Les courriels et la sécurité : quelques notions à savoir

July 4, 2013 · 811 words · 4 minutes read · Information Security

This post was published when this blog was only in French. At the moment, there is no translation available for this post.

Que ce soit dans nos vies personnelles ou professionnelles, la gestion des courriels est bien souvent un des premiers services maitrisés sur un ordinateur. Malgré tout, peu de personnes prennent le temps d’analyser le chemin parcouru par un message de l’expéditeur jusqu’au destinataire. Il est important de porter une attention particulière aux informations transmises par courrier électronique et d’évaluer les risques d’utiliser cette méthode de communication lors de certaines situations. Plusieurs utilisateurs pourraient être étonnés de constater que la transmission des courriels n’est aucunement sécurisée; le contenu brut des courriels est disponible à une tierce partie à un moment ou un autre. Toutefois, j’ai souvent l’occasion d’être témoin de l’utilisation téméraire de certains utilisateurs qui indiquent des numéros de carte de crédit, numéros d’assurance sociale, informations bancaires, etc.

En version simplifiée, il est possible de déterminer 3 étapes lors de la transmission d’un courriel:

De votre ordinateur au serveur de courriels

Vous aimez travailler dans un café, bibliothèque ou à l’université? Les informations transmises sur un réseau public vous permettant d’accéder à Internet sont vulnérables et pourraient être facilement interceptées si vous ne prenez pas les précautions nécessaires. En fait, il est tout simplement très important d’utiliser le protocole TLS/SSL avec toutes les connexions vers un serveur; TLS/SSL permet d’obtenir une connexion sécurisée entre votre ordinateur et le serveur de courriels. Vous utilisez déjà ce protocole au quotidien; c’est le fameux HTTPS que vous utilisez pour vous connecter à plusieurs sites, dont celui-ci. Les services populaires tels que Gmail, Outlook ou Yahoo offrent déjà depuis plusieurs années la possibilité d’utiliser une connexion sécurisée pour consulter vos courriels en ligne. Toutefois, cette option n’est pas toujours activée par défaut et vous devez vérifier vos paramètres; vous pouvez aussi essayer tout simplement d’ajouter le HTTPS. Si vous utilisez toujours un logiciel de courriels tels que Thunderbird ou Outlook pour récupérer vos courriels, vous n’êtes pas forcément protégés. Ces logiciels doivent également se connecter à un serveur de courriels pour récupérer et/ou recevoir vos messages. D’autres protocoles sont utilisés (IMAP/POP3/SMTP), mais il est tout aussi important d’utiliser une connexion sécurisée avec TLS/SSL. Il ne faut pas oublier que TLS/SSL ne permet aucunement le cryptage de vos messages jusqu’à votre destinataire, mais bien seulement une connexion sécurisée entre votre ordinateur et votre serveur. Advenant le cas où vous avez accès à un VPN, c’est bien sûr la meilleure des solutions pour sécuriser l’échange de vos données de votre ordinateur à un serveur externe via un réseau public, mais un peu plus compliqué.

Transmission de votre courriel entre serveurs

Votre message sera transmis directement sur Internet et sera traité par plusieurs réseaux, serveurs, routeurs, fournisseurs d’accès Internet, etc. avant d’arriver au serveur de courriels de votre destinataire. Il est tout de même moins évident d’intercepter un courriel sur le grand réseau Internet, mais votre message pourrait très bien être redirigé vers un autre serveur en utilisant un des nombreux routeurs ou encore, peu importe les serveurs utilisés, un administrateur d’un de ces serveurs pourrait facilement récupérer les messages reçus et/ou envoyés. Également, lorsqu’il est question de l’interception de nos informations par plusieurs gouvernements, c’est justement lors de la transmission, par exemple, de vos messages entre serveurs directement sur Internet. Il ne faut pas oublier que le réseau Internet est immense et c’est une interconnexion de plusieurs réseaux qui permet à nos communications d’être partagées partout dans le monde en quelques secondes; plusieurs réseaux pour lesquels nous n’avons aucun contrôle.

Du serveur de destination vers l’ordinateur de votre destinataire

Malheureusement, ici, il est impossible de contrôler les actions de votre destinataire; celui-ci devrait également utiliser les bonnes pratiques de base avec TLS/SSL.

Pretty Good Privacy (PGP)

La seule et unique méthode pour vous assurer que vos courriels ne pourront pas être lus, même dans l’éventualité d’une interception, est l’utilisation d’une solution permettant le cryptage. Une possibilité est PGP, soit une technologie qui existe depuis plus de 20 ans et qui permet de crypter rapidement vos messages. PGP sera le sujet d’un prochain article, mais vous pouvez l’essayer facilement avec l’extension Chrome Mailvelope. Pour partager votre clé publique, je vous suggère d’utiliser le service PGPserver.com.

En résumé

Il ne faut pas devenir paranoïaque, mais il faut savoir partager l’information intelligemment par courriel et connaitre les risques. Personnellement, j’utilise toujours une connexion sécurisée sur un réseau local public et je n’envoie aucune information confidentielle ce qui correspond surement à au moins 90% de mes courriels. Pour l’autre 10%, j’utilise les possibilités de cryptage avec PGP lorsque possible ou j’utilise tout simplement un autre moyen de communication. Vous savez… les télécopieurs (les bons vieux “fax”) restent toujours populaires dans les entreprises et organisations financières; tout simplement parce que la transmission d’un fax est beaucoup plus sécuritaire qu’un courriel!