Voici pourquoi votre courrier électronique n’est pas sécurisé et risque de le rester

Le courrier électronique est la méthode de communication la plus omniprésente sur Internet – peut-être même sur la planète. Il est intégré à presque tout, des téléphones et tablettes aux ordinateurs traditionnels en passant par les appareils de jeu – diable, même les appareils ménagers connectés et les voitures peuvent envoyer des e-mails. Plus important encore, être « sur Internet » signifie avoir une adresse e-mail (ou des dizaines d’entre elles); ce sont nos identifiants, comment nous nous inscrivons aux choses, comment nous recevons des avis et parfois même communiquons les uns avec les autres. L’e-mail est la « killer app » originale. »

Mais le courrier électronique n’a pas été conçu avec une confidentialité ou une sécurité à l’esprit. Il y a eu de nombreux efforts pour rendre le courrier électronique plus sécurisé, mais la récente fermeture de services de messagerie sécurisés très vantés comme Lavabit (qui aurait été utilisé par Edward Snowden, le sous-traitant de la NSA) et Silent Circle à la suite de programmes de surveillance gouvernementaux mettent en évidence les difficultés. Le manque de sécurité des e-mails entraîne également des dommages collatéraux surprenants, comme l’arrêt annoncé du blog de logiciels et de droit respecté GrokLaw.

La sécurité des courriels est-elle sans espoir ? Regardons-nous la fin de l’application tueuse d’Internet?

Pourquoi le courrier électronique n’est-il pas sécurisé ?

Le courrier électronique n’est pas sécurisé car il n’a jamais été conçu pour être le centre de nos vies numériques. Il a été développé lorsque l’Internet était un endroit beaucoup plus petit pour standardiser la messagerie simple de stockage et de transfert entre les personnes utilisant différents types d’ordinateurs. Le courrier électronique était entièrement transféré en plein air – tout était lisible par quiconque pouvait regarder le trafic réseau ou accéder aux comptes (à l’origine, même les mots de passe n’étaient pas cryptés). Étonnamment, les e-mails envoyés en utilisant ces méthodes largement ouvertes fonctionnent toujours (pour la plupart).

Aujourd’hui, il existe quatre endroits de base où le courrier électronique de la plupart des gens peut être compromis:

  • Sur votre(vos) appareil(s)
  • Sur les réseaux
  • Sur le(s) serveur(s)
  • Sur le(s) appareil(s) de votre destinataire)

Le premier et le dernier endroit – les appareils – sont faciles à comprendre. Si quelqu’un peut s’asseoir devant votre ordinateur, prendre votre téléphone ou parcourir votre tablette, il y a de fortes chances que votre courrier électronique soit là pour qu’il puisse le lire – Vous utilisez un écran de verrouillage ou un mot de passe sur vos appareils, n’est-ce pas? Même chose pour les appareils de vos destinataires. Mais même les mots de passe et les écrans de verrouillage ne sont parfois pas d’une grande aide. Alors que quelques programmes de messagerie cryptent les messages électroniques qu’ils stockent sur l’appareil, la plupart ne le font pas. Cela signifie que toute personne (ou tout programme) pouvant accéder au stockage interne de l’appareil peut probablement également lire les e-mails et accéder aux pièces jointes. Cela semble tiré par les cheveux? Il n’est pas nécessaire que ce soit une personne; rayer par e-mail est l’une des choses les plus courantes que font les logiciels malveillants.

Les réseaux sont un peu plus difficiles à comprendre et couvrent trois liens de base:

  • Votre connexion à votre fournisseur de messagerie (que ce soit votre FAI, Google, Outlook, Yahoo, Apple ou quelqu’un d’autre)
  • Toutes les connexions réseau entre votre fournisseur de messagerie et votre destinataire
  • La connexion réseau de votre destinataire à son fournisseur de messagerie.

Si vous envoyez un e-mail à quelqu’un sur le même service que vous utilisez (par exemple, Outlook.com), vous avez au moins les première et troisième vulnérabilités réseau potentielles: votre connexion à Outlook.com et la connexion de votre destinataire à Outlook.com . Si l’e-mail de votre destinataire se trouve ailleurs (par exemple une entreprise ou une école), vous en avez au moins un de plus : le lien entre Outlook.com et le fournisseur de messagerie de votre destinataire. La réalité de la topographie du réseau signifie que chacune de ces connexions implique une série de routeurs et de commutateurs (peut-être une douzaine ou plus), probablement détenus et exploités par différentes entités. Si une connexion est sécurisée, rien ne garantit qu’une autre connexion de la séquence est sécurisée. Et si vous êtes préoccupé par des choses comme le programme de surveillance PRISM de la NSA, les indications jusqu’à présent sont que certaines d’entre elles se produisent à ces points de réseau intermédiaires.

