des bases particulièrement fragiles, à grand coup de mauvaise foi (Matthew Green, cryptographe à l’université John Hopkins, en avait fourni un bel exemple il y a deux ou trois ans ; de même que Moxie Marlinspike, ce qui n’a sûrement rien à voir avec le fait qu’il promeut son propre système — complètement centralisé — qu’il érige en grand remplaçant de OpenPGP…). « Il est temps d’abandonner PGP » est devenu une rengaine. Qui a un intérêt à ça ?

        je pense à un cas où un attaquant pourrait empêcher le propriétaire d'accéder à ses propres e-mails mais à part ça

        Il n’y a rien dans le papier publié qui suggère une telle attaque.

        L’attaque rapportée permet uniquement à un attaquant qui intercepte un mail en transit de modifier le mail de telle sorte que, une fois le message (modifié) reçu par son destinaire, déchiffré par son implémentation d’OpenPGP ou S/MIME (en supposant l’absence totale de contre-mesure permettant de détecter la modification, ce qui n’est pas le cas pour OpenPGP — mais apparemment c’est hélas le cas pour S/MIME), et son contenu analysé par son client de messagerie, ledit client de messagerie fasse fuiter le contenu du message à une adresse contrôlée par l’attaquant.

        L’attaque est sérieuse dans le cas de S/MIME, oui, mais dans le cas d’OpenPGP ne justifie absolument pas la réaction démesurée et alarmiste de l’EFF (« désactivez OpenPGP ou vous allez tous mourir »).

        • [^] # Re: FUD

          Posté par  (site web personnel) . Évalué à 10.

          ça fait des années qu’on entend régulièrement des grands noms de la cryptographie critiquer vertement PGP sur des bases particulièrement fragiles, à grand coup de mauvaise foi

          Et hop, dernier exemple, Bruce Schneier en remet une couche sur l’attaque d’aujourd’hui. Notez comme il parle d’emblée d’une « vulnérabilité PGP » et ne dit pas un mot sur S/MIME, alors qu’il est très clair à la lecture du papier que S/MIME est beaucoup plus vulnérable qu’OpenPGP.

          Et on n’oublie pas de terminer par le classique « laissez tomber PGP, utilisez Signal » :

          Why is anyone using encrypted e-mail anymore, anyway? […] If you need to communicate securely, use Signal.

          • [^] # Re: FUD

            Posté par  . Évalué à 4.

            Je suis d’accord les attaques sur PGP sont assez virulentes (surtout que ce n’est pas comme si c’était très répandu non plus). On dirait que certains ont été mordus par une clef PGP. Mais il y a cependant une critique qui me semble valable. Pourquoi, une protection qui est là depuis 2001 ne laisse qu’un warning et donne le message en cleartext sans option particulière. 17 ans après, on pourrait imaginer que l’outil ne retourne pas le text dans une option contourner explicitement cette protection.

            Après, c’est une vraie attaque, elle a été corrigée mais plusieurs clients étaient vulnérables. Dire que c’est un non-événement parce qu’on a prévenu les gens à l’avance me semble un peu présomptueux.

            Un autre point, c’est Werner Koch qui dit qu’il n’a pas été prévenu mais a eu les infos par les dev de Kmail1. Alors que les chercheurs annoncent avoir contacté les développeurs de GPG en novembre.


            1. d’ailleurs, sympa de foutre les dev de kmail dans la merde, qui ne seront sans doute plus prévenus la prochaine fois. 

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: FUD

              Posté par  (site web personnel) . Évalué à 4.

              Pourquoi, une protection qui est là depuis 2001 ne laisse qu’un warning et donne le message en cleartext sans option particulière.

              Lorsqu’un message n’est pas protégé par un MDC, GnuPG renvoie déjà une erreur (et non un warning), lorsqu’il peut être sûr que l’absence de MDC n’est pas normale. Concrètement, si le message est chiffré avec un algorithme moderne (introduit avec le RFC4880, qui a également normalisé le MDC), alors il devrait être protégé par un MDC et on peut le rejeter s’il ne l’est pas.

