Les logiciels libres, toujours plus sécurisés ? KMail de KDE comportait pourtant une faille critique de sécurité depuis quatre années et envoyait des mails prétendument chiffrés en texte clair. Coup dur pour un logiciel reconnu dans la communauté du libre.

KDE, une interface de bureau pour distribution GNU/Linux, a été épinglée par Daniel Aleksandersen, blogueur passionné en sécurité informatique. En effet, le client mail officiel du projet libre, KMail, comportait depuis quatre années déjà un bug très embarrassant pour la sécurité des utilisateurs.

Le chiffrement… remis à plus tard

Le blogueur a ainsi découvert que l’utilisation de la norme OpenPGP (Pretty Good Privacy) pour chiffrer les mails était corrompue dès lors que l’utilisateur choisissait la fonction envoyer plus tard du logiciel.

Capture de Daniel Aleksandersen

Le bug n’est reproductible qu’en activant le chiffrement et l’envoi programmé d’un mail. Le logiciel va accepter la tâche, n’indiquer aucune erreur et envoyer le mail. Toutefois, celui-ci sera envoyé en texte clair, donc sans chiffrement. Un oubli légèrement inquiétant pour ceux qui faisaient confiance à ce logiciel libre pour leurs conversations discrètes.

Problème : ce petit bug traîne dans le code de KMail depuis déjà quatre ans sans qu’il ne soit découvert. Seul le blogueur, en vérifiant le contenu de ses mails envoyés, a découvert le pot aux roses. Il  prévient la communauté KDE sans tarder, qui se montre particulièrement réactive comme l’écrit Aleksandersen. Laurent Montel, du projet, corrigera le bug peu après. Aujourd’hui, les dernières versions du client sont exemptes du problème : toutefois, si vous utilisez KDE au quotidien, il est conseillé de vérifier quelle itération du client est installée sur votre distribution.

« KMail rocks ! », ou pas.

Toujours d’après le blogueur, les versions contenues entre 4.11 et 17.04.1 (4 ans de développement) sont vulnérables, le correctif apparaissant sur la version 17.04.02 de KDE Applications : il est conseillé de se précipiter sur celle-ci.

Si Aleksandersen se garde de juger la communauté qui a été rapide à réagir, le blogueur signale tout de même que le support parfois incomplet de la norme PGP sur un client mail est problématique. Le blogueur se souvient par ailleurs d’une phrase trouvée dans la documentation de KDE à ce sujet, « Il est important de tester que votre chiffrement fonctionne avant de l’utiliser sérieusement. KMail pourrait ne pas vous prévenir si quelque chose dysfonctionnait  ». La réputation de KMail et par extension de KDE en prend un coup.

Enfin, l’étonnante persistance de cette faille montre les difficultés que peuvent rencontrer les communautés libres pour assurer la sécurité de leurs programmes. Avec des masses d’utilisateurs de taille parfois réduite, certains bugs ont la vie douce dans l’ombre des développeurs.

Partager sur les réseaux sociaux