L’e-mail n’a pas été conçu dans un souci de confidentialité ou de sécurité.Les serveurs

sont les machines de votre fournisseur de messagerie ou FAI qui stockent physiquement votre courrier électronique. Si quelqu’un craque (ou devine ou vole) votre mot de passe de messagerie, il n’a probablement pas besoin de vos appareils; ils peuvent se connecter directement à votre fournisseur de messagerie et lire tous les e-mails qui y sont stockés. Cela peut ne représenter que quelques messages, mais cela peut prendre des semaines, des mois ou des années, y compris au moins certains messages que vous avez supprimés. Mais ce n’est pas le seul risque. La plupart des services de messagerie stockent vos messages sous forme de texte brut. Ainsi, tout attaquant qui peut accéder à ces serveurs (par exemple, via une faille de sécurité ou en volant un mot de passe administrateur) peut facilement accéder à tous les e-mails et pièces jointes stockés. Pourquoi les fournisseurs ne protègent-ils pas les e-mails stockés ? En partie à cause des frais généraux que cela créerait, mais le stockage de l’e-mail non crypté permet aux gens de rechercher leurs messages (vous aimez rechercher votre e-mail, n’est-ce pas?) et permet à des services comme Gmail d’analyser automatiquement le courrier à la recherche de mots clés pour vendre de la publicité (et vous aimez la publicité, n’est-ce pas?).

Cryptage à la rescousse!

La meilleure façon de protéger les communications est de les chiffrer: fondamentalement, brouiller les données avec des transformations mathématiques complexes afin qu’elles ne soient intelligibles qu’en utilisant le mot de passe correct ou d’autres informations d’identification. Une forme courante de chiffrement est la cryptographie à clé publique, où des personnes (ou des FAI ou des entreprises) donnent une clé publique que n’importe qui peut utiliser pour brouiller des données qui leur sont destinées, mais qui ne peut être décodée qu’à l’aide d’une clé privée que la personne (ou le FAI ou l’entreprise) garde secrète.

La cryptographie à clé publique est à la base de deux principaux moyens de protéger le courrier électronique:

  • Chiffrement des messages
  • Chiffrement des connexions réseau

Chiffrement des messages

L’idée derrière les messages cryptés est simple: au lieu d’envoyer du texte brut que tout le monde peut lire, vous envoyez un livre brouillé que seul le destinataire prévu peut lire. Les outils courants pour chiffrer les e-mails incluent PGP (maintenant un produit commercial de Symantec) et de nombreuses applications et outils grand public prenant en charge l’open source OpenGPG et S/MIME.

Le chiffrement des messages est une idée simple, mais l’approche a des avantages et des inconvénients. Du côté positif, les messages cryptés sont protégés à la fois sur les réseaux et les serveurs, même s’ils sont compromis ou s’ils stockent des messages sous forme de texte brut. (Le gobbledegook pourrait faire en sorte que Gmail diffuse des annonces étranges, bien que!) Le message est probablement également crypté sur votre appareil et les appareils de votre destinataire (jusqu’à ce qu’ils le décodent), ce qui offre une protection supplémentaire. C’est tout bon.

Maintenant, les inconvénients. Chiffrer des messages individuels est une douleur. Vous devez avoir la clé publique de tous ceux avec qui vous souhaitez communiquer en toute sécurité. Pour une ou deux personnes, ce n’est pas mal, mais la plupart des gens ont des dizaines (ou des centaines) de contacts. Les mettre tous en service avec la cryptographie à clé publique ne sera pas facile.

De plus, tous ceux qui souhaitent vous envoyer des e-mails sécurisés ont besoin de votre clé publique! Vous pouvez les leur envoyer par e-mail … mais cela ne sera pas crypté, ce n’est donc pas sécurisé. Idem pour un article de blog ou une page Facebook ou des services de serveur de clés ou tout autre canal non sécurisé. Le seul moyen vraiment sûr d’échanger des clés publiques est en face à face ou d’une autre manière, vous pouvez être vraiment sûr d’obtenir la bonne clé de la bonne personne. Cela peut être extrêmement peu pratique. Certaines personnes qui vous envoient des e–mails sensibles – comme les banques, les sociétés de cartes de crédit, les hôpitaux, les écoles ou la clinique de fertilité locale – ne sauront probablement pas (ou ne sauront pas comment) utiliser votre clé publique même si elles l’avaient. En bout de ligne, peu de vos messages électroniques seront cryptés, le cryptage des messages n’est donc pas une solution générale pour les e-mails sécurisés.

