On ne peut se fier à personne. Pas même à PGP (pour Pretty Good Privacy), le plus populaire et le plus sûr des logiciels de cryptographie. Ralf Senderek, un chercheur allemand, relayé par le CERT (Computer Emergency Response Team), a annoncé avoir déniché une faille de sécurité permettant de déchiffrer le courrier d’un utilisateur à son insu.

Le "tiers de confiance" en accusation

©Yazi/transfert

Cette brêche provient d’une fonctionnalité dénoncée depuis des années par les principaux experts en sécurité informatique : le "key escrow". En plus des clefs "publique" et "privée" normalement utilisées, ce "tiers de confiance" consiste à remettre une clef de décryptage aux forces de l’ordre, ou encore à son patron. Ceci afin de leur permettre de lire, si nécessaire, les messages chiffrés. Si toutes les tentatives légales, juridiques ou policières pour obliger les utilisateurs à remettre une copie des clefs ont avorté, PGP a néanmoins incorporé dès 1997 une fonctionnalité ADK (Additionnal Decryption Key) à sa version 5.5 (version Business). Un élément repris depuis dans toutes les versions jusqu’à la 6.5.3. Or, selon Senderek, il est possible, grâce à l’ADK, de modifier la clef publique d’un utilisateur de PGP sans que celui-ci s’en aperçoive, ouvrant ainsi la voie au décryptage des messages par des personnes, ou organismes, qui n’auraient rien de "tiers de confiance".

Des corrections immédiates

Philippe Zimmermann, créateur du programme, annonce qu’une version 6.5 corrigée de PGP (version freeware) devrait être disponible dès vendredi 25 août, ainsi que des patchs pour les versions commerciales. Les serveurs de clefs publiques ont, eux, coupé l’accès aux clefs équipées d’ADK afin qu’elles ne soient pas compromises. GnuPG, l’équivalent "libre" de PGP (également disponible pour Windows depuis peu) ne serait pas affecté par cette faille de sécurité.