X
Messageries sécurisées : des solutions pour tous les usages
Alain Clapaud / vendredi 12 mai 2017 / Thèmes: Sécurité SI, Dossier

Messageries sécurisées : des solutions pour tous les usages

L’actualité de ces derniers mois l’a démontré : si l’on veut réellement que les échanges d’e-mails soient sécurisés, il est impératif de chiffrer les messages. Or, la cryptographie est considérée comme trop lourde à utiliser pour la majorité des utilisateurs. Mais une nouvelle génération de logiciels est apparue.

 

Beaucoup d’entre nous ont échangé nos premiers e-mails chiffrés avec le logiciel PGP développé par Philip Zimmermann. Un bel outil puissant qui a eu une riche descendance avec OpenPGP qui a été implémenté tant sous forme de divers plug-in Outlook ou Thunderbird que pour Apple Mail, mais l’ergonomie et même la philosophie d’emploi de PGP limite la diffusion du chiffrement fort hors du cercle des hacktivistes ou des entreprises et organisations liées au secteur de la Défense. Si PGP est trop complexe à utiliser et présente quelques inconvénient comme celui de laisser les métadonnées (destinataires, titre du message) non chiffrées, la solution de Philip Zimmermann n’a pas réellement pu briser le cercle des initiés.

Néanmoins, après la prise de conscience de l’ampleur des écoutes sur Internet révélée par Edward Snowden, les choses bougent rapidement. Les applications mobiles très simples d’utilisation comme WhatsApp, Telegram (lire notre encadré) ou les clients XMPP comme Jabber qui utilisent un chiffrement OTR (Off The Record) sur Tor ont mis la cryptographie dans les mains de tous et de nombreuses solutions peuvent être utilisées dans les entreprises ou à titre personnel sans difficultés.

Lavabit, le symbole

Le service emblématique de la messagerie sécurisée est aujourd’hui Lavabit. On sait que Edward Snowden était utilisateur de ce service. Après avoir été arrêté par Ladar Levison, son concepteur, en 2013 alors que le gouvernement américain avait exigé qu’il lui remette sa clef SSL, Lavabit a repris ses activités le 20 janvier 2017, le jour même de l’investiture de Donald Trump… Lavabit s’appuie sur la technologie maison baptisée DIME pour Dark Internet Mail Environment, son protocole de chiffrement point à point. Celui-ci est promu pour devenir un standard dans ce domaine via la Darkmail Technical Alliance, et il implémente trois niveaux de protection Trustful, Cautious & Paranoid. Certains experts jugeront le premier mode comme insuffisant puisque les clefs de chiffrement des utilisateurs sont répliquées au niveau du serveur Lavabit qui assure le chiffrement fort des messages. Ce mode paraît moins sécurisé, mais il offre l’avantage de pouvoir être utilisé depuis n’importe quel webmail ou client SMTP/POP3 et IMAP.

 

Lavabit est devenu le symbole même de la messagerie sécurisée étanche aux pressions du gouvernement américain. Le logiciel a été publié en Open Source.

De son côté, le mode « Cautious » paraît plus intéressant puisqu’il propose un vrai chiffrement de bout-en-bout. Le chiffrement fort est réalisé au niveau du poste de l’émetteur. Néanmoins une copie des clés privées est stockée sur le serveur Lavabit. Les plus paranoïaques opterons pour le mode « Paranoid », avec un chiffrement de bout-en-bout et stockage des clefs en local si bien que même Lavabit n’a pas accès à ces clefs et que même un raid des autorités dans son datacenter ne permettront à celle-ci de décoder les messages échangés. L’accès au service Lavabit est actuellement proposé à 15 $ par an pour une boîte aux lettres de 5 Go et 30 $ pour 20 Go. Lavabit a publié son serveur Magma en Open Source de manière qu’une entreprise ou un prestataire Internet peut mettre en place son propre service de messagerie sécurisée en s’appuyant sur la technologie DIME.

