De multiples clients de messagerie ont \u00e9t\u00e9 identifi\u00e9s comme \u00e9tant vuln\u00e9rables.
Une liste \u00e9tablie par les chercheurs \u00e0 l'origine de la d\u00e9couverte de cette vuln\u00e9rabilit\u00e9 est disponibles dans l'article tel que r\u00e9f\u00e9renc\u00e9 dans la section documentation.
","closed_at":"2018-10-10","content":"## Contournement provisoire\n\nLe CERT-FR recommande d'appliquer les correctifs fournis par les\n\u00e9diteurs de client de messagerie.\n\nSuivant le d\u00e9lai de mise \u00e0 disposition de correctifs par les \u00e9diteurs,\nle CERT-FR recommande \u00e9galement l'application des mesures temporaires\nsuivantes.\n\n- D\u00e9sactiver l'utilisation du contenu actif dans le client de\n messagerie (HTML, CSS).\n- Utiliser une application ind\u00e9pendante du client de messagerie pour\n pratiquer les op\u00e9rations de chiffrement et de d\u00e9chiffrement des\n courriels. Ces actions peuvent par ailleurs \u00eatre r\u00e9alis\u00e9es dans un\n environnement distinct et d\u00e9connect\u00e9 du r\u00e9seau.\n","cves":[{"name":"CVE-2017-17688","url":"https://www.cve.org/CVERecord?id=CVE-2017-17688"},{"name":"CVE-2017-17689","url":"https://www.cve.org/CVERecord?id=CVE-2017-17689"}],"links":[{"title":"D\u00e9sactivation du contenu actif dans Outlook","url":"https://support.microsoft.com/en-us/help/831607/how-to-view-all-e-mail-messages-in-plain-text-format"},{"title":"Article de recherche pr\u00e9sentant les travaux sur la vuln\u00e9rabilit\u00e9 EFAIL","url":"https://efail.de/efail-attack-paper.pdf"},{"title":"Site d\u00e9taillant le principe de la vuln\u00e9rabilit\u00e9 du 14 mai 2018","url":"https://efail.de/"},{"title":"D\u00e9sactivation du contenu actif dans Thunderbird","url":"http://kb.mozillazine.org/Plain_text_e-mail_(Thunderbird)#Displaying_messages"}],"reference":"CERTFR-2018-ALE-007","revisions":[{"description":"Version initiale","revision_date":"2018-05-14T00:00:00.000000"},{"description":"Version initiale","revision_date":"2018-05-14T00:00:00.000000"},{"description":"Version initiale","revision_date":"2018-05-14T00:00:00.000000"},{"description":"Version initiale","revision_date":"2018-05-14T00:00:00.000000"},{"description":"Ajout de d\u00e9tails sur la vuln\u00e9rabilit\u00e9","revision_date":"2018-05-15T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte.","revision_date":"2018-10-10T00:00:00.000000"}],"risks":[{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"Le 14 mai 2018, un site internet rendait disponible les d\u00e9tails d'une\nattaque baptis\u00e9e EFAIL permettant de compromettre les \u00e9changes de\ncourriels s\u00e9curis\u00e9s par les m\u00e9canismes S/MIME et OpenPGP.\n\nL'attaque permet \u00e0 un acteur malveillant d'obtenir la version d\u00e9chiffr\u00e9e\nd'un message prot\u00e9g\u00e9 par l'un des syst\u00e8mes de chiffrement S/MIME ou\nOpenPGP. Pour cela l'attaquant doit \u00eatre en position *d'homme du milieu*\nc'est \u00e0 dire \u00eatre capable de lire les \u00e9changes courriels entre un\nexp\u00e9diteur et un destinataire.\n\n#### Fuite de donn\u00e9es et contenu actif\n\nUne variante de l'attaque EFAIL tire parti des fonctionnalit\u00e9s des\nclients de messageries qui permettent d'enrichir le contenu textuel d'un\ncourriel en int\u00e9grant du HTML ou encore du CSS. Ces \u00e9l\u00e9ments\nadditionnels sont d\u00e9sign\u00e9s comme contenu actif. \nUn attaquant en mesure d'intercepter un courriel chiffr\u00e9 pourra ainsi y\nconcat\u00e9ner certains \u00e9l\u00e9ments de ces langages, sans modifier la partie\nchiffr\u00e9e. Lors du d\u00e9chiffrement du message par le client de messagerie\nle contenu actif sera ex\u00e9cut\u00e9 et le message clair exfiltr\u00e9. Cette\nvariante fonctionne sur une minorit\u00e9 des clients de messagerie\nvuln\u00e9rables \u00e0 EFAIL.\n\n#### Attaque cryptographique\n\nL'autre variante de l'attaque EFAIL exploite les propri\u00e9t\u00e9s de\nmall\u00e9abilit\u00e9 des chiffrements utilis\u00e9s par S/MIME et OpenPGP afin de\ndirectement modifier le chiffr\u00e9 d'un message sans avoir besoin de\ndisposer des cl\u00e9s cryptographiques. Ces manipulations auront pour\nobjectif d'y ajouter directement le contenu actif malveillant qui, une\nfois d\u00e9chiffr\u00e9, permettra de transmettre les donn\u00e9es vers l'ext\u00e9rieur.\nCette variante est plus complexe \u00e0 exploiter mais concerne la majorit\u00e9\ndes clients de messagerie vuln\u00e9rables \u00e0 EFAIL.\n\n#### Limitations\n\nBien que l'attaque EFAIL mette \u00e0 mal le paradigme d'une communication\ns\u00e9curis\u00e9e de bout-en-bout, les cas d'exploitation ne sont pas triviaux.\n\nL'attaquant doit acc\u00e9der aux mails chiffr\u00e9s soit lors d'une interception\nd'un trafic r\u00e9seau local, soit via Internet en disposant d'acc\u00e8s \u00e0 un\nserveur de relais de messagerie. En fonction du sc\u00e9nario l'attaquant\npourra dans certains cas bloquer temporairement le mail et le modifier,\nou le copier lors de son transit et rejouer la copie vers la victime une\nfois alt\u00e9r\u00e9.\n\nIl est \u00e0 noter que la surface d'attaque est corr\u00e9l\u00e9e avec le nombre de\ndestinataires d'une communication chiffr\u00e9e. En effet, chaque\ndestinataire d'un m\u00eame courriel peut \u00eatre la cible d'une attaque suivant\nle principe d'EFAIL.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans S/MIME et OpenPGP","vendor_advisories":[{"published_at":null,"title":"Site d\u00e9taillant le principe de la vuln\u00e9rabilit\u00e9 EFAIL","url":null}]}