Mais attendez! Il y a plus d’inconvénients au cryptage des messages. Seul le contenu du message (et les pièces jointes, le cas échéant) sont brouillés. Les informations d’en-tête (y compris votre adresse, l’adresse du destinataire, le sujet, la date, etc.) sont toujours du texte brut que tout le monde peut lire. Ces informations ne sont peut-être que des métadonnées, mais au fil du temps, elles peuvent brosser un tableau étonnamment détaillé de vos activités en ligne. (Il suffit de demander à la NSA!) Vous voulez un autre inconvénient? Essayez de vous connecter à votre messagerie Web et de rechercher un numéro de téléphone ou une adresse dans un courrier crypté.

Cryptage des connexions

Les tracas liés aux messages cryptés signifient que la sécurisation des e-mails a été principalement axée sur le cryptage des connexions réseau. L’idée de base est la même que l’utilisation d’un site Web sécurisé comme votre banque ou Amazon.com . Lorsque vous vous connectez à votre fournisseur de messagerie, votre logiciel utilise la sécurité de la couche de transport (TLS, encore mieux connue sous le nom de SSL) pour crypter la connexion entre votre appareil et le service. Il prend même en charge l’échange de clés: la plupart des appareils sont aujourd’hui préinstallés avec des clés pour les autorités de certification, où ils peuvent télécharger des clés authentifiées pour les sites et les services sans déranger les utilisateurs: pas de muss, pas de chichi, pas de vol en Australie pour échanger des clés publiques avec quelqu’un. La technologie de base fonctionne pour le commerce électronique depuis près de deux décennies.

Ces informations ne sont peut-être que des métadonnées, mais au fil du temps, elles peuvent brosser un tableau étonnamment détaillé de vos activités en ligne.

Le cryptage de la connexion entre vous et votre fournisseur de messagerie signifie que personne sur le réseau entre les deux ne peut afficher les messages électroniques que vous envoyez ou recevez: tout est gobbledegook. Cela vous protège du fluage sur le réseau Wi-Fi local et même des robinets secrets du gouvernement dans un centre de données quelque part en cours de route.

Cependant, une fois que le message parvient à votre fournisseur de messagerie, tous les paris sont désactivés. La plupart du temps, votre fournisseur de messagerie stocke les données du message sous forme de texte brut (voir ci-dessus), bien qu’il existe des exceptions comme Hushmail au Canada. Et si votre destinataire est sur un autre fournisseur de messagerie ou FAI, votre message pourrait l’être (et l’est probablement!) qui leur sont transmises sur Internet sous forme de courrier électronique en texte brut à l’ancienne. Un nombre croissant de services de messagerie utilisent TLS pour chiffrer les connexions entre eux, mais la grande majorité des serveurs de messagerie dans le monde échangent toujours des messages sans cryptage – et vous n’avez aucun moyen de le savoir. De plus, il est impossible de savoir si votre destinataire utilisera une connexion protégée pour recevoir ou répondre à votre e-mail. Vous vous êtes peut-être protégé du fluage sur le réseau Wi-Fi public, mais votre médecin ou votre comptable l’a-t-il fait? Peut-être pas.

Le courrier électronique est-il condamné?

L’e-mail ne disparaîtra pas de sitôt. C’est beaucoup trop utile, et son statut quasi universel sur presque tous les appareils et services garantit que le courrier électronique sera avec nous pendant de nombreuses années.

Mais un e-mail sécurisé? L’essentiel est que le courrier électronique tel que nous le connaissons aujourd’hui n’a jamais été sécurisé, et la myriade de façons dont nous envoyons, recevons, stockons et utilisons les messages électroniques rend la sécurisation complète du courrier électronique un problème très difficile. Au mieux.

Nous pouvons inventer de nouveaux services de messagerie sécurisés qui pourraient remplacer le courrier électronique. C’est ce que Silent Circle a fait avec son service de communications cryptées, et c’est sans doute ce que BlackBerry a fait avec BBM et ce qu’Apple a peut-être fait avec iMessage. Néanmoins, ces services sont soumis à des demandes de divulgation de la part des gouvernements – bien que Silent Circle prenne la mesure intéressante de pouvoir répondre avec presque rien. Plus important encore, aucun n’a probablement la large omniprésence et la portée presque omniprésente du courrier électronique à tout moment à moyen ou même à long terme. Espérons que la difficulté n’empêchera pas les gens d’essayer – et le Mega de Kim Dotcom jette déjà son chapeau sur le ring.

Mais, dans un avenir prévisible, les internautes ne peuvent pas s’attendre à ce que le courrier électronique soit à l’abri des regards indiscrets ou de l’interception. Période.

Haut de la page image reproduite avec l’aimable autorisation de / 3dreams

Recommandations de la rédaction

  • Les meilleures applications de messagerie cryptées pour iOS et Android
  • Les meilleures offres VPN bon marché pour février 2021
  • Comment empêcher le suivi de vos e-mails et préserver votre vie privée
  • Comment protéger votre smartphone contre les pirates informatiques et les intrus
  • Comment changer votre mot de passe Outlook

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.