Commentaires : Kmail : le client mail de KDE envoyait des mails « chiffrés » en clair depuis quatre ans

logiciellibre
sécurité
linux
email
pgp
Tags: #<Tag:0x00007f920bfb50c8> #<Tag:0x00007f920bfb4e20> #<Tag:0x00007f920bfb4bf0> #<Tag:0x00007f920bfb49c0> #<Tag:0x00007f920bfb4768>

#1

KDE, une interface de bureau pour distribution GNU/Linux, a été épinglée par Daniel Aleksandersen, blogueur passionné en sécurité informatique. En effet, le client mail officiel du projet libre, KMail, comportait depuis quatre années déjà un bug très embarrassant pour la sécurité des utilisateurs. Le chiffrement… remis à plus tard Le blogueur a ainsi découvert que l’utilisation de la norme OpenPGP (Pretty Good Privacy) pour chiffrer les mails était corrompue dès lors que l’utilisateur choisissait la fonction envoyer plus tard du logiciel. Capture…. Publié sur http://www.numerama.com/tech/270903-kmail-le-client-mail-de-kde-envoyait-des-mails-chiffres-en-clair-depuis-quatre-ans.html par Corentin Durand


#2

Au moins ils sont réactifs eux.
Pas comme Internet Explorer 11 qui va casser les pieds pendant 10 ans parce que 3% de la population refuse de changer son navigateur…


#3

Déjà que je me fais souvent vanné parce que j'utilise KDE ça risque pas de s'arrêter...

Mais sur ce coup-là je ne leur tire pas mon chapeau...
Je vais regarder plus en détail ce bug quand même...


#4

Je vois pas pourquoi l’auteur tape spécialement sur le libre. Certes ce logiciel est libre, mais c’est pas parce qu’il est libre qu’il est bugué, c’est juste que c’est un logiciel normal et que tous les logiciels complexes sont bugués. Des failles 0day chez Microsoft, au hasard vu qu’apparemment c’est le logiciel fermé le plus connu du grand public, t’en a des pelletés.


#5

Vu la facilité avec laquelle ce bug peut être détecté, ça montre surtout à quel point quasiment personne n'utilise PGP et encore moins en association avec KMail.

Avec Thunderbird, j'ai le problème inverse : j'écris des mails en clair et ils sont enregistrés automatiquement comme brouillons chiffrés. Et comme j'ai oublié ma passphrase depuis longtemps...


#6

KMail est mon client mail de tous les jours donc si j’avais eu à utiliser GPG je l’aurai utilisé avec.
Le problème de GPG c’est qu’il faut trouver d’autres utilisateurs et ce genre de personne ne coure pas les rues dans mon entourage…


#7

Je pense que ça fait référence au nombre trop faible de personnes touchant au code. Un peu comme openSSL, quand il y a littéralement un pelé et un tondu qui s'en occupent, la probabilité de tomber sur un bug, même critique, devient minuscule.

C'est un truc frappant avec le libre, on prend un programme répandu, et on découvre que son maintien tient à un nombre minuscule de personnes, et si elles laissent tomber, oops lol tant pis.
Il y a bientôt dix ans je crois, j'ai voulu signaler un bug dans Amarok, rien de grave, mais clairement quelque-chose qui pouvait être réglé. Moi, je n'ai absolument pas la compétence pour le faire, donc j'ai pris le chemin des forums officiels tout ça... Et à ma grande surprise, il y a eu une personne, une seule, qui s'en occupait, du champ où je signalais un dysfonctionnement. Cela a failli mal commencer car, alors même que je me plaçais dans le domaine de la critique constructive et amicale, la personne l'a d'abord pris comme une attaque et une critique, avant de rétropédaler car trop de choses à faire avec pas assez de temps.
J'aurais imaginé, pour un grand projet, que ça serait perdu dans la masse, au lieu de quoi, faute de personnes pour aider, ça a fini dans la corbeille des to-do list qu'on n'a pas le temps de faire.
C'était... frappant, vraiment, de découvrir comme ça, d'un coup, le sous-effectif du logiciel libre.
(Et je me suis senti bien merdeux sur le coup, à venir pleurnicher sans pouvoir coder quoi que ce soit pour aider.)


