C'est un peu comme si Let's Encrypt s'était emmêlé les pinceaux avec le champ " copie cachée " lors de l'envoi d'un message. L'autorité de certification gratuite a présenté ses excuses pour un souci qui a pu exposer les adresses mail de plusieurs milliers de ses utilisateurs.

Le 11 juin dernier, Let's Encrypt a commencé à envoyer un email à destination de ses abonnés actifs afin de les prévenir d'un changement. Une procédure automatisée qui a été affectée par un bug. Par erreur, " le système a préfixé entre 0 et 7 618 autres adresses mail au corps de l'email. Le résultat a été que les destinataires pouvaient voir les adresses mail des autres destinataires. "

Let's Encrypt souligne que le système a été arrêté avant que l'email ne soit envoyé à l'ensemble des 383 000 utilisateurs prévu, et donc un impact pour 1,9 % des utilisateurs. Par ailleurs, " chaque email contenait par erreur les adresses mail des emails envoyés précédemment ; les emails précédents contenaient donc moins d'adresses que les derniers. "

Avec de la transparence et donc des excuses, Let's Encrypt demande à ses utilisateurs concernés de ne pas rendre publiques les listes d'adresses mail qu'ils ont reçues. Oui… cela serait en effet sympa pour éviter de l'éventuel spam.