Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Office 365 : Microsoft veut généraliser le chiffrement des mails, à sa sauce

Ayez confiannnnnnce

Microsoft vient d'indiquer qu'il allait proposer en 2014 une solution de chiffrement des échanges intégrée à son offre Office 365 pour les entreprises. Mais plutôt que de généraliser le support des certificats S/MIME ou PGP à ses services, l'éditeur préfère plutôt se concentrer sur une solution maison : Exchange Hosted Encryption. Votre Microsoft ID devient alors votre clef de sécurité. Rassurant, en plein scandale Prism ?

C'est dans un billet sur le blog d'Office que Microsoft vient d'indiquer sa volonté de généraliser la possibilité de chiffrer les échanges de ses clients à travers son offre Office 365, même à l'extérieur de leur entreprise. Le but ? Leur permettre d'envoyer en toute tranquilité des informations sensibles sans craindre une interception, un choix un peu opportuniste mais sans doute nécessaire en plein scandale Prism.

Office 365 mieux sécurisé, mais seulement si vous avez au moins une offre E3

Seront concernés ceux qui ont optés pour les services E3 et E4 de la société ou pour la solution Windows Azure Rights Management. Ils bénéficieront alors de la solution Exchange Hosted Encryption qui est détaillée par ici. Dommage pour les particuliers, donc, qui sont une fois de plus quasiment exclus de ce genre de programme.

 

Office 365 Plans Tarifs

Les offres Office 365 E3 et E4 : la sécurité dès 19 € par mois et par utilisateur

 

Mais les adeptes de sécurité peuvent facilement se demander de quoi il en retourne, et pour plusieurs raisons. En effet, n'importe quel utilisateur de n'importe quel service de messagerie peut déjà améliorer la sécurité de ses échanges par mails. La problématique de ce genre d'échange n'est en effet pas nouvelle et la comparaison du créateur de PGP « l'email est une carte postale » est bien connue. Il faut ainsi effectivement éviter d'envoyer des mots de passe, numéros de CB, et autres choses que l'on n'aimerait pas voir divulgués, par ce moyen de communication.

Chiffrer ses mails, c'est possible, mais les clients mail ne nous aident pas vraiment

En effet, bien que le support des échanges SSL entre le client et son serveur soit généralisé, chaque maillon de la chaîne entre l'expéditeur et le destinataire est une faille potentielle qui peut subir diverses attaques. Il existe donc depuis longtemps deux solutions majoritaires : l'une est dite centralisée, S/MIME, alors que l'autre se base sur le concept de toile de confiance : PGP, ou son implémentation libre GPG.

 

Une interview de  Philippe Zimmermann, créateur de PGP, dans le cadre du documentaire Une Contre Histoire des Internets

 

Chacune dispose de ses avantages et de ses inconvénients, et nous n'allons pas ici rentrer dans l'habituelle bataille de chapelles. Car dans les deux cas, le principe de base est le même : on utiliser un chiffrement asymétrique pour que l'expéditeur puisse certifier qu'il est bien à l'origine d'un message (et dire que l'on en est toujours à se demander comment lutter contre le spam) ou le chiffrer de manière à ne le rendre lisible qu'à son seul destinataire. Dans les deux cas, la clef publique ou privée de ce dernier servira à s'assurer de la validité des informations transmises.

 

Le client Outlook supporte le chiffrement S/MIME, courant en entreprise, mais pas PGP. C'est d'ailleurs aussi le cas de nombreux appareils mobiles via leur client mail natif comme celui d'iOS, de BlackBerry 10 pour les utilisateurs de la fonction Balance, et d'Android dans certains cas (Samsung le proposant par défaut par exemple, mais pas Google).

 

Les solutions plus grand public comme Courrier de Windows 8/8.1 ou les webmails sont par contre le plus souvent exclus de ce support, empêchant leurs utilisateurs de pouvoir profiter de cette sécurité supplémentaire, qui devrait pourtant être un minimum vu les problèmes actuellement soulevés par les questions de surveillance. Il faut alors se tourner vers des outils comme Enigmail (dérivé de Thunderbird) ou Claws Mail, qui est livré par défaut avec GPG4Win

Le chiffrement par Office 365 : systématique, mais passant par un Microsoft ID

Mais au final, que propose la solution de Microsoft ? Si l'on étudie le fonctionnement détaillé par la société, il sera possible pour les administrateurs de comptes Office 365 de modifier les paramètres de sécurités des échanges par mails afin d'activer ou de désactiver le chiffrement des messages. Cela pourra se faire simplement via une interface web ou une commande PowerShell.