              Mais si le message est chiffré avec un algorithme plus ancien (typiquement 3DES), il a probablement été générée par une ancienne implémentation. Comment GnuPG pourrait-il alors savoir si l’absence de MDC est légitime (parce que l’implémentation émettrice ne connaît pas le système MDC) ou si c’est parce qu’un attaquant a fait sauter le MDC en cours de route ? Dans ce cas, GnuPG émet un warning, à charge au client mail ou à l’utilisateur d’agir.

              Alors certes, quand on est un yakafocon comme Matthew Green, on peut gueuler en all caps que la solution est évidente, IL FAUT CONSIDÉRER LE MDC OBLIGATOIRE EPICÉTOU.

              Mais quand on est développeur de GnuPG, on est un peu plus circonspect. Pour info, traiter l’absence de MDC comme erreur fatale dans tous les cas (pas seulement lorsqu’un algorithme moderne est utilisé) avait été considéré il y a bien longtemps par les développeurs, qui avaient finalement décidé de n’en rien faire suite aux plaintes des utilisateurs (il semblerait qu’il y ait beaucoup de monde qui déchiffrent régulièrement des vieux messages, et qui seraient incommodés par une telle mesure).

              Pour ce que ça vaut, la discussion en cours actuellement chez les développeurs est de finalement mettre en œuvre cette mesure, en utilisant précisément le papier Efail pour convaincre les utilisateurs récalcitrants que c’est justifié.

              Un autre point, c’est Werner Koch qui dit qu’il n’a pas été prévenu mais a eu les infos par les dev de Kmail. Alors que les chercheurs annoncent avoir contacté les développeurs de GPG en novembre.

              D’après Werner (qui a posté un historique sur gnupg-users), il y a eu des échanges en novembre effectivement, qui se sont interrompus abruptement.

              d’ailleurs, sympa de foutre les dev de kmail dans la merde, qui ne seront sans doute plus prévenus la prochaine fois.

              Je ne vois pas ce que tu veux dire. Ce n’est pas Werner qui a mis fin à l’embargo. Le site Efail (avec le papier) était en ligne hier matin, 24h avant la fin de l’embargo annoncé par l’EFF. Ni Werner ni les autres développeurs de GnuPG nBont divulgué quoi que ce soit.

          • [^] # Re: FUD

            Posté par  . Évalué à 2.

            Et hop, dernier exemple, Bruce Schneier en remet une couche sur l’attaque d’aujourd’hui. Notez comme il parle d’emblée d’une « vulnérabilité PGP » et ne dit pas un mot sur S/MIME […]

            On a pas dû lire la même chose :

            Je cite :

            1. The vulnerability isn't with PGP or S/MIME itself, but in the way they interact with modern e-mail programs. You can see this in the two suggested short-term mitigations: "No decryption in the e-mail client," and "disable HTML rendering."

            0. Assume good faith 1. Be kind to other people 2. Express yourself 4. Apply rule 0

        • [^] # Re: FUD

          Posté par  . Évalué à 0.

          On peut aussi considérer que l'EFF n'est pas composée de spécialistes en crypto et qu'ils se fient au papier (ou le communiqué qu'ils ont reçus), dont l'abstract dit explicitement :

          The attack works for emails even if they were collected long ago, and is triggered as soon as the recipient decrypts a single maliciously crafted email from the attacker.

          Ce qui contredit ton affirmation que

          Ah, et en aucun cas la « faille » ne permet « d’accéder aux anciens e-mails chiffrés ».

          (Note que je n'ai pas fini de lire le papier, je ne connais pas la véracité de ces deux affirmations)

          Après, je trouve aussi la réaction de l'EFF largement exagérée et j'ai du mal avec le "utilisez Signal". Après, ils disent, si tu lis bien le warning, plutôt qu'ils ne connaissent pas les détails de l'attaque et qu'en attendant ils conseillent de désactiver les plugins GPG des clients mails en attendant que l'attaque soit révélée (c.a.d le lendemain).

          Bref, à mon avis, toi aussi tu FUD un peu (mais dans l'autre sens)…

          • [^] # Re: FUD

            Posté par  . Évalué à 2.

            Ce qui contredit ton affirmation que

            Ah, et en aucun cas la « faille » ne permet « d’accéder aux anciens e-mails chiffrés ».

