Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Gmail : bientôt des alertes pour les messages reçus via une connexion sans chiffrement

SSLStrip poker
Internet 3 min
Gmail : bientôt des alertes pour les messages reçus via une connexion sans chiffrement
Crédits : Vertigo3d/iStock

Google publie une étude effectuée en collaboration avec deux universités américaines. Le résultat : une partie du Net « empêche activement » l'usage du chiffrement pour les emails. Pour protéger ses utilisateurs, le groupe compte bientôt avertir les utilisateurs de Gmail quand un message a transité par une zone non-protégée.

Le chiffrement est l'un des chevaux de bataille de Google, qu'on se le dise. Jeudi, le groupe a publié les résultats d'une étude pluriannuelle sur la sécurité des emails, menée avec les universités du Michigan et de l'Illinois. Cette étude a observé l'évolution de la sécurité des échanges entre les services de messagerie, depuis 2013. Le résultat : une forte augmentation de la sécurité des emails pendant leur livraison, même si tout n'est pas rose.

« Pourtant, la majorité de cette progression peut être attribuée à une poignée de grands fournisseurs, quand beaucoup de plus petites organisations trainent à la fois sur le déploiement et sur la configuration » de ces technologies, explique l'étude dans sa conclusion. Aussi, elle note que, comme le protocole n'a pas été initialement développé pour la sécurité, les serveurs privilégieront l'arrivée d'un message à son destinataire au chiffrement de son transport.

De nouveaux défis pour les services d'emails

Surtout, l'étude identifie plusieurs défis pour les services de courriels, qui n'étonneront qu'à moitié. « Nous avons trouvé des régions d'Internet qui empêchent activement le chiffrement des messages, en interférant avec les requêtes qui initient les connexions SSL » explique Google. Le groupe travaille avec l'association M3AAWG, qui comprend entre autres des fournisseurs de services (dont les GAFA) et des opérateurs (AT&T ou Orange), pour activer le chiffrement dans plus de cas (via le chiffrement opportuniste).

Gmail Google sécurité emails
Crédits : Google

Une autre menace identifiée est l'existence de serveurs DNS menteurs, qui redirigent les emails destinés à Gmail vers un autre site, qui peut le renvoyer vers Gmail après l'avoir consulté. « Même si ce type d'attaque est rare, il est inquiétant qu'elles puissent permettre à des attaquants de censurer ou altérer des messages avant qu'ils ne soient relayés au destinataire » affirme le groupe. Selon l'étude, jusqu'à 20 % des messages reçus par Gmail dans certains pays sont concernés par du man-in-the-middle, c'est-à-dire leur interception et déchiffrement en chemin.

Dans les prochains mois, des alertes en cas de déchiffrement

Pour aider les utilisateurs à se protéger de ces attaques, Google développe en ce moment des alertes qui préviendront l'utilisateur quand un message est reçu par une connexion non-chiffrée. Cette fonction devrait arriver dans les prochains mois, selon le groupe.

Cette mesure viendra s'ajouter à toute une série d'autres prises ces dernières années. Parmi elles, on peut noter l'extension End-to-End pour Chrome, qui permet d'utiliser OpenPGP directement depuis le navigateur, même si elle ne change pas grand-chose à la situation. De son côté, Gmail alerte depuis juin 2012 s'il détecte une attaque potentiellement « soutenue par un État » sur le compte ou le PC de l'utilisateur. Enfin, le groupe propose des données sur la sécurité des emails échangés avec Gmail, dans le cadre de son Transparency Report.

19 commentaires
Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 16/11/15 à 16:13:59

Une autre menace identifiée est l'existence de serveurs DNS menteurs, qui redirigent les emails destinés à Gmail vers un autre site, qui peut le renvoyer vers Gmail après l'avoir consulté. « Même si ce type d'attaque est rare, il est inquiétant qu'elles puissent permettre à des attaquants de censurer ou altérer des messages avant qu'ils ne soient relayés au destinataire » affirme le groupe. Selon l'étude, jusqu'à 20 % des messages reçus par Gmail dans certains pays sont concernés par du man-in-the-middle, c'est-à-dire leur interception et déchiffrement en chemin.

Rare = 20%

On n'a pas la même définition de "rare" :transpi:

Avatar de Aznox INpactien
Avatar de AznoxAznox- 16/11/15 à 16:17:12

Attention à bien distinguer
- chiffrement des emails pendant leur transit (les différents relais SMTP communiquent en TLS pour éviter que quelqu'un ayant accès aux tuyaux puisse lire les mails qui vont de gmail à hotmail par exemple)

  • chiffrement du contenus des emails (pour que quelqu'un qui arrive à se connecter à votre compte ou même le fournisseur Microsoft/Google ne puisse pas les lire sans votre clef privée)

  • chiffrement de la connexion au service en ligne (accès au webmail en https) là encore pour éviter l'écoute pendant le trajet Cloud/Maison.

    n°3 est la norme depuis longtemps, n°1 aussi même si Google va gronder les retardataires (objet de l'article je crois) et n°2 a encore beaucoup de chemin à parcourir avant démocratisation. 

