Situation :
Il y a deux technologies principales pour crypter les emails de bout à bout : PGP et S/MIME. Ces technologies sont utilisées par de nombreuse industrie, journaliste et privé pour garantir la confidentialité et l’authenticité des communications par email.

Hier soir, un chercheur a annoncé que ces deux technologies avaient des vulnérabilités qui permettraient de découvrir le texte derrière un email crypté, enlevant ainsi la sécurité et la confidentialité de ces protocoles.

Analyse :
Les emails ne sont pas un outil de communication sécurisé dans leur essence, mais des surcouches ont été créées et ajoutées afin de pouvoir compenser ce manque et protéger cet outil de communication.

Nous n’avons pas encore les détails sur comment l’attaque peu se faire, mais les quelques organisations qui les ont reçus, ont confirmé que ces vulnérabilités sont un risque réel sur les communications sécurisées.

Demain, les chercheurs communiqueront plus de détail nous permettant de mieux comprendre le contexte de l’attaque et des risques que cela engendrerait. Je pourrais vous les communiquer à ce moment-là.

Avis personnel :
La sécurité des communications par email se fait couches. Il y a plusieurs niveaux de cryptage lors que vous envoyez un email sécurisé afin de bloquer différents types d’attaques. Cette sécurité en couche (dite en profondeur) permet en théorie de continuer à protéger un service même lorsqu’un des éléments de sécurité faillit à son rôle. Mais PGP & S/MIME faisait partie, jusqu’à aujourd’hui, des solutions les plus robustes de la chaine de sécurité pour les emails.

Pour les personnes devant communiquer de façon sûre, je recommande d’utiliser Signal (sur smartphone) en attendant que la confidentialité des emails puisse être à nouveau garanti.

Si vous souhaitez plus d’information et des explications complémentaires sur l’incident, les conséquences, et les leçons à apprendre, n’hésitez pas à me contacter.

Steven Meyer
Partner & CEO
Ing. EPFL, CISSP

ZENData Sarl