Depuis plusieurs décennies, un bug de PGP qui remonte à GnuPG 0.2.2 aurait permis aux hackers de déchiffrer les courriels cryptés via PGP ou S/MIME.

Les signatures électroniques sont utilisées pour prouver la source d'un message chiffré, d'une sauvegarde de données, d'une mise à jour logicielle dans les distributions, ou le code source dans les systèmes de contrôle de version comme Git. Généralement, la source doit utiliser une clé de chiffrement privée pour qu'une application montre qu'un message ou un fichier est signé.

Faille dans des outils de cryptage de courrier électronique

Une série de vulnérabilités baptisée SigSpoof permet dans certains cas à des attaquants de truquer des signatures avec seulement la clé publique ou l'identifiant de clé d’une personne, qui sont souvent publiés en ligne. L'e-mail ainsi falsifié ne peut pas être détecté comme malveillant sans effectuer une analyse légale qui dépasse les capacités de la plupart des utilisateurs.

C’est ainsi que depuis qu’ils existent, voici plusieurs décennies (!), certains des outils de cryptage de courrier électronique les plus utilisés au monde – dont GnuPG, Enigmail, GPGTools et python-gnupg - ont été vulnérables. Ils auraient permis aux attaquants d'usurper la signature numérique de presque n'importe quelle personne avec une clé publique.

Des attaques relativement faciles à réaliser

L'usurpation d'identité fonctionne en cachant les métadonnées dans un courrier électronique crypté ou un autre message de manière à ce que les applications les traitent comme si elles résultaient d'une opération de vérification de signature.

Des applications telles qu'Enigmail et GPGTools font alors apparaître à tort aux clients de messagerie telles que Thunderbird, Outlook ou Apple Mail qu'un e-mail a été cryptographiquement signé par une personne choisie par l'attaquant. Tout ce qui est nécessaire pour usurper une signature est d'avoir une clé publique ou un ID de clé…

L’usurpation des signatures de fichiers sur des fichiers de configuration et des scripts d'extensions permet potentiellement l'accès à des mots de passe ou l'exécution de code malveillant.

Décidément, aucune technologie n’est à l’abri...

L’expert qui a découvert les failles n’a révélé publiquement la vulnérabilité qu’après que les développeurs des outils connus pour être vulnérables ont corrigé leur code. C’est ainsi que GnuPG, Enigmail, GPGTools et python-gnupg, ainsi que Enigmail et Simple Password Store, ont reçu des correctifs pour deux bogues d'usurpation liés.

Cette nouvelle révélation vient rappeler qu’aucune sécurité n’est inviolable, même si l’usage de certaines technologies pourrait le laisser croire. Pire, ces mêmes technologies laissent planer un faux sentiment de sécurité, alors que les solutions qu’elles ‘protègent’ sont vulnérables aux attaques par usurpation d’identité.

Image d’entête 665146622 @ iStock Sergey Balakhnichev