L'extension « Torbutton » installée dans amnesia est devenue incompatible avec Icedove (Thunderbird), l'adresse IP réelle de l'ordinateur est révélée au relai SMTP qui est utilisé pour l'envoi d'un courrier électronique.

Impact

Lorsque vous utilisez Icedove pour envoyer un courrier électronique, l'adresse IP réelle de l'ordinateur est transmise au relais SMTP, qui la retranscrit habituellement dans l'en-tête Received: du courrier électronique sortant. Cette information personnelle est alors révélée :

  • aux personnes qui administrent les relais SMTP ;
  • toute personne capable de lire un tel courrier électronique envoyé, y compris toutes personnes destinataires de ce message, diverses personnes administrant des réseau et des serveurs de courriers électroniques.

Lors de l'utilisation d'une connexion Internet avec un NAT, l'adresse IP révélée est celle du réseau local (i.e. 192.168.1.42), qui ne révèle habituellement pas grand chose. D'un autre côté, lorsque vous êtes connectés directement à Internet, i.e. en utilisant PPP ou un modem DSL et pas de routeur, l'adresse IP révélée donne l'emplacement réel de la personne qui utilise amnesia.

Solution

Mettre à jour vers amnesia 0.4.1, qui est fourni avec Claws Mail au lieu de Icedove, et faire le réglage suivant des préférences dans ~/.claws-mail/accountrc pour tous les comptes :

    set_domain=1
    domain=localhost

Voir #6119 pour les détails.

Mesures de limitation

Le mieux est d'éviter d'utiliser Icedove (Thunderbird) dans amnesia jusqu'à ce que l'image corrigée soit publiée. Si ce n'est pas possible :

  • Utiliser amnesia derrière une connexion Internet avec un NAT, depuis un LAN qui utilise des adresses IP répandues.
  • Utiliser un relai SMTP de confiance, attentif à la vie privée, qui n'écrit pas l'adresse IP du client où que ce soit, en particulier pas dans les en-têtes de courrier électronique.

Notez qu'utiliser GnuPG ne corrige pas du tout ce problème : GnuPG chiffre seulement le contenu du courrier électronique, les en-têtes sont toujours laissés en clair.

Versions affectées

Toutes les versions d'amnesia publiées, y compris la version 0.3. amnesia 0.4 n'est pas concernée.