Une équipe de chercheurs européens affirme avoir trouvé des vulnérabilités critiques dans PGP / GPG et S / MIME. PGP, qui signifie Pretty Good Privacy, est un code utilisé pour crypter les communications, généralement les e-mails. S / MIME, qui signifie Secure / Multipurpose Internet Mail Extension, est un moyen de signer et de crypter les e-mails modernes et tous les jeux de caractères étendus, les pièces jointes et le contenu qu'il contient. Si vous voulez le même niveau de sécurité dans les e-mails que dans la messagerie chiffrée de bout en bout, il est probable que vous utilisiez PGP / S / MIME. Et, pour le moment, ils peuvent être vulnérables aux hacks.
Nous publierons les vulnérabilités critiques dans le cryptage des e-mails PGP / GPG et S / MIME le 15/05/2018 à 07h00 UTC. Ils peuvent révéler le texte en clair des e-mails cryptés, y compris les e-mails cryptés envoyés dans le passé. #efail 1/4
- Sebastian Schinzel (@seecurity) 14 mai 2018
Danny O'Brien et Gennie Genhart, écrivant pour L'EFF:
Un groupe de chercheurs européens en sécurité a publié un avertissement concernant un ensemble de vulnérabilités affectant les utilisateurs de PGP et S / MIME. L'EFF a été en communication avec l'équipe de recherche et peut confirmer que ces vulnérabilités posent un problème immédiat risque pour ceux qui utilisent ces outils pour la communication par e-mail, y compris l'exposition potentielle du contenu du passé messages.
Et:
Notre conseil, qui reflète celui des chercheurs, est de désactivez et / ou désinstallez immédiatement les outils qui déchiffrent automatiquement les e-mails cryptés par PGP. Jusqu'à ce que les défauts décrits dans le document soient plus largement compris et corrigés, les utilisateurs doivent prendre des dispositions pour l'utilisation de d'autres canaux sécurisés de bout en bout, tels que Signal, et interrompent temporairement l'envoi et en particulier la lecture cryptée PGP email.
Dan Goodin à Ars Technica Remarques:
Schinzel et le billet de blog EFF ont renvoyé les personnes concernées aux instructions EFF pour la désactivation des plug-ins dans Thunderbird, macOS Mail et Outlook. Les instructions indiquent uniquement "désactiver l'intégration PGP dans les clients de messagerie". Fait intéressant, il n'y a aucun conseil pour supprimer les applications PGP telles que Gpg4win, GNU Privacy Guard. Une fois que les outils du plugin sont supprimés de Thunderbird, Mail ou Outlook, les messages de l'EFF indiquent que "vos e-mails ne seront pas automatiquement décrypté. "Sur Twitter, les responsables de l'EFF ont poursuivi en disant:" ne décryptez pas les messages PGP cryptés que vous recevez en utilisant votre messagerie client."
Werner Koch, sur le GNU Privacy Guard Twitter compte et le liste de diffusion gnupg a pris connaissance du rapport et rétorque:
Le sujet de cet article est que le HTML est utilisé comme canal arrière pour créer un oracle pour les courriers cryptés modifiés. On sait depuis longtemps que les mails HTML et en particulier les liens externes comme le sont mauvais si le MUA les honore réellement (ce que beaucoup semblent refaire entre-temps; voir toutes ces newsletters). En raison des parseurs MIME cassés, un tas de MUA semblent concaténer des parties mime HTML déchiffrées, ce qui facilite l'implantation de tels extraits HTML.
Il existe deux façons d'atténuer cette attaque
N'utilisez pas de courrier HTML. Ou si vous avez vraiment besoin de les lire, utilisez un analyseur MIME approprié et interdisez tout accès aux liens externes.
Utilisez un cryptage authentifié.
Il y a beaucoup à parcourir ici et les chercheurs ne divulguent pas leurs résultats au public avant demain. Donc, en attendant, si vous utilisez PGP et S / MIME pour le courrier électronique chiffré, lisez l'article EFF, lisez le courrier électronique gnupg, puis:
- Si vous vous sentez le moins inquiet, désactivez temporairement le cryptage des e-mails dans Perspective, Messagerie macOS, Thunderbird, etc. et passez à quelque chose comme Signal, WhatsApp ou iMessage pour une communication sécurisée jusqu'à ce que la poussière retombe.
- Si vous n'êtes pas inquiet, gardez toujours un œil sur l'histoire et voyez si quelque chose change au cours des prochains jours.
Il y aura toujours des exploits et des vulnérabilités, potentiels et avérés. Ce qui est important, c'est qu'ils soient divulgués de manière éthique, signalés de manière responsable et traités rapidement.
Nous mettrons à jour cette histoire au fur et à mesure que de nouvelles informations seront connues. En attendant, laissez-moi si vous utilisez PGP / S / MIME pour les e-mails chiffrés et, si oui, qu'en pensez-vous?
Ce sont les meilleurs écouteurs sans fil que vous pouvez acheter à tous les prix!
Les meilleurs écouteurs sans fil sont confortables, sonnent bien, ne coûtent pas trop cher et tiennent facilement dans une poche.
Tout ce que vous devez savoir sur la PS5: date de sortie, prix, etc.
Sony a officiellement confirmé qu'il fonctionnait sur la PlayStation 5. Voici tout ce que nous savons à ce sujet jusqu'à présent.
Nokia lance deux nouveaux téléphones Android One économiques de moins de 200 $.
Nokia 2.4 et Nokia 3.4 sont les derniers ajouts à la gamme de smartphones économiques de HMD Global. Comme ce sont tous les deux des appareils Android One, ils sont garantis de recevoir deux mises à jour majeures du système d'exploitation et des mises à jour de sécurité régulières pendant trois ans maximum.
Ce sont les meilleurs groupes pour Fitbit Sense et Versa 3.
Parallèlement à la sortie du Fitbit Sense et de la Versa 3, la société a également introduit de nouvelles bandes infinies. Nous avons sélectionné les meilleurs pour vous faciliter la tâche.