 

Une fois ceci effectué, tous les emails envoyés seront chiffrés et apparaîtront à ceux qui les reçoivent sous la forme d'une page web. Pour les lire, il faudra se connecter à un compte Microsoft, ou à un compte Office, qui permettra de vérifier l'identité du récepteur :

 

Office 365 Encryption

 

L'avantage, c'est que c'est simple et que cela fonctionnera avec n'importe quelle interface ou client mail. Le problème ? Il est double. D'une part, il faudra que le récepteur dispose d'un compte compatible. D'autre part, cela laisse tout le champ nécessaire à la société de Redmond pour s'octroyer le droit de rendre vos messages accessibles à un tiers sans votre accord, puisqu'elle est seule à contrôler le chiffrement des échanges.

 

L'utilisateur ne pourra en effet pas imposer l'utilisation de son propre mot de passe, pas plus que l'administrateur. Bref, Microsoft a la main sur cette solution et il faudra accepter de lui faire confiance en l'utilisant. Pas sûr que tout le monde soit convaincu à l'heure de Prism.

 

Office 365 Encryption Office 365 Encryption

S/MIME bientôt généralisé, l'arrivée d'EHE ne devrait pas changer la donne

L'idée de départ, simplifier et généraliser le chiffrement des échanges par mail, est pourtant bonne, mais il faudrait réellement que chacun puisse rajouter sa touche de sécurité pour rendre l'ensemble réellement attractif. Microsoft ne devrait pas déployer sa solution avant l'année prochaine, et on peut espérer que des modifications seront apportées d'ici là. Dans tous les cas, cela lui donnera un argument supplémentaire pour proposer ses solutions E3 / E4 à de petites entreprises en recherche de sécurité, et qui pourraient bien être faciles à convaincre, surtout si elles ne cherchent pas trop loin. 

 

Quoi qu'il en soit, la société avait annoncée en octobre dernier vouloir généraliser le support de S/MIME à l'ensemble de ses outils Office 365 pendant le premier trimestre 2014, entre autres améliorations sur le terrain de la sécurité. Un point qui nous semble un peu plus intéressant, mais qui n'empêchera pas ceux qui veulent vraiment éviter toute dépendance de Microsoft d'opter pour une bonne vieille paire de clefs via GnuPG et Claws Mail, par exemple.

146 commentaires
Avatar de Drepanocytose Abonné
Avatar de DrepanocytoseDrepanocytose- 22/11/13 à 08:09:26

Moi j'ai confiance, et toutes manières la facon de procéder est logique.

Quand on utilise un "écosystème" propriétaire et fermé, donc par définition opaque, on accorde déjà sa confiance au prestataire (ici MS) sur les questions de sécurité... Alors un peu plus ou un peu moins....
Quitte à utiliser un écosystème, autant l'utiliser pleinement pour profiter de toutes les améliorations pratiques qu'il propose, non ?

Et puis bon, ce n'est pas l'intérêt de MS de divulguer vos mails, si ca venait à se savoir ca ferait scandale et ils perdraient des clients.

Quant à GPG, cette solution de barbus : vous pensez sérieusement que des secrétaires qui ont mis 10 ans à comprendre Word vont utiliser GPG ?
Soyons sérieux SVP : MS, ici, simplifie la vie des entreprises car leur évite des formations trop couteuses et longues pour leurs employés.
Merci MS, et bonne idée.

Avatar de David_L Équipe
Avatar de David_LDavid_L- 22/11/13 à 08:13:53

Drepanocytose a écrit :

...

Le souci c'est que tu imposes ton choix à ton destinataire en l'espèce. Si celui-ci n'a pas de compte MS / Office, ou ne leur fait pas confiance comme toi, il fait comment ? Puis on peut vouloir utiliser un outil, mais l'exploiter comme bon nous semble. Dire ce que tu dis, reviendrait à considérer qu'il est une bonne idée d'avoir un frigo Auchan pour avoir des denrées achetées chez Auchan à l'intérieur.

Je peux très bien vouloir utiliser Exchange, sans avoir à dépendre de MS pour le chiffrement de mes emails non ?

Pour le reste, on en reviendra toujours au même problème : considérer l'utilisateur comme bête est une facilité. Considérer que la simplicité doit prévaloir sur la sécurité une erreur. Et le débat de fond n'est d'ailleurs pas "faut il simplifier l'usage du chiffrement" mais "pourquoi doit-on dépendre de MS pour le faire ?".

Ici, MS donne une impression de sécurité, en gardant la main et donc en ne donnant aucune garantie sérieuse (et je doute que ce soit super pratique à l'usage de sortir vers une page web à chaque fois) pour surfer sur la vague Prism. L'idée de départ est bonne, mais la solution choisie tape à côté je pense.

