Google publie une étude effectuée en collaboration avec deux universités américaines. Le résultat : une partie du Net « empêche activement » l'usage du chiffrement pour les emails. Pour protéger ses utilisateurs, le groupe compte bientôt avertir les utilisateurs de Gmail quand un message a transité par une zone non-protégée.
Le chiffrement est l'un des chevaux de bataille de Google, qu'on se le dise. Jeudi, le groupe a publié les résultats d'une étude pluriannuelle sur la sécurité des emails, menée avec les universités du Michigan et de l'Illinois. Cette étude a observé l'évolution de la sécurité des échanges entre les services de messagerie, depuis 2013. Le résultat : une forte augmentation de la sécurité des emails pendant leur livraison, même si tout n'est pas rose.
« Pourtant, la majorité de cette progression peut être attribuée à une poignée de grands fournisseurs, quand beaucoup de plus petites organisations trainent à la fois sur le déploiement et sur la configuration » de ces technologies, explique l'étude dans sa conclusion. Aussi, elle note que, comme le protocole n'a pas été initialement développé pour la sécurité, les serveurs privilégieront l'arrivée d'un message à son destinataire au chiffrement de son transport.
De nouveaux défis pour les services d'emails
Surtout, l'étude identifie plusieurs défis pour les services de courriels, qui n'étonneront qu'à moitié. « Nous avons trouvé des régions d'Internet qui empêchent activement le chiffrement des messages, en interférant avec les requêtes qui initient les connexions SSL » explique Google. Le groupe travaille avec l'association M3AAWG, qui comprend entre autres des fournisseurs de services (dont les GAFA) et des opérateurs (AT&T ou Orange), pour activer le chiffrement dans plus de cas (via le chiffrement opportuniste).
Une autre menace identifiée est l'existence de serveurs DNS menteurs, qui redirigent les emails destinés à Gmail vers un autre site, qui peut le renvoyer vers Gmail après l'avoir consulté. « Même si ce type d'attaque est rare, il est inquiétant qu'elles puissent permettre à des attaquants de censurer ou altérer des messages avant qu'ils ne soient relayés au destinataire » affirme le groupe. Selon l'étude, jusqu'à 20 % des messages reçus par Gmail dans certains pays sont concernés par du man-in-the-middle, c'est-à-dire leur interception et déchiffrement en chemin.
Dans les prochains mois, des alertes en cas de déchiffrement
Pour aider les utilisateurs à se protéger de ces attaques, Google développe en ce moment des alertes qui préviendront l'utilisateur quand un message est reçu par une connexion non-chiffrée. Cette fonction devrait arriver dans les prochains mois, selon le groupe.
Cette mesure viendra s'ajouter à toute une série d'autres prises ces dernières années. Parmi elles, on peut noter l'extension End-to-End pour Chrome, qui permet d'utiliser OpenPGP directement depuis le navigateur, même si elle ne change pas grand-chose à la situation. De son côté, Gmail alerte depuis juin 2012 s'il détecte une attaque potentiellement « soutenue par un État » sur le compte ou le PC de l'utilisateur. Enfin, le groupe propose des données sur la sécurité des emails échangés avec Gmail, dans le cadre de son Transparency Report.
