- security
- Claws Mail laisse fuiter en clair les courriers électroniques chiffrés sur le serveur IMAP
Nous avons découvert que Claws Mail, le client de messagerie inclus dans Tails, stocke en clair des copies de tous les messages sur le serveur IMAP distant, y compris ceux qui sont censés être chiffrés.
- Lors de l'envoi d'un message, Claws Mail copie ce message en clair dans la file d'envoi du serveur IMAP avant de chiffrer le message. Claws Mail efface cette copie en clair après avoir envoyé le message.
- Les brouillons Claws Mail sont en clair sur le serveur. Un message
peut être enregistré comme brouillon soit :
- Manuellement en cliquant sur le bouton Brouillon pendant la rédaction d'un message.
- Automatiquement si vous avez sélectionné l'option enregistrer automatiquement les messages dans le dossier Brouillon dans les préférences de composition. Cette option est désactivée par défaut dans Tails.
Tous les utilisateurs de Claws Mail utilisant IMAP et son module OpenPGP sont concernés.
Les utilisateurs de Claws Mail utilisant POP ne sont pas affectés.
Malheureusement, nous ne sommes pas encore capables de corriger ce problème automatiquement et pour tout le monde. Cela nécessiterait soit de modifier Claws Mail, soit de migrer vers une autre application. Consultez la section Solutions de contournement ci-dessous pour corriger ce problème dans votre installation et veuillez avertir votre entourage.
Solutions de contournement
Vérifiez le contenu de votre dossier Brouillons
Avant tout, vérifiez le contenu du dossier Brouillons sur le serveur, soit en utilisant Claws Mail soit via l'interface web de votre fournisseur de messagerie. Supprimez tous les messages en clair qui pourraient y être stockés à votre insu.
Appliquez alors l'un des deux contournements pour éviter d'autres fuites à l'avenir.
Utilisez POP au lieu de IMAP
Claws Mail peut se connecter au serveur de messagerie en utilisant soit le protocole IMAP soit le protocole POP.
- Avec IMAP, Claws Mail se synchronise en permanence avec le serveur et affiche les messages et dossiers qui sont actuellement stockés sur le serveur. IMAP est plus approprié si vous accédez à vos messages depuis différents systèmes d'exploitations.
- Avec POP, Claws Mail télécharge les messages qui sont dans la boîte de réception sur le serveur, et peut éventuellement les supprimer du serveur. POP est plus approprié si vous accéder à vos messages uniquement depuis Tails et que vous les stockez dans le volume persistant.
Pour en savoir plus, consultez également cette page d'aide Yahoo! sur la comparaison des différences entre POP et IMAP (cliquez sur la section "Différence entre POP et IMAP").
POP n'est absolument pas affecté par ce problème de sécurité. En utilisant POP, seuls les messages chiffrés sont envoyés au serveur. Envisagez donc la possibilité de basculer vers POP si vous avez un compte de messagerie dédié à vos activités sur Tails. Pour ce faire :
Choisissez Fichier ▸ Ajouter une boîte aux lettres ▸ MH… pour créer une boîte aux lettres locale où vous pourrez télécharger vos messages.
Pour stocker votre boîte aux lettres dans le volume persistant, précisez
.claws-mail/Mail
comme emplacement. N'oubliez pas de taper le.
avantclaws-mail/Mail
.Choisissez Configuration ▸ Édition des comptes…, sélectionnez votre compte IMAP dans la liste des comptes, et cliquez sur Supprimer pour le supprimer. Faire cela ne supprime aucun des messages stockés sur le serveur.
Cliquez sur Nouveau et configurez un nouveau compte comme indiqué par votre fournisseur de messagerie électronique.
- Dans l'onglet Général, soyez sûr que l'option Protocole est configurée avec la valeur POP3.
Dans l'onglet Réception, cliquez sur le bouton Parcourir dans le champ Dossier de réception par défaut et sélectionnez le dossier INBOX de la boîte aux lettres que vous avez créé dans l'étape 2.
Si vous voulez garder sur le serveur une copie des messages reçus, vérifiez les préférences dans l'onglet Réception. Nous vous recommandons de désactiver l'option Suppression des messages du serveur après réception à moins d'être certain que les messages ne soient stockés dans le volume persistant.
Fermez la boîte de dialogue Préférences et la liste des comptes pour retourner à la fenêtre principale de Claws Mail.
Cliquez sur le bouton Relever pour télécharger tous les messages depuis la boîte de réception sur le serveur. Les messages dans les autres dossiers ne sont pas téléchargés.
Utilisez les dossiers locaux Drafts et Queue
Si vous voulez continuer à utiliser IMAP, vous devez configurer votre compte IMAP en utilisant les dossiers Drafts et Queue stockés dans Tails au lieux de ceux du serveur. Pour cela :
Choisissez Ajouter une boîte aux lettres ▸ MH… pour créer une boîte aux lettres locale où vos brouillons et messages en instance d'envoi seront enregistrés.
Pour stocker votre boîte aux lettres dans le volume persistant, précisez
.claws-mail/Mail
comme emplacement. N'oubliez pas de taper le.
avantclaws-mail/Mail
.Choisissez Configuration ▸ Édition des comptes…, sélectionnez votre compte IMAP dans la liste des comptes, et cliquez sur Modifier pour éditer ses paramètres.
Sélectionnez Avancé dans le panneau de gauche.
Sélectionnez l'option Sauvegarder les messages à envoyer (file d'attente) dans, cliquez sur le bouton Parcourir, et sélectionnez le dossier Queue de la boîte aux lettres MH.
Sélectionnez l'option Sauvegarder les brouillons dans, cliquez sur le bouton Parcourir, et sélectionnez le dossier Drafts de la boîte aux lettres MH.
Solution à long terme
Quant aux éventuelles solutions à long terme à ce problème, nous envisageons de :
Demander à l'équipe de développement de Claws Mail de corriger le problème en amont. Nous les avons déjà contactés à propos de ce problème. Merci de les aider à trouver une solution technique si vous le pouvez.
Remplacer Claws Mail par Icedove (le nom de Mozilla Thunderbird dans Debian). Nous avons prévu de faire cela depuis plusieurs années, et ce problème nous incite à réaliser ce changement plus rapidement.
Détails techniques
Fuite par la file d'attente d'envoi
Lors de l'envoi d'un message depuis un compte IMAP, Claws Mail réalise les opérations suivantes :
Il se connecte sur le serveur IMAP et stocke une copie en clair du message dans le dossier Queue sur le serveur.
Il chiffre le message localement.
Il envoi le message chiffré via le serveur SMTP.
Il se connecte au serveur IMAP et stocke une copie chiffré du message dans le dossier Sent sur le serveur.
Il se connecte au serveur IMAP et supprime le message en clair enregistré à l'étape 1 dans le dossier Queue.