Avatar de Drepanocytose Abonné
Avatar de DrepanocytoseDrepanocytose- 22/11/13 à 08:16:50

David_L a écrit :

Le souci c'est que tu imposes ton choix à ton destinataire en l'espèce. Si celui-ci n'a pas de compte MS / Office, ou ne leur fait pas confiance comme toi, il fait comment ?

Idem quand tu envoies un .doc à ton destinataire, et qu'il n'a pas Word.
C'est ca, un écosystème fermé.
Quand tu utilises MS, tu imposes très souvent ton choix à ton destinataire à la base.

Edit : sinon on est dredi :clindoeil:

Édité par Drepanocytose le 22/11/2013 à 08:19
Avatar de yl INpactien
Avatar de ylyl- 22/11/13 à 08:19:08

Seront concernés ceux qui ont optés pour les services E3 et E4 de la société ou pour la solution Windows Azure Rights Spying Management.
(...)
cela laisse tout le champ nécessaire à la société de Redmond pour s'octroyer le droit de rendre vos messages accessibles à un tiers sans votre accord, puisqu'elle est seule à contrôler le chiffrement des échanges.

CAD qu'ils envisagent de vendre cela, à minima autour des 20€/utilisateur/mois? Il y aura encore des clients assez idiots pour aller se foutre volontairement une fibre optique de la NSA dans le fion et payer pour?

Faut aimer la coloscopie...

Avatar de David_L Équipe
Avatar de David_LDavid_L- 22/11/13 à 08:23:16

yl a écrit :

CAD qu'ils envisagent de vendre cela, à minima autour des 20€/utilisateur/mois? Il y aura encore des clients assez idiots pour aller se foutre volontairement une fibre optique de la NSA dans le fion et payer pour?

Faut aimer la coloscopie...

Cela se fait sans surcout pour les offres concernées. Pour 20 $ par mois tu as le service office 365 et la licence pour les applications :) Mais les offres inférieures ne sont pas concernées, pas plus que les services grand public ou Outlook.com par exemple.

Avatar de Ricard INpactien
Avatar de RicardRicard- 22/11/13 à 08:23:55

M'enfin on doit surement parler d'entreprises assez conséquentes quand-même. C'est pas une petite pme qui utilise E3 E4 ou Azure, non ?
Normalement de telles boites ont une messagerie propre, hébergée chez eux, non ?
Avec un webmail qui supporte GPG, non ?
:keskidit::keskidit::keskidit:

Avatar de yl INpactien
Avatar de ylyl- 22/11/13 à 08:24:01

Drepanocytose a écrit :

ce n'est pas l'intérêt de MS de divulguer vos mails, si ca venait à se savoir ca ferait scandale et ils perdraient des clients.

Sluurrp Slurrp... Faut oser! Alors que depuis des mois on a la confirmation que c'est exactement ce qui se passe, ce dont on ne pouvait que se douter très fort jusque là.

:bravo:

Édité par yl le 22/11/2013 à 08:27
Avatar de Drepanocytose Abonné
Avatar de DrepanocytoseDrepanocytose- 22/11/13 à 08:25:55

Ricard a écrit :

M'enfin on doit surement parler d'entreprises assez conséquentes quand-même. C'est pas une petite pme qui utilise E3 E4 ou Azure, non ?
....
:keskidit::keskidit::keskidit:

On n'en est encore qu'au début du cloud à tout va et de la dematerialisation de tout...
C'est que le début, ici MS pose ses jalons et prépare le futur....

Avatar de yl INpactien
Avatar de ylyl- 22/11/13 à 08:27:10

David_L a écrit :

Cela se fait sans surcout pour les offres concernées. Pour 20 $ par mois tu as le service office 365 et la licence pour les applications :) Mais les offres inférieures ne sont pas concernées, pas plus que les services grand public ou Outlook.com par exemple.

En fait ils auraient mieux fait d'ouvrir leur client aux extensions pour donner aux utilisateurs la maîtrise de leur chiffrement de client à client. Là ils cassent l’interopérabilité sur le mail tout en ne rassurant personne dans le contexte actuel.

Double fail donc. Cette boite ne cesse de m'étonner depuis quelques années...

Avatar de David_L Équipe
Avatar de David_LDavid_L- 22/11/13 à 08:28:09

Ricard a écrit :

M'enfin on doit surement parler d'entreprises assez conséquentes quand-même. C'est pas une petite pme qui utilise E3 E4 ou Azure, non ?
Normalement de telles boites ont une messagerie propre, hébergée chez eux, non ?
Avec un webmail qui supporte GPG, non ?
:keskidit::keskidit::keskidit:

On parle de services à 20 € par mois et par tête, licence Office comprise. Je doute que ça soit destiné qu'à des grands comptes ;)

Il n'est plus possible de commenter cette actualité.
Page 1 / 15