Denis Szalkowski Formateur Consultant

Formateur et formations Linux Red Hat, CentOS, Fedora, Ubuntu Server, Debian, SUSE, openSUSE, Bash, PowerShell, IPv6, Sécurité informatique, GLPI, FusionInventory, Squid, LAMP, Apache, MySQL, PostgreSQL, SQL Server, Oracle Database, SQL, PHP, WordPress, SEO, Référencement naturel, Veille stratégique et concurrentielle

PGP/GPG : retour sur la faille EFAIL

Je vais être honnête avec vous : je n’ai pas tout compris de la faille EFAIL (CVE-2017-17688 / CVE-2017-17689) qui touche le chiffrement des messages envoyés notamment à partir des clients de messagerie Outlook utilisant l’extension fournie par GPG4Win et Thunderbird / Enigmail.

J’ai tout de même vaguement compris que cela concernait des contenus HTML intégrant des liens vers des images externes. Bref, comme d’habitude, les conditions de la faille ne correspondent à aucune pratique d’utilisateurs chiffrant leurs messages pour deux raisons.

La 1ère est que nous ne lisons ni n’envoyons de mails au format HTML, afin d’éviter d’être la victime de la technique dite du pixel transparent. Lorsque vous ouvrez votre mail, le client, du fait de la présence d’un lien vers un serveur Http/Https indique à l’émetteur que son mail a été lu.

La 2e raison est que nous n’autorisons que les applications de messagerie pour les clients de messagerie dans le sortant : le TCP/465, TCP/587, TCP/995, TCP/993. Comment voulez-vous dans ces conditions que le client de messagerie puisse faire des requêtes Http/Https ? A l’aide d’une règle de pare-feu associant process et application Tcp/Ip, il ne peut pas y avoir, non plus, d’interrogation de la validité des certificats à l’aide du protocole OCSP. Je vous incite d’ailleurs à bloquer ce protocole, dont l’objet est devenu clairement la collecte de vos données personnelles de navigation.

Comme à chaque fois, c’est votre hygiène numérique – à savoir à ne pas accepter la facilité – qui vous permettra de vous prémunir de ce type d’expositions. Je rappelle qu’il est très, très compliqué de bloquer l’activité d’un processus en l’association aux applications Tcp/Ip utilisées sous Linux. La seule possibilité est de configurer le lancement de vos process en mode Common Groups. Or, je n’ai jamais vu le moindre gugusse s’essayer à ce genre de configuration. Le Linuxien, sûr de son système, peut à l’occasion s’abandonner à une fainéantise assez commune, incompatible avec l’exigence de la sécurité.

Sources

• Multiples vulnérabilités dans S/MIME et OpenPGP
• Bulletin d’actualité CERTFR-2018-ACT-009

• Accueil
• Présentation
• Parcours
• Compétences
• Formations
• Supports
• Actualités
• Contact
• Newsletter
• Mentions légales