Le courrier électronique est le moyen de communication le plus répandu sur Internet – peut-être même sur la planète. Il est intégré à presque tout, des téléphones et tablettes aux ordinateurs traditionnels en passant par les appareils de jeu – même les appareils électroménagers et les voitures connectés peuvent envoyer du courrier électronique. Plus important encore, être « sur Internet », c’est avoir une adresse e-mail (ou des dizaines); ce sont nos identifiants, la façon dont nous nous inscrivons, la façon dont nous recevons des notifications et parfois même communiquons les uns avec les autres. Le courrier électronique est la « application phare » originale.
Mais le courrier électronique n'a pas été conçu avec n'importe lequel en gardant à l’esprit la confidentialité ou la sécurité. De nombreux efforts ont été déployés pour rendre le courrier électronique plus sécurisé, mais la récente fermeture de services de courrier électronique sécurisés très vantés tels que Lavabit (apparemment utilisé par Edward Snowden, le fuyard de la NSA) et
Cercle silencieux à la suite des programmes de surveillance gouvernementaux mettent en évidence les difficultés. Le manque de sécurité de la messagerie entraîne également des dommages collatéraux surprenants, comme la fermeture annoncée du blog respecté sur les logiciels et le droit. GrokLoi.Vidéos recommandées
La sécurité des e-mails est-elle désespérée? Sommes-nous à la veille de la fin de l’application tueuse d’Internet ?
Pourquoi la messagerie électronique n'est-elle pas sécurisée ?
Le courrier électronique n’est pas sécurisé car il n’a jamais été conçu pour être au centre de nos vies numériques. Il a été développé à une époque où Internet était un espace beaucoup plus petit pour normaliser la messagerie simple de type "store-and-forward" entre des personnes utilisant différents types d'ordinateurs. Les e-mails étaient entièrement transférés à l’air libre – tout était lisible par quiconque pouvait surveiller le trafic réseau ou accéder aux comptes (à l’origine, même les mots de passe n’étaient pas cryptés). Étonnamment, les e-mails envoyés à l’aide de ces méthodes largement ouvertes fonctionnent toujours (pour la plupart).
Aujourd’hui, il existe quatre endroits fondamentaux où les e-mails de la plupart des gens peuvent être compromis :
- Sur votre (vos) appareil(s)
- Sur les réseaux
- Sur le(s) serveur(s)
- Sur le ou les appareils de votre destinataire
Les premier et dernier endroits – les appareils – sont faciles à comprendre. Si quelqu'un peut s'asseoir devant votre ordinateur, saisir votre téléphone ou parcourir votre tablette, il y a de fortes chances que votre e-mail soit là pour qu'il puisse le lire - Vous faire utilisez un écran de verrouillage ou un mot de passe sur vos appareils, n'est-ce pas? Il en va de même pour les appareils de vos destinataires. Mais même les mots de passe et les écrans de verrouillage ne sont parfois pas d’une grande aide. Même si quelques programmes de messagerie chiffrent les messages électroniques qu’ils stockent sur l’appareil, la plupart ne le font pas. Cela signifie que toute personne (ou n’importe quel programme) pouvant accéder au stockage interne de l’appareil peut probablement également lire les e-mails et accéder aux pièces jointes. Cela semble tiré par les cheveux? Il n’est pas nécessaire que ce soit une personne; fouiller dans les e-mails est l’une des activités les plus courantes des logiciels malveillants.
Les réseaux sont un peu plus difficiles à comprendre et couvrent trois liens de base :
- Votre connexion à votre fournisseur de messagerie (que ce soit votre FAI, Google, Outlook, Yahoo, Apple ou quelqu'un d'autre)
- Toutes les connexions réseau entre votre fournisseur de messagerie et votre destinataire
- La connexion réseau de votre destinataire à son fournisseur de messagerie.
Si vous envoyez un e-mail à quelqu'un sur le même service que vous utilisez (par exemple Outlook.com), vous disposez au moins du premier et du troisièmes vulnérabilités potentielles du réseau: votre connexion à Outlook.com et la connexion de votre destinataire à Outlook.com. Si l'e-mail de votre destinataire se trouve ailleurs (par exemple, une entreprise ou une école), alors vous en avez au moins un de plus: la connexion entre Outlook.com et le fournisseur de messagerie de votre destinataire. La réalité de la topographie du réseau signifie que chacune de ces connexions implique une série de routeurs et de commutateurs (peut-être une douzaine ou plus), probablement détenus et exploités par différentes entités. Si une connexion est sécurisée, rien ne garantit autre la connexion dans la séquence est sécurisée. Et si vous êtes préoccupé par des choses comme le programme de surveillance PRISM de la NSA, il semble jusqu’à présent qu’une partie de cela se produise au niveau de ces points de réseau provisoires.
