•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Failles de sécurité dans un programme d'envoi de messages cryptés

Dessin d'une main qui tient un téléphone intelligent avec un cadenas sur l'écran.
Le programme informatique PGP, utilisé depuis les années 1990, est considéré comme l’un des plus robustes pour envoyer des courriels et des documents chiffrés. Photo: Freepik.com

Des chercheurs ont trouvé des failles de sécurité majeures dans le logiciel de chiffrement cryptographique Pretty Good Privacy (PGP), réputé pour sa robustesse et populaire chez les lanceurs d'alerte et les journalistes.

L’organisation Electronic Frontier Foundation, qui milite pour la protection des libertés sur Internet, a recommandé dimanche aux internautes de désinstaller ou de désactiver les outils qui décryptent leurs courriels à l’aide de PGP. Les utilisateurs concernés sont encouragés à se tourner vers des outils de rechange – tels que Signal – en attendant que les failles soient mieux comprises et corrigées.

Les détails sur les failles ont été publiés en ligne par des chercheurs de trois universités dans un article d’une vingtaine de pages. Un site Internet a également été mis sur pied (Nouvelle fenêtre) afin d’expliquer les enjeux de ces failles.

Un représentant de l’entreprise GnuPG, qui s’occupe de rendre accessible gratuitement PGP, a relativisé sur Twitter la portée de la faille rapportée par l’Electronic Frontier Foundation. Il estime qu’il ne s’agit pas d’une faille située dans le protocole du logiciel, mais plutôt dans les programmes de courriels utilisés avec PGP.

Un outil de référence pour l’envoi de messages cryptés

Le programme informatique PGP, utilisé depuis les années 1990, est considéré comme l’un des plus robustes pour envoyer des courriels et des documents chiffrés. « Ça existe depuis tellement longtemps! [Le programme a connu] un quart de siècle de fiabilité. C’est certain que, même si les failles sont bouchées, la réputation de PGP va être entachée », estime Jean-Hugues Roy, professeur en journalisme à l’Université du Québec à Montréal (UQAM).

L’expert en sécurité informatique Mikko Hypponen affirme que la faille décelée pourrait en théorie être utilisée pour décrypter des courriels mis en cache ou envoyés dans les dernières années, à condition que l’attaquant ait déjà échangé des courriels cryptés avec la personne concernée. « C’est une mauvaise nouvelle, parce que les personnes qui utilisent PGP le font pour une raison, explique-t-il à la BBC. Elles ne l’utilisent pas pour le plaisir, mais parce qu’elles ont des secrets réels ».

Les journalistes, les lanceurs d’alertes et les militants politiques sont les principaux utilisateurs du logiciel PGP. « Ça reste [un logiciel] compliqué à utiliser pour le commun des mortels, même chez les journalistes », explique Jean-Hugues Roy, qui enseigne le logiciel PGP dans ses cours de journalisme.

Avec les informations de BBC

Cybersécurité

Techno