OpenPGP, S/MIME, vulnérabilité EFAIL : de quoi on parle ?

Publié le : 17 05 2018 | Modifié le : 15 02 2024

Auteur : Karine Monmarché

2 minutes

Début mai 2018, Sebastian Schinzel, professeur de sécurité informatique de l’Université de Münster en Allemagne, publiait un tweet pour prévenir de la découverte d’une nouvelle faille de sécurité concernant les outils de chiffrement d’e-mails OpenPGP et S/MIME.

Suite à cette annonce, les responsables du logiciel GNU Privacy Guard ont précisé que les vulnérabilités se situaient au niveau de l’implémentation dans les clients de messagerie électronique.

Des vulnérabilités pour exfiltrer des données sensibles

Les deux vulnérabilités, Direct Exfiltration et CBC/CFB Gadget Attack, pourraient permettre à un attaquant d'exfiltrer des données sensibles à partir d'emails pourtant chiffrés.

We'll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4

— Sebastian Schinzel (@seecurity) 14 mai 2018

They figured out mail clients which don't properly check for decryption errors and also follow links in HTML mails. So the vulnerability is in the mail clients and not in the protocols. In fact OpenPGP is immune if used correctly while S/MIME has no deployed mitigation.

— GNU Privacy Guard (@gnupg) 14 mai 2018

La protection avec les solutions Stormshield face à la vulnérabilité EFAIL

Nos solutions Stormshield Network Security et Stormshield Endpoint Security n’utilisent pas les outils de chiffrement OpenPGP et S/MIME.

Concernant notre solution Stormshield Data Security, notre implémentation du déchiffrement nous permet de ne pas être impacté par ces vulnérabilités. Au sein de SDS Enterprise, notre addin Mail Stormshield Data Mail for Outlook utilise en effet un mécanisme spécifique pour décrypter les outils de chiffrement S/MIME et OpenPGP, et n'est donc pas vulnérable à l'exfiltration directe ni aux attaques CBC/CFB Gadget Attack.

Bulletin complet de nos équipes à retrouver sur notre site advisories.stormshield.eu. Et pour davantage d’informations sur la vulnérabilité EFAIL, rendez-vous sur le site dédié.

Tags : La cybersécurité - premiers pas

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]

À propos de l'auteur

Karine Monmarché Responsable Marketing Opérationnel, Stormshield

Karine est Responsable Marketing Opérationnel de Stormshield. Son parcours multi-expertise comprend le marketing et la communication sous toutes leurs facettes. Rompue au marketing stratégique & marketing des offres, à la communication aussi bien interne, qu'externe, éditoriale ou Web, sa carrière est une grande exploration des domaines qui la passionnent : l'énergie et les nouvelles technologies au sens le plus large possible.

Derniers articles

Alerte de sécurité D-Link CVE-2024-3272 & CVE-2024-3273 : la réponse des produits Stormshield

10 04 2024

Alerte de sécurité Microsoft Office CVE-2024-21413 : la réponse des produits Stormshield

28 02 2024

Alerte de sécurité Jenkins CVE-2024-23897 : la réponse des produits Stormshield

31 01 2024

Voir tous les articles de Alertes

Paroles d'experts