Google continue de renforcer ses alertes pour les éléments non sécurisés. Cette fois, c'est pour les emails échangés avec des personnes dont le service n'utilise pas TLS, ou dont l'expéditeur ne peut pas être identifié par SPF/DKIM. Tout un programme.
En plein #SaferInternetDay, Google a décidé de mettre en place une nouvelle fonctionnalité au sein de Gmail. En effet, depuis longtemps, la société est engagée pour tout ce qui touche à l'échange chiffré par TLS des emails entre serveurs, qu'il ne faut pas confondre avec le chiffrement du contenu du message (qui n'est pas vraiment la priorité de Google).
Elle avait mis en place une section dans son Transparency report évoquant ce point de manière détaillée, afin notamment de mettre en avant les bons et mauvais élèves.
Services qui n'utilisent pas TLS : un cadenas rouge sera affiché
Désormais, cette information sera un peu plus visible, comme annoncé il y a quelques semaines. En effet, si vous recevez ou que vous envoyez un message à un tiers qui utilise un service qui transmet les emails de manière non chiffrée, une icône apparaîtra sous la forme d'un cadenas rouge ouvert. Une manière de vous rappeler que ce n'est pas parce que vous demandez le chiffrement de l'échange qu'il est utilisé et que tous les serveurs n'utilisent pas encore TLS.
SPF/DKIM sur le devant de la scène avec un avatar mystère
De la même manière, si un email est envoyé par un compte qui ne peut pas être authentifié, un avatar sous la forme d'un point d'interrogation rouge sera affiché. Là aussi il faut rappeler qu'envoyer un email depuis n'importe quelle adresse est chose aisée.
Depuis quelques années, des normes comme SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) permettent d'associer un nom de domaine à une adresse d'expéditeur afin de s'assurer de leur validité et ainsi lutter contre le spam. En leur absence, il vous sera donc signalé par cette icône qu'il faut faire attention au contenu de l'email.
Comme le dit Google, ces indicateurs ne signifient pas que les emails concernés sont dangereux, mais qu'il faut se méfier. C'est aussi sans doute une manière de forcer à une utilisation plus massive de ces normes, un peu à la manière du référencement favorisé des sites HTTPS ou la volonté de considéré à terme les sites se limitant à HTTP comme des sources non sécurisées.
Reste que Google avait annoncé il y a près de deux ans des solutions pour mettre en place un chiffrement du contenu des emails, en complément de l'échange entre serveurs. Le projet semble aujourd'hui abandonné, ce que l'on ne peut que regretter. Les engagements d'une société comme Google pour la sécurité ne pouvant simplement s'arrêter là où l'examen du contenu de nos emails s'avère nécessaire pour son modèle économique publicitaire.