L'e-mail n'a pas été conçu avec n'importe lequel en gardant à l’esprit la confidentialité ou la sécurité.
Les serveurs sont les machines de votre fournisseur de messagerie ou de votre FAI qui stockent physiquement votre courrier électronique. Si quelqu’un déchiffre (ou devine ou vole) votre mot de passe de messagerie, il n’a probablement pas besoin de vos appareils; ils peuvent se connecter directement à votre fournisseur de messagerie et lire tous les e-mails qui y sont stockés. Cela peut ne représenter que quelques messages, mais cela peut représenter des semaines, des mois ou des années de courrier électronique, y compris au moins certains messages que vous avez supprimés. Mais ce n’est pas le seul risque. La plupart des services de messagerie stockent vos messages sous forme de texte brut. Ainsi, tout attaquant pouvant accéder à ces serveurs (par exemple, via une faille de sécurité ou en volant un mot de passe administrateur) peut facilement accéder à tous les e-mails et pièces jointes stockés. Pourquoi les fournisseurs ne protègent-ils pas les e-mails stockés? En partie à cause de la surcharge que cela créerait, mais le stockage des e-mails non chiffrés permet aux utilisateurs de rechercher leurs messages (vous aimez rechercher votre courrier électronique, n'est-ce pas ?) et permet à des services comme Gmail d'analyser automatiquement le courrier à la recherche de mots-clés pour vendre de la publicité (et vous aimez la publicité, droite?).
Le cryptage à la rescousse !
La meilleure façon de protéger les communications est de les chiffrer: en gros, en brouillant les données avec des moyens complexes. transformations mathématiques afin que ce ne soit intelligible qu'en utilisant le bon mot de passe ou d'autres informations d'identification. Une forme courante de cryptage est la cryptographie à clé publique, dans laquelle des personnes (ou des FAI ou des entreprises) donnent une clé publique que tout le monde peut utiliser. utilisé pour brouiller les données qui leur sont destinées, mais ne peut être décodé qu'à l'aide d'une clé privée que la personne (ou le FAI ou l'entreprise) conserve secrète.
La cryptographie à clé publique constitue la base de deux méthodes principales pour protéger le courrier électronique :
- Cryptage des messages
- Cryptage des connexions réseau
Cryptage des messages
L'idée derrière les messages cryptés est simple: au lieu d'envoyer du texte brut que tout le monde peut lire, vous envoyez du charabia brouillé que seul le destinataire prévu peut lire. Les outils courants pour chiffrer les e-mails incluent PGP (maintenant un produit commercial de Symantec) et de nombreuses applications et outils grand public prenant en charge l'OpenGPG open source et S/MIME.
Le chiffrement des messages est une idée simple, mais cette approche présente des avantages et des inconvénients. Du côté positif, les messages chiffrés sont protégés sur les réseaux et les serveurs, même s’ils sont compromis ou stockent les messages sous forme de texte brut. (Cependant, le gobbledegook pourrait inciter Gmail à diffuser des publicités étranges !) Le message est probablement également crypté. sur votre appareil et sur les appareils de votre destinataire (jusqu'à ce qu'ils le décodent), ce qui offre une protection supplémentaire. Tout va bien.
Maintenant les inconvénients. Le chiffrement des messages individuels est pénible. Vous devez avoir la clé publique de tout le monde avec qui vous souhaitez communiquer en toute sécurité. Pour une ou deux personnes, ce n’est pas mal, mais la plupart des gens ont des dizaines (voire des centaines) de contacts. Les rendre tous opérationnels avec la cryptographie à clé publique ne sera pas facile.
De plus, tous ceux qui souhaitent envoyer toi la messagerie sécurisée a besoin de votre clé publique! Vous pouvez le leur envoyer par e-mail… mais cela ne sera pas crypté donc ce n’est pas sécurisé. Idem avec un article de blog ou une page Facebook ou des services de serveur de clés ou tout autre canal non sécurisé. La seule façon vraiment sûre d'échanger des clés publiques est en face-à-face ou par tout autre moyen. vraiment assurez-vous que vous obtenez la bonne clé de la bonne personne. Cela peut être extrêmement peu pratique. Certaines personnes qui vous envoient des e-mails sensibles, comme les banques, les sociétés émettrices de cartes de crédit, les hôpitaux, les écoles ou la clinique de fertilité locale – n’utilisera probablement pas (ou ne saura pas comment) votre clé publique même si elle l’avait il. En fin de compte, peu de vos messages électroniques seront chiffrés, le chiffrement des messages n’est donc pas une solution générale pour sécuriser le courrier électronique.