Sur ce marché de la messagerie sécurité, AppRiver a choisi une approche différente puisque sa solution permet de sécuriser Microsoft Office 365. La solution est pertinente car de nombreuses entreprises françaises ont fait le choix de la messagerie cloud de Microsoft mais cherchent maintenant comment accroître sa sécurité. CipherPost Pro implémente le protocole TLS, ce qui va permettre d’éviter le recours au très décrié SSL 2.0 et 3.0. L’éditeur américain propose des plug-ins pour Outlook et les navigateurs Web, que ce soit sous Windows et Mac OS. En outre, son application mobile est disponible tant pour iOS et Android, mais aussi BlackBerry et Windows Phone. Il faut noter que AppRiver a doté sa solution d’une fonctionnalité de signature électronique plutôt complète et bien intégrée. Le système de tracking de la réception et de la lecture des messages par ses destinataires est ergonomique et bien pensé. CipherPost Pro est incontestablement une offre bien adaptée aux besoins des grandes entreprises, pour peu qu’elles acceptent d’opter une solution d’un acteur américain.

 

Intégrée à Microsoft Office 365, la solution AppRiver CipherPost Pro met l’accent sur la simplification du chiffrement et la signature électronique des messages.

Plusieurs solutions « Made in France » en lice

Pour les entreprises françaises qui n’ont une confiance que relative dans la résistance des entreprises américaines vis-à-vis des pressions de leur gouvernement, plusieurs éditeurs nationaux propose une solution développée en France. Membre du consortium HexaTrust, le Lyonnais Prim’X propose Zed!, une solution de chiffrement « endpoint » globale qui inclut notamment un volet messagerie. Disponible en version Free/Pro ou Entreprise, sa solution présente l’avantage d’une grande portabilité. Elle est disponible sous Windows et Mac OS, mais aussi de nombreuses distributions Linux, dont Debian, Fedora, Mandriva, OpenSUSE, CentOS et Ubuntu. Une app iOS et Android est aussi disponible sur les App Store. Enfin, un plug-in Zed Mail est proposé pour Outlook, Outlook Web Access 2007 et Outlook Web App 2010. La version gratuite souffre de quelques limitations fonctionnelles et ne permet qu’un chiffrement AES 128 bits, contre AES 256 bits pour les versions payantes.

 

La solution Zed! de Prim’X Technologies fait partie des suites de chiffrement « endpoint » disponibles sur smartphone comme sur desktop.

Dans la même optique de protection globale du poste client, Vivaction propose Squareway, une solution qui se limite néanmoins aux mobiles iOS et Android – Vivaction appartient en effet à un opérateur télécom. Sa solution implémente un chiffrement SSL 256 bits pour les données, mais aussi la voix. La certification CSPN 1er niveau par l’Anssi est en cours. Elle est intéressante du fait que tous les échangés réalisés avec le smartphone seront sécurisées, depuis les flux de données, la messagerie instantanée, les e-mails mais aussi le flux voix. Dommage que la déclinaison Windows et Mac OS ne soit pas au catalogue de l’éditeur. Cette absence de vision multidevice est certainement un frein pour le marché entreprise.

Autre Français à proposer une solution de chiffrement fort pour la messagerie, StormShield. La filiale cybersécurité d’Airbus Defence and Space bénéficie de l’expérience d’Arkoon – société rachetée en 2013 – en la matière puisque sa Security Box étaient certifiée par l’Anssi dès 2012. Sa solution StormShield Data Protection offre un chiffrement AES 256 bits avec une identification possible par carte à puce ou token cryptographique. Il est à noter que StormShield a réalisé une intégration avec Dropbox qui permet de partager de manière transparente des fichiers sur le service d’hébergement de fichiers américain. En outre, la solution est disponble sur iOS et Android dans sa version mobile.

La Suisse, l’autre pays du chiffrement

On le sait peu, mais un autre pays est très actif dans le domaine des solutions de messageries chiffrées, c’est la Suisse. L’argument avancé par l’éditeur Proton Technologies est sibyllin : l’entreprise est basée à Genève et tous ses serveurs sont hébergés en Suisse, si bien que ni les autorités américaines, ni les autorités européennes ne peuvent contraindre l’entreprise à livrer le contenu de ses serveurs. L’argument est discutable et discuté y compris sur les forums de l’éditeur, mais il peut faire mouche auprès de ce qui se méfient autant du gouvernement Trump que de l’activisme du gouvernement français en la matière d’écoutes sur Internet. Créée à l’origine par les chercheurs du CERN pour leurs propres besoins, ProtonMail est une solution essentiellement conçu pour un usage mobile, même si un Webmail est disponible. Le code est Open Source, publié sur Github et l’éditeur s’appuie sur des librairies open source pour assurer le chiffrement des données. Son Webmail est ainsi motorisé avec OpenPGPjs, une librairie de chiffrement JavaScript, dont l’éditeur est devenu le premier contributeur.

Autre acteur helvète important parmi les solutions de chiffrement de messagerie, SEPPmail. Le Suisse « allemand » propose une solution hardware de chiffrement de messagerie avec quatre modèles d’appliance de puissances croissantes. Il est aussi possible de déployer la solution sous forme d’appliance virtuelle VMware, Hyper-V ou Red Hat KVM. La spécificité de la solution est de s’appuyer sur une technologie brevetée par l’éditeur, GINA. Celle-ci vient s’intégrer à Microsoft Outlook et permet d’envoyer un message chiffré à n’importe quel internaute, même s’il ne dispose pas de la solution. Lorsque celui-ci reçoit le message chiffré, il clique sur un lien pour se rendre sur un webmail où lui est demandé le mot de passe qui lui a été transmis en parallèle par téléphone ou SMS. Cette volonté de simplifier l’envoi d’emails chiffrés connait un certain succès dans le monde germanique car l’éditeur livre une liste de quelques-uns de ses clients, et parmi eux de nombreuses banques allemandes et suisses – SwissLife, la Swiss Post, SwissBanking, ING DiBa et encore le cabinet KPMG…

 

Le Suisse SEPPmail propose l’envoi de messages chiffrés via Internet en parallèle du mot de passe via SMS.

Vingt-six ans après que Philip Zimmermann a inventé PGP, force est de constater que les solutions de chiffrements sont de plus en plus populaire sur les mobiles, mais peinent toujours à s’imposer sur les poste de travail. Les solutions client lourd, jugées trop complexes à manipuler et trop contraignantes par leurs utilisateurs, font peu à peu place à des solutions totalement intégrées aux clients de messagerie où les contraintes liées à la gestion des clefs de chiffrement ont été diminuées afin que chaque internaute puisse enfin sécuriser ses échanges. ❍

 

Même avec un plugin moderne du type Enigmail, l’utilisation de PGP reste complexe pour des utilisateurs peu sensibilisés par les enjeux de la sécurité informatique.


Blackphone

Une tentative de smartphone sécurisé pour tous

Il existe bien peu de smartphones réellement sécurisés. Ceux-ci, comme le Teorem de Thales, le Boeing Black ou les Bull Hoox K3 et K30 sont des smartphones conçus pour sécuriser leur contenu et les échanges données et voix, mais leur design et leurs performances sont, par nature, en deçà des nouveaux smartphones lancés tous les six mois. En outre, leur coût, s’élevant à plusieurs milliers d’euros pour certains, est totalement incompatible avec un déploiement de masse dans une entreprise. Même les chefs d’État et présidents de grandes entreprises, à qui ces terminaux sont pourtant destinés, sont souvent pris en flagrant délit d’utiliser un iPhone, bien plus ergonomique. Avec son Blackphone 2, Silent Circle tente de proposer le smartphone sécurisé pour tous. Fonctionnant sous Silent OS, un Android durci, le Blackphone reste un smartphone de milieu de gamme, vendu au prix du haut de gamme et dont le succès reste encore modeste. Silent Circle vient d’annoncer une baisse du prix de son Blackphone 2 à 600 $. Pas sûr que ce soit suffisant pour mettre la sécurité dans toutes les poches !


WhatsApp, Telegram, Signal...

Ces Apps qui ont démocratisé le chiffrement fort auprès du grand public

Pointées du doigt par les gouvernements pour permettre les échanges d’informations entre terroristes ou émeutiers, les apps de messagerie telles que WhatsApp, Telegram ou Signal connaissent une popularité considérable auprès du grand public. Avec plus de 1 milliard d’utilisateurs, WhatsApp est un poids lourd qui est même parfois utilisé par certains dirigeants d’entreprise. Si l’application offre un chiffrement de bout en bout réputé sûr, l’acquisition de WhatsApp par Facebook a fait émerger une crainte quant à l’étanchéité du service vis-à-vis de son propriétaire. Une vulnérabilité à été signalée en début d’année, tout comme ce fut le cas de Telegram en juin 2016. Gageons que les services secrets du monde entier travaillent depuis des mois sur les failles de ces services pour les infiltrer.

Print
2083

Name:
Email:
Subject:
Message:
x
Rechercher dans les Dossiers
Actuellement à la Une...
L’héritier du Safe Harbor a passé sa première revue annuelle. La Commission européenne se dit satisfaite des progrès faits par l’administration américaine, sans toutefois se montrer trop enthousiaste : de nombreux points restent à améliorer pour garantir la protection des données des citoyens européens.

Une personne à supprimer sur une vidéo ? Un élément moche du décor ? Pas de problème : avec la fonctionnalité (expérimentale) Cloak d’Adobe, vous pouvez enlever ce que vous n’aimez pas lors du montage vidéo.

Ils sont 31 cosignataires d’une lettre adressée aux autorités européennes, à Bruxelles. Ils s’alarment, voire s’insurgent, contre l’orientation du nouveau code des télécoms qui va selon eux à l’encontre de ce qu’il faut faire pour créer la « Gigabit Society ». 

Elle doit servir au paiement mobile, mais l’application Izly, conçue pour les Crous, avait un autre objectif. Collecter les données de géolocalisation des étudiants afin de leur envoyer des notifications ciblées… et des campagnes publicitaires.

Retour en Israël pour la seconde édition de l’IT Press Tour dans ce pays. La première journée a été bien remplie avec 3 visites dans des entreprises dans des secteurs d’activité très variés : Web, sécurité et gestion des données.

Conçu par le créateur d’Android Andy Rubin, l’Essential Phone est pour le moment une catastrophe en termede ventes, mais aussi du point de vue juridique puisqu’il est poursuivi en justice pour l’exploitation d’une technologie de transmission de données.

Ce serait la concrétisation d’une rumeur qui circule depuis août dernier, et qui permettrait à Cisco de se diversifier dans les communications unifiées, alors que son cœur de métier stagne sur la vente de switches et de routeurs.

La start-up américaine lève 502 millions de dollars supplémentaires. Ils s’ajoutent à la somme déjà astronomique déjà récoltée, de 1,3 milliard de dollars. Et rares sont ceux qui ont vu ne fut-ce que l’ombre d’un prototype.

Pour une fois que les acteurs du Web et les défenseurs de la vie privée en ligne tombent d'accord : tous rejettent en bloc le rapport sur le règlement ePrivacy adopté hier en commission par les eurodéputés. Le texte est à la fois trop contraignant et pas assez...

C’est via son site Uber Movement que le spécialiste des VTC publie une carte avec les données anonymisées de milliers de trajets en région parisienne, issue de l’activité des chauffeurs. 

Toutes les News

LIVRES BLANCS

Repensez votre approche en matière de cybersécurité, un Livre Blanc Fortinet.

Pourquoi les leaders de la sécurité sont désormais contraints de faire face aux principales menaces de sécurité. 

Le paysage de cybermenace continue de croître et d’évoluer. Cybersecurity Ventures prévoit que la cybersécurité deviendra un business de mille milliards de dollars entre 2017 et 2021.



Les tendances du stockage de données en France face au digital,
un Livre Blanc HPE.

La transformation digitale s’opère dans tous les secteurs d’activités et à tous les niveaux des entreprises et des organisations. Les données collectées, traitées et échangées croissent en volume comme en valeur et deviennent de facto un véritable enjeu stratégique. 


Une étude Ponemon sur les coûts liés aux failles de sécurité en France, un Livre Blanc 3M France

IBM et Ponemon Institute ont réalisé une étude en 2016 sur les coûts liés aux brèches de sécurité. L'étude a été accomplie dans de nombreux pays dont la France. Il ressort de cette étude que les coûts ont augmenté en passant de 134 € à 141 € par personne. Et, en moyenne, le coût pour une entreprise s'élève désormais à 3,4 millions d'euros. 


Les nouvelles possibilités du Service Management, un Livre Blanc easyvista.

La transformation numérique des entreprises offre de nouveaux champs d’actions en matière de services rendus aux utilisateurs et ce afin d’améliorer leur vie quotidienne et leur productivité. 


Infrastructure IT gérée dans le cloud, un Livre Blanc Cisco Meraki et Inmac-WStore.

Ce Livre Blanc traite des tendances informatiques modernes et explique comment les produits Cisco Meraki fonctionnent en synergie pour fournir une solution informatique globale, fiable et complète pour les entreprises.


Tous les Livres Blancs