@kvuilleumier woa, le dechiffrement automatique et l'interpretation de l'html sont dangereux si les clients ignorent les messages d'erreurs ... no. shit.

Enigmail 2.x (> 1.9.9 afaik) et GnuPG ont déjà fixé ça ... Merci de ne pas participer a la "gloire" de ce genre de chercheur ...

Ne pas mettre a jour ses outils est dangereux, ne pas changer de clefs frequemment aussi, mais on le savait déjà u.u

@kvuilleumier Utiliser des outils qui ignorent les messages d'erreur des technologies sous-jacentes aussi

@phantomas0 En même temps, c'est l'EFF qui fait relais de cet avertissement 😅

@phantomas0 *qui relaie cet avertissement

@kvuilleumier Certes u.u

En même temps c'est pour ca que le peer review c'est important, et que les embargos qui sont a moitié levés, et font des conseils sans en dire la raison ne sont pas a relayer de suite x)

Esperons que ça serve de leçon a l'eff et aux média qui se sont empressé de sauter sur la nouvelle :/

@phantomas0 Et voilà, comme tu l'avais dit : https://www.developpez.com/actu/203949/Faille-dans-les-protocoles-de-chiffrement-PGP-et-S-Mime-Non-selon-l-equipe-GnuPG-qui-evoque-plutot-des-clients-de-messagerie-bogues/

@phantomas0 Merci pour la précision. Je vais vérifier si Enigmail est à jour...

@kvuilleumier Pas de quoi !

@phantomas0 En fait, d'après le changelog d'Enigmail que je viens de consulter, le correctif n'a été apporté que fin mai (version 2.0.5) : https://www.enigmail.net/index.php/en/download/changelog

Du coup, l'alerte n'était peut-être pas si injustifiée ?

@kvuilleumier Oui et non, maintenant ça ne decrypt plus les parties encryptees qui se trouve dans un message plaintext, mais sans interaction utilisateurs (cliquer sur un lien) et si l'HTML extern n'était pas chargé automatiquement (defaut sur Thunderbird), l'attaque ne pouvait être menée.

Ce fix evite juste les erreurs utilisateurs