Microsoft vient d'indiquer qu'il allait proposer en 2014 une solution de chiffrement des échanges intégrée à son offre Office 365 pour les entreprises. Mais plutôt que de généraliser le support des certificats S/MIME ou PGP à ses services, l'éditeur préfère plutôt se concentrer sur une solution maison : Exchange Hosted Encryption. Votre Microsoft ID devient alors votre clef de sécurité. Rassurant, en plein scandale Prism ?
C'est dans un billet sur le blog d'Office que Microsoft vient d'indiquer sa volonté de généraliser la possibilité de chiffrer les échanges de ses clients à travers son offre Office 365, même à l'extérieur de leur entreprise. Le but ? Leur permettre d'envoyer en toute tranquilité des informations sensibles sans craindre une interception, un choix un peu opportuniste mais sans doute nécessaire en plein scandale Prism.
Office 365 mieux sécurisé, mais seulement si vous avez au moins une offre E3
Seront concernés ceux qui ont optés pour les services E3 et E4 de la société ou pour la solution Windows Azure Rights Management. Ils bénéficieront alors de la solution Exchange Hosted Encryption qui est détaillée par ici. Dommage pour les particuliers, donc, qui sont une fois de plus quasiment exclus de ce genre de programme.
Les offres Office 365 E3 et E4 : la sécurité dès 19 € par mois et par utilisateur
Mais les adeptes de sécurité peuvent facilement se demander de quoi il en retourne, et pour plusieurs raisons. En effet, n'importe quel utilisateur de n'importe quel service de messagerie peut déjà améliorer la sécurité de ses échanges par mails. La problématique de ce genre d'échange n'est en effet pas nouvelle et la comparaison du créateur de PGP « l'email est une carte postale » est bien connue. Il faut ainsi effectivement éviter d'envoyer des mots de passe, numéros de CB, et autres choses que l'on n'aimerait pas voir divulgués, par ce moyen de communication.
Chiffrer ses mails, c'est possible, mais les clients mail ne nous aident pas vraiment
En effet, bien que le support des échanges SSL entre le client et son serveur soit généralisé, chaque maillon de la chaîne entre l'expéditeur et le destinataire est une faille potentielle qui peut subir diverses attaques. Il existe donc depuis longtemps deux solutions majoritaires : l'une est dite centralisée, S/MIME, alors que l'autre se base sur le concept de toile de confiance : PGP, ou son implémentation libre GPG.
Une interview de Philippe Zimmermann, créateur de PGP, dans le cadre du documentaire Une Contre Histoire des Internets
Chacune dispose de ses avantages et de ses inconvénients, et nous n'allons pas ici rentrer dans l'habituelle bataille de chapelles. Car dans les deux cas, le principe de base est le même : on utiliser un chiffrement asymétrique pour que l'expéditeur puisse certifier qu'il est bien à l'origine d'un message (et dire que l'on en est toujours à se demander comment lutter contre le spam) ou le chiffrer de manière à ne le rendre lisible qu'à son seul destinataire. Dans les deux cas, la clef publique ou privée de ce dernier servira à s'assurer de la validité des informations transmises.
Le client Outlook supporte le chiffrement S/MIME, courant en entreprise, mais pas PGP. C'est d'ailleurs aussi le cas de nombreux appareils mobiles via leur client mail natif comme celui d'iOS, de BlackBerry 10 pour les utilisateurs de la fonction Balance, et d'Android dans certains cas (Samsung le proposant par défaut par exemple, mais pas Google).
Les solutions plus grand public comme Courrier de Windows 8/8.1 ou les webmails sont par contre le plus souvent exclus de ce support, empêchant leurs utilisateurs de pouvoir profiter de cette sécurité supplémentaire, qui devrait pourtant être un minimum vu les problèmes actuellement soulevés par les questions de surveillance. Il faut alors se tourner vers des outils comme Enigmail (dérivé de Thunderbird) ou Claws Mail, qui est livré par défaut avec GPG4Win.
Le chiffrement par Office 365 : systématique, mais passant par un Microsoft ID
Mais au final, que propose la solution de Microsoft ? Si l'on étudie le fonctionnement détaillé par la société, il sera possible pour les administrateurs de comptes Office 365 de modifier les paramètres de sécurités des échanges par mails afin d'activer ou de désactiver le chiffrement des messages. Cela pourra se faire simplement via une interface web ou une commande PowerShell.
Une fois ceci effectué, tous les emails envoyés seront chiffrés et apparaîtront à ceux qui les reçoivent sous la forme d'une page web. Pour les lire, il faudra se connecter à un compte Microsoft, ou à un compte Office, qui permettra de vérifier l'identité du récepteur :
L'avantage, c'est que c'est simple et que cela fonctionnera avec n'importe quelle interface ou client mail. Le problème ? Il est double. D'une part, il faudra que le récepteur dispose d'un compte compatible. D'autre part, cela laisse tout le champ nécessaire à la société de Redmond pour s'octroyer le droit de rendre vos messages accessibles à un tiers sans votre accord, puisqu'elle est seule à contrôler le chiffrement des échanges.
L'utilisateur ne pourra en effet pas imposer l'utilisation de son propre mot de passe, pas plus que l'administrateur. Bref, Microsoft a la main sur cette solution et il faudra accepter de lui faire confiance en l'utilisant. Pas sûr que tout le monde soit convaincu à l'heure de Prism.
S/MIME bientôt généralisé, l'arrivée d'EHE ne devrait pas changer la donne
L'idée de départ, simplifier et généraliser le chiffrement des échanges par mail, est pourtant bonne, mais il faudrait réellement que chacun puisse rajouter sa touche de sécurité pour rendre l'ensemble réellement attractif. Microsoft ne devrait pas déployer sa solution avant l'année prochaine, et on peut espérer que des modifications seront apportées d'ici là. Dans tous les cas, cela lui donnera un argument supplémentaire pour proposer ses solutions E3 / E4 à de petites entreprises en recherche de sécurité, et qui pourraient bien être faciles à convaincre, surtout si elles ne cherchent pas trop loin.
Quoi qu'il en soit, la société avait annoncée en octobre dernier vouloir généraliser le support de S/MIME à l'ensemble de ses outils Office 365 pendant le premier trimestre 2014, entre autres améliorations sur le terrain de la sécurité. Un point qui nous semble un peu plus intéressant, mais qui n'empêchera pas ceux qui veulent vraiment éviter toute dépendance de Microsoft d'opter pour une bonne vieille paire de clefs via GnuPG et Claws Mail, par exemple.
