L'annonce de chercheurs allemands concernant des failles de sécurité dans les deux principaux protocoles de chiffrement d'email a créé une véritable onde de choc après avoir été relayée par l'Electronic Frontier Foundation (EFF). Cette ONG de défense des libertés sur Internet a donné l'alerte sur son site : "Pas de panique ! Mais vous devez cesser immédiatement d'utiliser PGP pour chiffrer les courriers et passer à une méthode de communication sécurisée différente jusqu'à nouvel ordre." Dans le rapport des experts, la faille baptisée EFAIL décrit des vulnérabilitésdans les normes PGP et S/MIME pouvant être exploitées par des attaquants pour décrypter des messages chiffrés sans que la victime ne s'en rende compte.

Deux méthodes d'attaque

À travers une preuve de concept, ils ont exploité une première vulnérabilité pour réaliser une attaque dite par "exfiltration directe". Après avoir intercepté un email chiffré, un attaquant y implémente des balises HTML (images, styles…) avant de le renvoyer au destinataire. Lorsque le client de messagerie déchiffre l'email via l'un des deux protocoles de sécurité, une copie du texte est transférée en clair sur une URL appartenant à l'attaquant par le biais des balises HTML. La seconde méthode d'attaque consiste à exploiter une vulnérabilité des algorithmes de cryptage pour modifier les blocs de texte chiffrés et les déchiffrer. Selon les chercheurs qui ont testé 47 clients de messagerie, pas moins de 17 sont vulnérables à ce type d'attaque. Apple Mail, Thunderbird, ou encore Outlook sont concernés. En attendant les correctifs des éditeurs, les chercheurs ont dressé une liste complète des logiciels affectés.