KDE, une interface de bureau pour distribution GNU/Linux, a été épinglée par Daniel Aleksandersen, blogueur passionné en sécurité informatique. En effet, le client mail officiel du projet libre, KMail, comportait depuis quatre années déjà un bug très embarrassant pour la sécurité des utilisateurs.
Le chiffrement… remis à plus tard
Le blogueur a ainsi découvert que l’utilisation de la norme OpenPGP (Pretty Good Privacy) pour chiffrer les mails était corrompue dès lors que l’utilisateur choisissait la fonction envoyer plus tard du logiciel.
Le bug n’est reproductible qu’en activant le chiffrement et l’envoi programmé d’un mail. Le logiciel va accepter la tâche, n’indiquer aucune erreur et envoyer le mail. Toutefois, celui-ci sera envoyé en texte clair, donc sans chiffrement. Un oubli légèrement inquiétant pour ceux qui faisaient confiance à ce logiciel libre pour leurs conversations discrètes.
Problème : ce petit bug traîne dans le code de KMail depuis déjà quatre ans sans qu’il ne soit découvert. Seul le blogueur, en vérifiant le contenu de ses mails envoyés, a découvert le pot aux roses. Il prévient la communauté KDE sans tarder, qui se montre particulièrement réactive comme l’écrit Aleksandersen. Laurent Montel, du projet, corrigera le bug peu après. Aujourd’hui, les dernières versions du client sont exemptes du problème : toutefois, si vous utilisez KDE au quotidien, il est conseillé de vérifier quelle itération du client est installée sur votre distribution.
Toujours d’après le blogueur, les versions contenues entre 4.11 et 17.04.1 (4 ans de développement) sont vulnérables, le correctif apparaissant sur la version 17.04.02 de KDE Applications : il est conseillé de se précipiter sur celle-ci.
Si Aleksandersen se garde de juger la communauté qui a été rapide à réagir, le blogueur signale tout de même que le support parfois incomplet de la norme PGP sur un client mail est problématique. Le blogueur se souvient par ailleurs d’une phrase trouvée dans la documentation de KDE à ce sujet, « Il est important de tester que votre chiffrement fonctionne avant de l’utiliser sérieusement. KMail pourrait ne pas vous prévenir si quelque chose dysfonctionnait ». La réputation de KMail et par extension de KDE en prend un coup.
Enfin, l’étonnante persistance de cette faille montre les difficultés que peuvent rencontrer les communautés libres pour assurer la sécurité de leurs programmes. Avec des masses d’utilisateurs de taille parfois réduite, certains bugs ont la vie douce dans l’ombre des développeurs.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !