Securite des communications par email

Le courrier électronique, electronic mail en anglais, email pour faire court ou parfois en français (bien qu’avec moins de succès) courriel, fait aujourd’hui partie de nos habitudes de communications. Il est devenu l’un des principaux moyens d’échanges écrits entre parents, amis, partenaires effectifs ou potentiels dans toutes sortes d’échanges ou organisations.
L’idée couramment admise est qu’un email envoyé à un destinataire ne peut être lu que par lui ou par elle. On admet aussi sans se poser trop de questions qu’un email reçu a certainement été envoyé tel quel par son expéditeur. Mais est-ce réellement certain ? Quelles sont les risques liés à ce mode de communication et comment se protéger ? Il est important de se pencher sur ses questions car les conséquences d’une mauvaise prise en charge peuvent impliquer la fuite d’informations sensibles ou l’usurpation d’une identité électronique.
Les risques liés à la messagerie électronique
Lorsqu’on envoie un email, il y a lieu d’être conscient des risques ci-dessous:
– Le mot de passe servant à s’authentifier pour l’ouverture de sa boîte email peut être capturé et lu par une tierce partie.
Ce risque est plus prononcé lorsqu’on utilise un ordinateur appartenant à une tierce partie et pour lequel on n’a pas de contrôle sur les logiciels installés. Mais cela peut arriver aussi sur votre propre ordinateur, à partir du moment où ce dernier est à votre insu contrôlé par un pirate, ou infecté par un logiciel malveillant (cheval de troie, virus, etc.). Le moyen de se prémunir contre ce type de risque est de posséder sur votre ordinateur un logiciel antivirus, un pare-feu (en anglais firewall), est d’être à jour avec les mises à niveau de sécurité de ces logiciels, du système d’exploitation utilisé (par exemple : Microsoft Windows), ainsi que tout autre logiciel existant sur l’ordinateur. Il est à noter que disposer de la dernière édition d’un logiciel antivirus (par exemple MonAntiVirus 2011 ne vous mets pas à l’abri d’une infection car les mises à jours nécessaires doivent parfois être effectuées plusieurs fois par semaine pour en maintenir l’efficacité).
Enfin, il est bon de vérifier périodiquement l’intégrité de votre ordinateur en utilisant les services d’un spécialiste.

– Les paquets digitaux constituant le message envoyé peuvent être lus et reconstitués pendant qu’ils traversent les réseaux d’Internet sur leur route vers le destinataire. Ce type d’attaque demandent toutefois des moyens techniques plus conséquents que ceux évoqués dans le premier point et peuvent être considérés comme plus rares. L’utilisateur moyen n’a pas à s’en inquiéter. Cependant, lorsqu’on se sent concerné, les techniques de chiffrage expliquées plus bas apportent un niveau de protection acceptable.
L’ingéniérie sociale
Si les risques évoqués ci-dessus demeurent réels, la méthode la plus couramment utilisée pour prendre le contrôle de la boîte email d’une personne est l’ingéniérie sociale (social engineering en anglais). Au moment de ces écrits, l’encyclopédie ouverte Wikipedia définit de manière générale l’ingéniérie sociale comme « une forme d’acquisition déloyale d’information et d’escroquerie, utilisée en informatique pour obtenir d’autrui, un bien, un service ou des informations clefs. Cette pratique exploite les failles humaines et sociales de la structure cible, à laquelle est lié le système informatique visé. Utilisant ses connaissances, son charisme, l’imposture ou le culot, le pirate abuse de la confiance, de l’ignorance ou de la crédulité des personnes possédant ce qu’il tente d’obtenir. »
Un exemple d’ingéniérie sociale concernant la messagerie électronique? Regardez le cas ci-dessous :

Apparemment cet email est envoyé par les services de Yahoo (cet opérateur est utilisé à titre d’illustration uniquement, les problèmes évoqués ici pouvant arriver avec n’importe quel opérateur ou société) à une personne possédant un compte email sur ses serveurs. Mais en l’observant de près, on peut remarquer certaines irrégularités qui permettent d’affirmer sans l’ombre d’un doute qu’il est frauduleux, et même malveillant :
– Il est envoyé d’une addresse appartenant au domaine mons.be qui n’est visiblement pas de Yahoo. Toutefois, même s’il eût apparu provenir d’une addresse de service légitime de Yahoo, cela ne serait pas une garantie suffisante car il est techniquement simple de présenter un email comme s’il provenait d’une addresse légitime. Le fait que vous recevez un email venant de moi n’est pas une preuve qu’il est venu de moi !

