Des chercheurs européens en sécurité ont découvert de nouvelles vulnérabilités dans les protocoles de chiffrement des e-mails. L'attaque de piratage menée par les chercheurs permet d'intégrer un code malveillant dans les e-mails interceptés et de contourner le protocole de cryptage. Le code malveillant permet aux pirates de voler toutes les informations des messages qui se trouvent dans le dossier "Boîte de réception".
La vulnérabilité affecte deux des protocoles de chiffrement de messagerie les plus courants, PGP et S/MIME. La tendance de la vulnérabilité à aller droit dépend du degré de mise en œuvre de la protection à l'aide de protocoles. De nombreuses boîtes aux lettres sont désormais vulnérables, notamment Apple Mail, l'application Mail pour iOS et Mozilla Thunderbird. Notamment, de nombreux systèmes d'authentification de messages peuvent bloquer efficacement l'attaque.
Lisez aussi: L'émulateur Chrome OS est désormais disponible dans Android Studio
Si un e-mail chiffré est intercepté en transit, un attaquant pourrait exploiter une vulnérabilité de messagerie et ajouter du code HTML malveillant à l'e-mail. Lorsque la victime ouvre l'e-mail, le code malveillant peut être utilisé pour renvoyer le texte.
Lisez aussi: Des rumeurs sur un nouveau Huawei Regarder 2 (2018)
De nombreux serveurs d'entreprise utilisent désormais le cryptage S/MIME, de sorte que la vulnérabilité présente un risque majeur pour les fournisseurs de services @mail.
Concrètement, cependant, la leçon est la suivante : il n'existe pas de « vulnérabilité théorique ». Il existe des vulnérabilités exploitables et des vulnérabilités qui n'ont pas encore été exploitées. Nous devons construire des systèmes comme nous le reconnaissons. 16/16
- Matthew Green (@matthew_d_green) 14 mai 2018
Sebastian Schinzel, professeur à l'Université des sciences appliquées de Münster, a décrit le problème sur Twitter et a averti qu'"il n'y a actuellement aucun moyen de corriger cette vulnérabilité". Le professeur recommande aux fournisseurs de services de désactiver le cryptage des données à l'aide de PGP, S/MIME et d'en utiliser d'autres. L'Electronic Frontier Foundation appelle la méthode du professeur une "mesure temporaire et conservatrice" jusqu'à ce que les chercheurs trouvent un moyen de corriger la vulnérabilité.
Source: theverge.com