Mais attendez! Le chiffrement des messages présente d’autres inconvénients. Seul le message Contenu (et les pièces jointes, le cas échéant) sont brouillées. Les informations d’en-tête (y compris votre adresse, l’adresse du destinataire, l’objet, la date, etc.) sont toujours du texte brut que tout le monde peut lire. Ces informations ne sont peut-être que des métadonnées, mais au fil du temps, elles peuvent dresser un tableau étonnamment détaillé de vos activités en ligne. (Juste demande à la NSA!) Vous voulez un autre inconvénient? Essayez de vous connecter à votre messagerie Web et de rechercher dans le courrier crypté un numéro de téléphone ou une adresse.
Cryptage des connexions
Les problèmes liés aux messages cryptés signifient que l'accent a été mis en grande partie sur la sécurisation des e-mails sur le cryptage des connexions réseau. L'idée de base est la même que celle d'utiliser un site Web sécurisé comme votre banque ou Amazon.com. Lorsque vous vous connectez à votre fournisseur de messagerie, votre logiciel utilise Transport Layer Security (TLS, encore mieux connu sous le nom de SSL) pour crypter la connexion entre votre appareil et le service. Il s'occupe même de l'échange des clés: la plupart des appareils sont aujourd'hui préinstallés avec des clés pour les autorités de certification, où elles peuvent être téléchargées. des clés authentifiées pour les sites et services sans déranger les utilisateurs: pas de problème, pas de problème, pas de vol vers l'Australie pour échanger des clés publiques avec quelqu'un. La technologie de base fonctionne pour le commerce électronique depuis près de deux décennies.
Ces informations ne sont peut-être que des métadonnées, mais au fil du temps, elles peuvent dresser un tableau étonnamment détaillé de vos activités en ligne.
Le cryptage de la connexion entre vous et votre fournisseur de messagerie signifie que personne sur le réseau intermédiaire ne peut voir les e-mails que vous envoyez ou recevez: c'est du charabia. Cela vous protège des intrusions sur le réseau Wi-Fi local et même des écoutes secrètes du gouvernement dans un centre de données quelque part en cours de route.
Cependant, une fois que le message parvient à votre fournisseur de messagerie, tous les paris sont levés. La plupart du temps, votre fournisseur de messagerie stocke les données du message sous forme de texte brut (voir ci-dessus), bien qu'il existe des exceptions comme celle du Canada. Silence. Et si votre destinataire utilise un autre fournisseur de messagerie ou FAI, votre message pourrait lui être (et est probablement !) transmis sur Internet sous forme de courrier électronique en texte brut à l'ancienne. Un nombre croissant de services de messagerie utilisent TLS pour chiffrer les connexions entre eux, mais le vaste La majorité des serveurs de messagerie dans le monde échangent encore des messages sans cryptage – et vous n’avez aucun moyen de le savoir. De plus, on ne sait pas si votre destinataire utilisera une connexion protégée pour recevoir ou répondre à votre e-mail. Vous auriez peut-être protégé toi-même du piratage du réseau Wi-Fi public, mais votre médecin ou votre comptable l'a-t-il fait? Peut être pas.
Le courrier électronique est-il condamné ?
Le courrier électronique ne disparaîtra pas de sitôt. C’est beaucoup trop utile, et son statut quasi universel sur presque tous les appareils et services garantit que le courrier électronique sera avec nous pendant de nombreuses années.
Mais sécurisé e-mail? L'essentiel est que le courrier électronique tel que nous le connaissons aujourd'hui a jamais été sécurisé, et la myriade de façons dont nous envoyons, recevons, stockons et utilisons les messages électroniques font de la sécurisation totale du courrier électronique un très problème difficile. Au mieux.
Nous pouvons inventer de nouveaux services de messagerie sécurisés qui pourraient remplacer le courrier électronique. C'est ce que Cercle silencieux a fait avec son service de communications cryptées, et c'est sans doute ce que BlackBerry a fait avec BBM et ce qu'Apple a peut-être fait avec iMessage. Néanmoins, ces services sont soumis à des demandes de divulgation de la part des gouvernements – même si Silent Circle prend la mesure intéressante de pouvoir répondre avec presque rien. Plus important encore, aucun n’est susceptible d’avoir une omniprésence aussi large et une portée presque omniprésente que le courrier électronique à un moment donné à moyen ou même à long terme. Espérons que la difficulté n’empêchera pas les gens d’essayer – et le Mega de Kim Dotcom l’est déjà jeter son chapeau sur le ring.
Mais, dans un avenir prévisible, les utilisateurs d’Internet ne peuvent pas s’attendre à ce que leurs courriers électroniques soient protégés des regards indiscrets ou des interceptions. Période.
Image du haut, gracieuseté de Shutterstock/3rêves