#8

Je suis le seul à trouver que

C’est totalement putaclic ? On parle d’une fonction très rarement utilisée, l’envoi remis à plus tard. Ce n’est pas la totalité des cas d’usage, mais une très petite minorité.


#9

Totalement d’accord.

Certes KDE est en tort mais pas besoin d’en rajouter.
L’envoie différé par mail je l’ai jamais utilisé, le seul moyen de communication avec lequel je le faisais c’était les SMS quand j’étais au lycée (autant dire que ça date !)…


#10

Pas tant que ça, il faut aussi utiliser une fonctionnalité essentielle pour trigger le bug : l'envoi différé. Moi perso, j'ai jamais utilisé ça (j'utilise Thunderbird et je sauvegarde, à la limite parfois quand j'ai un long mail à écrire en plusieurs fois). Je ne suis pas allé voir leur patch sur Kmail, mais je parie que c'est trivial.


#11

Oui, c’est la combinaison de différents usages : PGP+Kmail+Envoi différé, qui doit être pas si fréquente que cela.
Mais au niveau de la détectabilité du problème, elle est élevé. Pas besoin de compétences particulières pour voir le problème.


#12

De ce que j’ai lu à partir de IE 9, ça casse plus trop les pieds : ça suit certes pas les dernières avancés, mais au moins ça marche sans faire du code spécifique parce que Microsoft n’a pas implémenté les fonctions standards. T’as une ou des sources pour affirmer que IE 11 casse les pieds ?


#13
  • zut grillé.... je voulais dire que ça prouve juste l'inutilité totale de la fonctionnalité et que tout le monde s'en tape.

#14
  • en même temps, titrer : "on a trouvé un bug sans conséquence dans Kmail".... tu lis l'article toi ?

  • à un moment il faut pas tout appeler putaclic, sinon on ne lit plus rien en news tech... vu qu'il ne se passe quasi rien de vraiment interessant dans le domaine....

  • avec juste des articles de fond, interessants et chiadés, il y a juste de quoi faire un magasine semestriel.


#15

Si on attend qu’ils tombent tout seul c’est sur. Le boulot de journaliste, c’est pas de remplir une page, ça c’est que la conclusion d’un travail en amont de fond… Faut un peu se bouger le cul pour aller les chercher les reportages ou se poser pour des sujets de réflexion, de fond. Attendre pour faire du copier - coller AFP, ou traduire à la google des sites américains, c’est sur que tu vas pas pondre grand chose d’intéressant, et encore moins à un rythme “soutenu”…


#16

looooool

c'est sur c'est vachement plus super mieux linux simplement parce que c'est linux!

et il y a toujours les mêmes ab...tis pour soutenir que même un truc aussi énorme qui en plus a duré 4 ans c'est pas grave parce que tu comprends c'est mieux que windows!

encore une preuve que le système parfait n'existe pas et n'existera jamais.


#17
  • oui alors dans la tech si tu veux vraiment comprendre ce que tu écris, il faut être ingé. Un travail de fond, il va te prendre disons un mois… tu payes comment un ingé pendant 1 mois avec les revenus d’une bannière pub sur 1 article ?

#18

Si Aleksandersen se garde de juger la communauté qui a été rapide à réagir, le blogueur signale tout de même que le support parfois incomplet de la norme PGP sur un client mail est problématique. Le blogueur se souvient par ailleurs d’une phrase trouvée dans la documentation de KDE à ce sujet, « Il est important de tester que votre chiffrement fonctionne avant de l’utiliser sérieusement. KMail pourrait ne pas vous prévenir si quelque chose dysfonctionnait ». La réputation de KMail et par extension de KDE en prend un coup.

Eh bien non, justement ! Il est clairement documenté qu’il faut être vigilant dans le cas d’une utilisation de PGP, et d’autre part la faille a été corrigée très rapidement après sa découverte. Pour moi ces projets n’y ont pas perdu en crédibilité, bien au contraire !


#19

Ce sujet a été automatiquement fermé après 60 jours. Aucune réponse n'est permise dorénavant.