Lors de l’affichage des informations détaillées d’une clé OpenPGP dans Thunderbird, un avertissement peut être affiché indiquant que la clé contient des propriétés non sécurisées. Cet article explique la signification de cet avertissement.

Le contexte

OpenPGP utilise des clés privées et publiques, qui comportent des propriétés telles que des noms d’utilisateur, des adresses électroniques, des sous-clés supplémentaires, des informations sur la validité et l’expiration, etc. Ces propriétés d’une clé utilisent des signatures numériques pour vérifier qu’elles ont bien été ajoutées ou modifiées par le ou la propriétaire de la clé et non par quelqu’un d’autre. Par exemple, si le ou la propriétaire d’une clé a mis à jour la date d’expiration d’une clé OpenPGP, cette modification implique une signature qui est ajoutée à la clé OpenPGP.

Une signature numérique utilise une technologie cryptographique qui combine plusieurs algorithmes afin de produire une preuve d’authenticité qui ne peut pas être facilement falsifiée. Les ordinateurs étant devenus plus puissants au fil du temps, les algorithmes considérés comme sûrs par le passé peuvent ne plus l’être aujourd’hui. Par exemple, l’utilisation de l’algorithme de hachage SHA-1 n’est plus recommandée, car des attaques contre l’algorithme sont désormais possibles. Bien que cette recommandation date de plusieurs années, certains utilisateurs peuvent l’ignorer et continuer à utiliser un ancien logiciel OpenPGP ou une configuration logicielle qui fait appel à SHA-1.

La version 91.8.0 de Thunderbird

Les versions de Thunderbird 91.8.0 et 91.8.1 contiennent une modification permettant de rejeter les signatures impliquant des algorithmes peu sécurisés en fonction de la date de création de la signature. Par conséquent, les signatures utilisant SHA-1 ont été rejetées si elles avaient été créées après la mi-janvier 2019.

Après la publication de la version 91.8.0, un nombre plus important que prévu de personnes ont signalé qu’elles n’étaient plus en mesure d’utiliser les clés OpenPGP concernées. D’après notre analyse, le SHA-1 a été impliqué dans tous les scénarios signalés.

La version 91.9.0 de Thunderbird

Afin de laisser plus de temps pour le remplacement de SHA-1, la version 91.9.0 de Thunderbird a été modifiée pour être moins stricte que la version 91.8.0. Dans la version 91.9.0, les signatures SHA-1 fonctionnent à nouveau sur les propriétés des clés OpenPGP et pour les signatures sur les révocations de clés. Par conséquent, les utilisatrices et utilisateurs concernés peuvent encore utiliser leur clé avec Thunderbird jusqu’à ce que la norme SHA-1 soit entièrement supprimée dans une prochaine version.

En revanche, d’autres algorithmes non sécurisés tels que MD5 continueront d’être rejetés. De plus, SHA-1 sera toujours refusé pour les signatures d'e-mails créés après la mi-janvier 2019.

Refus de SHA-1 dans une future version de Thunderbird

Les équipes de développement de Thunderbird ont toujours l’intention de bannir totalement l’utilisation de SHA-1 dans les clés OpenPGP à l’avenir, mais il a été décidé que plus de temps serait nécessaire pour la période de transition, et que Thunderbird devrait également apporter des modifications pour aider les personnes qui l’utilisent à effectuer la transition nécessaire. Si vous gérez vos clés secrètes OpenPGP avec Thunderbird, une prochaine version vous aidera à mettre à jour votre clé.

Autres logiciels

D’autres logiciels OpenPGP peuvent déjà refuser une clé sur la base de ces propriétés non sécurisées, ou pourraient le faire à l’avenir. Si vous voyez cet avertissement concernant la clé publique de l’un de vos correspondants, vous devez lui demander de mettre à jour sa clé pour qu’elle n’utilise plus SHA-1, ou de passer à une nouvelle clé.