Des chercheurs en sécurité ont découvert un certain nombre de vulnérabilités critiques dans les logiciels de cryptage de courrier électronique PGP/GPC et S/MIME. Ces failles pourraient révéler le texte en clair des courriels cryptés, y compris ceux envoyés dans le passé.
L’alerte de sécurité a été publiée dimanche soir par l’expert en sécurité informatique Sebastian Schinzel. Plus de détails techniques sur le type de vulnérabilité seront publiés dans les prochaines heures/jours, mais il n’y a pour l’instant aucune solution fiable.
Le problème est lié à un vecteur d’attaque relative qui affecte la mise en œuvre du cryptage dans le logiciel client pendant le traitement HTML, plutôt que la méthode de cryptage elle-même. Le problème est cependant sérieux et représente un risque immédiat pour ceux qui utilisent ces outils pour une communication cryptée par e-mail.
En attendant un correctif, les utilisateurs qui utilisent PGP/GPG et S/MIME sont invités à désactiver et/ou immédiatement désinstaller ces outils, en suivant les instructions fournies par l’Electronic Frontier Foundation à cette adresse.
