L'organisation américaine EFF lance le projet StartTLS Everywhere, afin de pousser les serveurs de messagerie électronique à mieux sécuriser la transmission des mails, pour les rendre inaccessibles aux regards indiscrets.

C’était il y a huit ans. Soucieuse de protéger les internautes des regards indiscrets, l’Electronic Frontier Foundation (EFF), une organisation américaine spécialisée dans la défense des libertés dans l’environnement numérique, lançait HTTPS Everywhere, un projet consistant à forcer l’activation de la connexion sécurisée (HTTPS) sur les sites ne la proposant pas par défaut.

Aujourd’hui, l’accès par HTTPS est devenu relativement courant. Selon des données transmises par Google fin octobre 2017, plus de 60 % des pages sont chargées en HTTPS, que ce soit sur Windows, Mac ou Android, les systèmes d’exploitation les plus répandus. Certes, il y a eu « l’effet Edward Snowden », mais le projet de l’EFF a joué son rôle, via des modules pour les navigateurs web.

HTTPS Everywhere
CC BY EFF

Si HTTPS Everywhere reste d’actualité (la dernière mise à jour pour Firefox date du 22 juin, par exemple), l’EFF a désormais une nouvelle obsession : mieux sécuriser la circulation des courriers électroniques, afin qu’eux aussi ne soient pas aisément accessibles — et lisibles. Aussi l’organisation a-t-elle annoncé le lancement, le 25 juin, d’un nouveau projet, baptisé… StartTLS Everywhere.

Surveillance passive, attaques de type « homme du milieu » ou tentative de rétrogradation vers une version de TLS moins fiable, diverses menaces pèsent sur les mails. Aussi, l’EFF estime « qu’il est temps que nous nous concentrions sur la sécurisation de l’épine dorsale de la communication pour une grande partie du monde — l’écosystème du courrier électronique ».

A contrario de HTTPS Everywhere, qui requérait une action de l’internaute, StartTLS Everywhere s’adresse avant tout aux administrateurs de serveurs de messagerie, et non aux utilisateurs réguliers. Cependant, ces derniers peuvent se rendre sur le site de l’initiative et demander un contrôle du service qu’ils utilisent, en renseignant la partie de leur adresse e-mail après l’arobase.

Par exemple, si vous avez une adresse sur Gmail, il suffit de taper « gmail.com » dans le champ prévu à cet effet et vous obtiendrez un bilan de sécurisation. Cela marche aussi avec les messageries françaises, comme « orange.com », « bbox.fr », « sfr.fr », « free.fr » ou « laposte.net ».

Un extrait d’une vérification avec Orange.

Il est à noter que pour les quatre principaux fournisseurs d’accès à Internet, qui proposent chacun un service de messagerie électronique, mais aussi pour La Poste, une charte pour la sécurité des services de courrier électronique les engage depuis le 8 octobre 2015 à prendre des mesures de sécurité pour protéger les mails lorsqu’ils circulent via Internet, en les chiffrant et traitant en France.

Au cours du test, l’EFF vérifie si le nom de domaine lié au service de messagerie supporte StartTLS (une commande qu’un serveur de messagerie envoie s’il veut chiffrer les échanges avec un autre serveur de messagerie), utilise une version sûre de TLS (Transport Layer Security, un protocole visant à garantir la sécurité des échanges sur Internet) et dispose d’un certificat valide.

email-encrypted
CC BY EFF

Attention, toutefois : « StartTLS ne remplace pas les solutions sécurisées de bout en bout », prévient l’EFF. « Il est important de noter que si vous ne faites pas confiance à votre webmail et que vous ne voulez pas qu’il puisse lire votre courrier, StartTLS ne suffit pas . C’est parce que StartTLS ne fournit que du chiffrement de proche en proche [hop-by-hop encryption], et non de bout en bout ».

« Si un client de Gmail envoie un mail à l’EFF, les opérateurs des serveurs de mail de Google et de l’EFF peuvent lire et copier le contenu de ce courrier même si StartTLS est parfaitement négocié. StartTLS ne chiffre que le canal de communication entre les serveurs afin qu’un tiers ne puisse pas voir ce que les deux se disent l’un à l’autre — cela n’affecte pas ce que les deux serveurs eux-mêmes peuvent voir ».

Mais cela ne veut pas dire qu’il ne faut pas déployer StartTLS : car si cette instruction n’a pas d’incidence sur les serveurs de mail impliqués dans un échange de courrier, elle participe en revanche à la défense contre des adversaires extérieurs. L’EFF propose un article techniquement plus détaillé sur StartTLS.

Article publié initialement le 27 juin 2018

Partager sur les réseaux sociaux