Une vulnérabilité sérieuse affecte Evolution, un client de messagerie Linux, exposant des informations sensibles. Malgré cette faille persistante, aucune solution n’a été apportée par l’équipe de développement, laissant de nombreux utilisateurs potentiellement en danger.
Un des clients de messagerie les plus utilisés sous Linux, Evolution, présente une faille de sécurité qui pourrait compromis les données des utilisateurs. Ce problème persiste depuis plusieurs mois sans intervention de la part des développeurs. Pire, il est généralement préinstallé dans l’environnement GNOME, rendant plusieurs distributions populaires vulnérables.
D’après les rapports, Evolution pourrait révéler l’adresse IP des utilisateurs et indiquer si un message a été ouvert. Mike Cardwell, un administrateur système britannique, a découvert que certains e-mails peuvent déclencher des requêtes DNS même lorsque l’option « Charger le contenu distant » est désactivée.
Pour exploiter cette vulnérabilité, un attaquant peut insérer une tag HTML malveillante. Par exemple, si la balise est incluse dans le message, Evolution ne téléchargera pas l’image, mais effectuera une résolution DNS pour le domaine. Cette situation est due à l’utilisation de WebKitGTK, le moteur de rendu de l’application, qui traite les balises HTML indépendamment des paramètres de sécurité.
Lorsque l’e-mail est ouvert, la requête DNS s’inscrit dans les journaux du serveur. Cela non seulement indique que l’utilisateur a ouvert le message, mais peut aussi exposer son adresse IP et, dans certains cas, sa localisation. Étant donné que Evolution est préinstallé sur des distributions telles que Fedora, Ubuntu, POP!_OS et Zorin, des milliers d’utilisateurs restent potentiellement exposés sans le savoir.
Cette vulnérabilité reste active depuis près de deux ans, et l’équipe de Evolution n’a pas encore proposé de solution. Cardwell a suggéré que les développeurs dévoilent ou éliminent les tags HTML malveillants avant d’afficher le contenu aux utilisateurs. Malheureusement, les développeurs ont rejeté cette demande, pointant du doigt WebKitGTK comme responsable, donc une correction ne sera pas disponible de sitôt.
Bien que la sécurité soit l’une des fonctionnalités les plus essentielles d’Evolution, l’application ne répond pas aux attentes ici. La meilleure option serait de migrer vers un autre client de messagerie sous Linux qui bloque les contenus non sécurisés ou qui offre une meilleure sécurisation de son propre rendu.
Une alternative serait Thunderbird, qui ne réalise pas de requêtes DNS cachées et bloque les contenus distants. Une autre possibilité est Tuta Mail, un client open-source offrant une encryption complète et déjà compatible avec l’encryption post-quantique. Enfin, Proton reste une option fiable, bien qu’il nécessite un abonnement.