            Pas tout à fait, car il est écrit "even if they were collected long ago", ce qui implique qu'il y a eu une "attaque" préalable pour pouvoir accéder aux anciens mails.
            L'attaque "as-is" ne permet effectivement pas d'accéder aux anciens emails sans cette collecte préalable.

            • [^] # Re: FUD

              Posté par  . Évalué à 1.

              C'est un peu la base du modèle de sécurité qu'ils attaquent :

              In our model, the attacker is able to collect end-to-end encrypted emails, either through a man-in-the-middle attack on the network, by accessing a SMTP server, by accessing the IMAP account on the server, or by some other means. He may store these emails for some time before he starts his attack.

              Pour mener à bien l'attaque il faut d'ailleurs capable de renvoyer un mail intercepté et modifié.

          • [^] # Re: FUD

            Posté par  (site web personnel) . Évalué à 10.

            Ce qui contredit ton affirmation que

            Ah, et en aucun cas la « faille » ne permet « d’accéder aux anciens e-mails chiffrés ».

            Je maintiens : l’attaque ne permet pas d’accéder aux anciens e-mails chiffrés. Elle permet à un attaquant, ayant déjà mis la main sur des anciens messages (par enregistrement du traffic à l’époque, ou par pénétration du serveur IMAP où ces messages sont stockés par exemple), de réaliser une attaque active en fabriquant un nouveau message contenant l’ancien message dont il souhaite obtenir le texte clair.

            Autrement dit, c’est une attaque active qui permet (ou permettrait en l’absence des contre-mesures propres à OpenPGP) à chaque coup le texte clair d’un message. Le fait que le message en question soit un nouveau message intercepté extemporanément ou un ancien message capturé et rejoué par l’attaquant ne change concrètement pas grand’chose.

            Dire que la faille « permet d’accéder aux anciens e-mails » est une exagération très imprudente, et lourde de conséquences. Dans l’esprit de quiconque connaît un peu de crypto, c’est compris comme « la faille permet de déchiffrer a posteriori du traffic passé », ce qui ne serait possible que si la clef privée était d’une manière ou d’une autre divulguée. Cette formulation conduit ainsi les utilisateurs a craindre pour leur clef privée, de manière complètement non-justifiée.

            Après, ils disent, si tu lis bien le warning, plutôt qu'ils ne connaissent pas les détails de l'attaque et qu'en attendant ils conseillent de désactiver les plugins GPG des clients mails en attendant que l'attaque soit révélée (c.a.d le lendemain).

            On est le lendemain, tous les détails sont connus (au moins depuis hier puisque l’embargo n’a pas été respecté), et ils conseillent toujours d’arrêter d’utiliser PGP. Et pas « temporairement » :

            PGP in its current form has served us well, but “pretty good privacy” is no longer enough. We all need to work on really good privacy, right now.

            EFF’s recommendations: Disable or uninstall PGP email plugins for now. Do not decrypt encrypted PGP messages that you receive. Instead, use non-email based messaging platforms, like Signal, for your encrypted messaging needs.

             

            Bref, à mon avis, toi aussi tu FUD un peu

            J’aimerais bien. Mais je maintiens que de mon point de vue, la seule attaque notable est une attaque de plein fouet contre la crédibilité d’OpenPGP, visant entre autres à jeter les utilisateurs dans les bras des messageries centralisées e non-interopérables à-la-Signal. Et c’est une attaque qui fonctionne impeccablement.

    • [^] # Re: FUD

      Posté par  . Évalué à 7.

      "Arrêtez de relayer ce FUD, bon sang…"

      Oui enfin bon faut pas tirer sur le messager non plus…
      Ce journal m'a permis de découvrir le soucis (vu que je vais rarement dans la rubrique Liens) et dès la première ligne il donne la source "L'EFF communique depuis ce matin pour mettre en garde". + "à l'heure actuelle, on ne connait ni la faille, ni ses effets, pas grand-chose en fait…"

      Il est carrément mesuré et factuel ce journal. Amélioré par le 1er commentaire qui pointe vers tes explications on comprend effectivement qu'il n'y a pas le feu. Mais c'est dommage de le moinsser…

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.