– L’auteur de cet email essaie ensuite de tromper la vigilance du récipiendaire en demandant certaines informations, servant à camoufler l’objet unique de sa quête : le mot de passe de celui qui lit le message électronique! Le mot de passe est confidentiel et à ce titre ne doit jamais être communiqué à qui que ce soit, même pas aux fournisseurs de service de messagerie comme Yahoo qui n’en n’ont jamais besoin. Jamais. C’est une preuve suffisante que l’expéditeur de l’email ci-dessus –qui se cache derrière une fausse adresse- est malveillant et n’a qu’une intention : duper le récipiendaire et lui voler le mot de passe d’accès à sa boîte email, pour une finalité inavouable.

Les techniques de chiffrage
Les techniques modernes de chiffrage permettent d’atteindre le niveau le plus élevé de sécurité sur la messagerie électronique. On distingue en gros deux grandes familles de technologies : les technologies à clé privée (dites aussi symétriques) et celles à clé publique (dites aussi asymétriques).
Les méthodes à clé privée ou algorithmes de chiffrage symétrique permettent de chiffrer (ou « coder » en langage populaire) un email, un fichier avec une clé (mot ou phrase ou texte de passe). Seule(s) la(les) personne(s) possédant la clé peut (peuvent) révéler le sens caché du message ou fichier(s) qui autrement va demeurer obscur et donc protégé des lecteurs accidentels ou indiscrets. Si ces méthodes apportent un bon niveau de sécurité, elles ont le principal désavantage d’exiger pour être efficace qu’une clé soit convenue entre chaque paire de personnes qui veulent communiquer entre elles. Lorsque l’on a plusieurs partenaires avec lesquels on veut sécuriser les communications, cela peut devenir encombrant… Il existe aujourd’hui plusieurs méthodes de cryptage à clé privée, avec chacune ses avantages et inconvénients, mais la plus recommandée se nomme AES. Elle est notamment adoptée par le gouvernement fédéral des USA, la société BlackBerry, pour ne citer que ces références-là. A l’inverse certaines autres méthodes à clé privée utilisent des algorithmes faibles, faciles à craquer et doivent être évitées car n’apportant qu’une protection illusoire.
Les méthodes à clé publique ou algorithmes de chiffrage asymétriques fonctionnent quant à elles sur un principe différent. Disons d’abord qu’elles sont particulièrement adaptées à la messagerie électronique car chaque personne, quel que soit le nombre de correspondants qu’elle a, n’a besoin que de deux clés. L’une est appelée sa clé privée, tandis que l’autre est sa clé publique. La clé privée est gardée confidentielle par son propriétaire, qui ne le communique jamais, tandis que sa clé publique est mise à la disposition de toutes les personnes avec lesquelles elle veut communiquer de manière sécurisée.
Grâce aux méthodes à clé publique, on peut se rassurer que seul le destinataire d’un email peut le lire et aucune autre personne ; on peut aussi « signer » un email pour que la personne qui le reçoît puisse vérifier qu’il vient réellement de la source supposée.
PGP /GPG est l’une des méthodes à clé publique les plus utilisées.
En conclusion
Les approches décrites dans les lignes qui précèdent, lorsqu’elles sont correctement mises en route, permettent de procurer un niveau satisfaisant de confidentialité et d’intégrité des messages électroniques, d’une part, et de minimiser l’impact de toute fuite d’informations au cas où une boîte email est compromise d’autre part.
Pour des informations supplémentaires, cas d’utilisations ou indications sur des mesures concrètes d’application, l’auteur peut être joint à l’addresse spbutsana@yahoo.fr

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :