Let’s Encrypt laisse fuiter les adresses e-mail de ses utilisateurs

David Feugey,

Des milliers d’e-mails d’utilisateurs de Let’s Encrypt se sont retrouvés dans la nature. Une bévue de taille pour ce service.

Une mésaventure a touché le week-end dernier l’ISRG (Internet Security Research Group), l’organisme gérant le projet Let’s Encrypt, visant à proposer des certificats SSL gratuits aux opérateurs de sites web.

Le 11 juin, certaines personnes ont eu la surprise de recevoir un e-mail d’information de la part de l’ISRG, contenant les adresses d’autres utilisateurs de Let’s Encrypt. Un bug dans le système d’envoi d’e-mails a fait que chaque personne voyait dans son message les adresses des destinataires précédemment joints. La procédure a été stoppée de toute urgence au 7618e courrier, lequel contenait alors les références de tous les destinataires précédents, soit 7617 adresses.

Le problème aurait pu être bien pire, puisque la base d’utilisateurs de Let’s Encrypt compte 383 000 adresses de courrier électronique. Un peu moins de 2 % des utilisateurs a donc reçu un de ses messages. « Si vous avez reçu un de ces courriels, nous vous demandons de ne pas publier de listes d’adresses électroniques au public », demande Josh Aas, directeur exécutif de l’ISRG. Reste que cette bévue fait tache pour une organisation dont le but est de protéger les utilisateurs du Net contre les écoutes et la fuite de leurs données personnelles.

Des tests insuffisants

Depuis, un état des lieux a été fait. C’est un morceau de code créé récemment qui est en cause. « Une procédure de test insuffisante est considérée comme la cause de cet incident », conclut le directeur de l’ISRG.

Le logiciel de mailing, jugé moins critique que les autres outils gérés par l’organisation, n’était pas soumis aux mêmes procédures de test et de validation. Une erreur de jugement, puisqu’il manipule des données sensibles. En conséquence, il rejoint aujourd’hui les outils liés aux certifications et subira ainsi des tests qualité d’un niveau équivalent, afin de limiter l’émergence de tout problème futur.

À lire aussi :
Let Encrypt, une autorité de certification gratuite pour chiffrer le Web
Let’s Encrypt : un million de certificats SSL et nouveau nom en vue
HTTPS : OVH se rapproche de Let’s Encrypt

Crédit photo : © wk1003mike – Shutterstock