Breaking news
Read our blog to learn why privacy matters. And don't forget to get an encrypted mailbox yourself!

Correction d'une vulnérabilité dans Tutanota

Au cours de l'un de nos examens de sécurité réguliers, nous avons découvert une vulnérabilité XSS qui a maintenant été corrigée.

2021-03-25
Le 25 février, nous avons identifié une possible vulnérabilité de type Cross-Site Scripting (XSS) sur l'une de nos pages web distinctes de notre client webmail, de nos applications de bureau et mobiles, qui traite le traitement des informations de paiement de notre fournisseur de paiement Braintree. Nous avons immédiatement publié un correctif côté serveur pour supprimer la vulnérabilité et mis à jour les clients avec la prochaine version.

Que s'est-il passé et quelles mesures avons-nous prises ?

La vulnérabilité a été introduite lors de l'amélioration de l'apparence d'un site intermédiaire affiché pendant le processus de configuration de la 3DS le 20 janvier. Nous avons corrigé la vulnérabilité immédiatement après l'avoir identifiée le 25 février.

La vulnérabilité permettait à un attaquant de créer un lien malveillant susceptible de divulguer des informations d'identification.

Aucune tentative d'exploitation de la vulnérabilité n'est connue à ce jour. Bien que la vulnérabilité ait été introduite sur une page qui concernait les paiements par carte de crédit, aucune donnée de paiement n'a été exposée.

Dois-je changer mon mot de passe ?

La vulnérabilité découverte n'a pu être exploitée que parce que le traitement des paiements s'effectuait sous notre domaine principal. De ce fait, la vulnérabilité a permis de s'emparer des mots de passe ou des authentifications de session dans le navigateur.

La vulnérabilité aurait pu être exploitée dans les circonstances suivantes :

  • Vous avez reçu et cliqué sur un lien commençant par https://mail.tutanota.com/braintree.html entre le 20 janvier et le 25 février 2021.

  • Dans le cas où vous auriez stocké vos identifiants de connexion Tutanota dans le navigateur, l'attaquant aurait alors pu accéder à votre mot de passe.

  • Dans le cas où vous étiez connecté dans le navigateur, l'attaquant aurait pu utiliser votre authentification de session pour accéder à votre boîte aux lettres jusqu'à ce que vous vous déconnectiez à nouveau.

  • La vulnérabilité n'aurait en aucun cas pu être exploitée si vous utilisez Tutanota uniquement via nos clients de bureau et nos applications mobiles.

Veuillez noter : la transmission automatique à notre processeur de paiement lorsque vous payez pour Tutanota n'a jamais présenté de vulnérabilité.

Si vous pensez que quelqu'un a pu mettre la main sur votre mot de passe, veuillez changer votre mot de passe et mettre à jour votre code de récupération, tous deux sous Paramètres -> Connexion.

Il est important de mettre également à jour votre code de récupération si vous pensez que quelqu'un a volé votre mot de passe, car avec le mot de passe, il aurait pu modifier votre code de récupération pour prendre malicieusement le contrôle de votre compte ultérieurement.

Mesures pour éviter des problèmes similaires

Nous avons pris des mesures pour éviter que des problèmes similaires ne se reproduisent à l'avenir :

  • Nous avons déplacé tout le traitement des paiements vers un sous-domaine distinct qui n'a pas accès aux identifiants de connexion enregistrés.

  • Nous avons interdit l'utilisation de motifs liés à des attaques similaires dans nos directives de codage.

  • Nous avons identifié cette vulnérabilité lors d'un examen régulier de la sécurité interne. Nous continuerons à examiner régulièrement l'ensemble de notre base de code pour détecter les problèmes de sécurité.

Examen de la sécurité

Nous avons maintenant terminé notre plus récent examen de sécurité de Tutanota. Cet examen de sécurité faisait partie du processus de sortie de la version bêta des clients de bureau Tutanota.

Au cours de cet examen, aucun autre problème grave n'a été découvert. Nous avons identifié un certain nombre de problèmes mineurs que nous sommes en train de corriger.

No comments available