Édité par Aznox le 16/11/2015 à 16:18
Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 16/11/15 à 16:18:02

20% dans certain pays. pas au niveau mondial

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 16/11/15 à 16:19:59

geekounet85 a écrit :

20% dans certain pays. pas au niveau mondial

Ca ne change rien ^^
Rare c'est de temps en temps. Pour arriver à du 20% c'est que c'est relativement courant déjà, ce n'est plus "rare".

Avatar de Gab& INpactien
Avatar de Gab&Gab&- 16/11/15 à 16:30:47

Faudrait faire un sondage pour définir quel est le pourcentage correspondant à rare. Pour moi c'est moins de 1%

Avatar de Z-os INpactien
Avatar de Z-osZ-os- 16/11/15 à 16:41:06

Le ratio 80 - 20 , c'est la loi de Pareto. Logique :francais:

Avatar de seerom INpactien
Avatar de seeromseerom- 16/11/15 à 16:47:58

Aznox a écrit :

Attention à bien distinguer
- chiffrement des emails pendant leur transit (les différents relais SMTP communiquent en TLS pour éviter que quelqu'un ayant accès aux tuyaux puisse lire les mails qui vont de gmail à hotmail par exemple)

  • chiffrement du contenus des emails (pour que quelqu'un qui arrive à se connecter à votre compte ou même le fournisseur Microsoft/Google ne puisse pas les lire sans votre clef privée)

  • chiffrement de la connexion au service en ligne (accès au webmail en https) là encore pour éviter l'écoute pendant le trajet Cloud/Maison.

    n°3 est la norme depuis longtemps, n°1 aussi même si Google va gronder les retardataires (objet de l'article je crois) et n°2 a encore beaucoup de chemin à parcourir avant démocratisation. 

Les clients email mal configurés (outlook, thunderbird,...) qui se connectent sans couche SSL font de n°3 une norme pas respectée à 100%.

Avatar de Picos INpactien
Avatar de PicosPicos- 16/11/15 à 16:49:30

Aznox a écrit :

Attention à bien distinguer
- chiffrement des emails pendant leur transit (les différents relais SMTP communiquent en TLS pour éviter que quelqu'un ayant accès aux tuyaux puisse lire les mails qui vont de gmail à hotmail par exemple)

  • chiffrement du contenus des emails (pour que quelqu'un qui arrive à se connecter à votre compte ou même le fournisseur Microsoft/Google ne puisse pas les lire sans votre clef privée)

  • chiffrement de la connexion au service en ligne (accès au webmail en https) là encore pour éviter l'écoute pendant le trajet Cloud/Maison.

    n°3 est la norme depuis longtemps, n°1 aussi même si Google va gronder les retardataires (objet de l'article je crois) et n°2 a encore beaucoup de chemin à parcourir avant démocratisation.

Est-ce que ces 20% ne prennent pas en compte également les superbes boîtiers que bon nombre d'entreprises aime s'ajouter jouer l’intermédiaire entre toi et le boîtier et le boîtier et le service en ligne.
Genre les boitiers BlueCoat qui donne un accès HTTPS vers le boitier sur un certificat interne et qui fait lui la transision avec le service externe avec le bon certificat.
Ce qui fait que pour discuter avec ta banque, tu discutes avec le boitier en HTTPS mais avec un certif interne jusqu'au boitier puis le boitier avec la banque avec le certif de la banque.

T'as bien un Man-in-the-middle dans ce cas là et beaucoup de boite française l'utilise. Du coup, ca pourrait rentrer dans les 20%, non ?

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 16/11/15 à 17:01:19

Dans les 20% je pense que c'est plutôt à des fins de surveillance, censure et altération.

Le cas des pare-feu / proxy à déchiffrement "interne" c'est pour de l'analyse antivirus, filtrage de contenu (accès à des sites de cannailliou), détection de documents privés, mais franchement rarement pour "lire" humainement ce qui passe dedans.

D'ailleurs, je vends une solution de ce type et il n'y a pas d'accès "utilisateur" au contenu déchiffré puis chiffré.

Avatar de Picos INpactien
Avatar de PicosPicos- 16/11/15 à 17:07:04

Certes mais ça fait peut être sonner l'alarme de Google tout de même.
Même si tu ne lis pas le contenu, c'est possible et donc ça rentre quand même dans ce cas pour ma part.

C'est tout de même limite comme solution car de mémoire, déchiffrer une communication chiffrée avec une banque est condamnable.

J'ai jamais aimé ce principe. Réécrire mon certificat me donne envie de brûler l'admin sys.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2