Gmail : bientôt des alertes pour les messages reçus via une connexion sans chiffrement

SSLStrip poker 19
En bref
image dediée
Crédits : Vertigo3d/iStock
Securité
Guénaël Pépin

Google publie une étude effectuée en collaboration avec deux universités américaines. Le résultat : une partie du Net « empêche activement » l'usage du chiffrement pour les emails. Pour protéger ses utilisateurs, le groupe compte bientôt avertir les utilisateurs de Gmail quand un message a transité par une zone non-protégée.

Le chiffrement est l'un des chevaux de bataille de Google, qu'on se le dise. Jeudi, le groupe a publié les résultats d'une étude pluriannuelle sur la sécurité des emails, menée avec les universités du Michigan et de l'Illinois. Cette étude a observé l'évolution de la sécurité des échanges entre les services de messagerie, depuis 2013. Le résultat : une forte augmentation de la sécurité des emails pendant leur livraison, même si tout n'est pas rose.

« Pourtant, la majorité de cette progression peut être attribuée à une poignée de grands fournisseurs, quand beaucoup de plus petites organisations trainent à la fois sur le déploiement et sur la configuration » de ces technologies, explique l'étude dans sa conclusion. Aussi, elle note que, comme le protocole n'a pas été initialement développé pour la sécurité, les serveurs privilégieront l'arrivée d'un message à son destinataire au chiffrement de son transport.

De nouveaux défis pour les services d'emails

Surtout, l'étude identifie plusieurs défis pour les services de courriels, qui n'étonneront qu'à moitié. « Nous avons trouvé des régions d'Internet qui empêchent activement le chiffrement des messages, en interférant avec les requêtes qui initient les connexions SSL » explique Google. Le groupe travaille avec l'association M3AAWG, qui comprend entre autres des fournisseurs de services (dont les GAFA) et des opérateurs (AT&T ou Orange), pour activer le chiffrement dans plus de cas (via le chiffrement opportuniste).

Gmail Google sécurité emails
Crédits : Google

Une autre menace identifiée est l'existence de serveurs DNS menteurs, qui redirigent les emails destinés à Gmail vers un autre site, qui peut le renvoyer vers Gmail après l'avoir consulté. « Même si ce type d'attaque est rare, il est inquiétant qu'elles puissent permettre à des attaquants de censurer ou altérer des messages avant qu'ils ne soient relayés au destinataire » affirme le groupe. Selon l'étude, jusqu'à 20 % des messages reçus par Gmail dans certains pays sont concernés par du man-in-the-middle, c'est-à-dire leur interception et déchiffrement en chemin.

Dans les prochains mois, des alertes en cas de déchiffrement

Pour aider les utilisateurs à se protéger de ces attaques, Google développe en ce moment des alertes qui préviendront l'utilisateur quand un message est reçu par une connexion non-chiffrée. Cette fonction devrait arriver dans les prochains mois, selon le groupe.

Cette mesure viendra s'ajouter à toute une série d'autres prises ces dernières années. Parmi elles, on peut noter l'extension End-to-End pour Chrome, qui permet d'utiliser OpenPGP directement depuis le navigateur, même si elle ne change pas grand-chose à la situation. De son côté, Gmail alerte depuis juin 2012 s'il détecte une attaque potentiellement « soutenue par un État » sur le compte ou le PC de l'utilisateur. Enfin, le groupe propose des données sur la sécurité des emails échangés avec Gmail, dans le cadre de son Transparency Report.


chargement
Chargement des commentaires...