X
Messageries sécurisées : des solutions pour tous les usages
Alain Clapaud / vendredi 12 mai 2017 / Thèmes: Sécurité SI, Dossier

Messageries sécurisées : des solutions pour tous les usages

L’actualité de ces derniers mois l’a démontré : si l’on veut réellement que les échanges d’e-mails soient sécurisés, il est impératif de chiffrer les messages. Or, la cryptographie est considérée comme trop lourde à utiliser pour la majorité des utilisateurs. Mais une nouvelle génération de logiciels est apparue.

 

Beaucoup d’entre nous ont échangé nos premiers e-mails chiffrés avec le logiciel PGP développé par Philip Zimmermann. Un bel outil puissant qui a eu une riche descendance avec OpenPGP qui a été implémenté tant sous forme de divers plug-in Outlook ou Thunderbird que pour Apple Mail, mais l’ergonomie et même la philosophie d’emploi de PGP limite la diffusion du chiffrement fort hors du cercle des hacktivistes ou des entreprises et organisations liées au secteur de la Défense. Si PGP est trop complexe à utiliser et présente quelques inconvénient comme celui de laisser les métadonnées (destinataires, titre du message) non chiffrées, la solution de Philip Zimmermann n’a pas réellement pu briser le cercle des initiés.

Néanmoins, après la prise de conscience de l’ampleur des écoutes sur Internet révélée par Edward Snowden, les choses bougent rapidement. Les applications mobiles très simples d’utilisation comme WhatsApp, Telegram (lire notre encadré) ou les clients XMPP comme Jabber qui utilisent un chiffrement OTR (Off The Record) sur Tor ont mis la cryptographie dans les mains de tous et de nombreuses solutions peuvent être utilisées dans les entreprises ou à titre personnel sans difficultés.

Lavabit, le symbole

Le service emblématique de la messagerie sécurisée est aujourd’hui Lavabit. On sait que Edward Snowden était utilisateur de ce service. Après avoir été arrêté par Ladar Levison, son concepteur, en 2013 alors que le gouvernement américain avait exigé qu’il lui remette sa clef SSL, Lavabit a repris ses activités le 20 janvier 2017, le jour même de l’investiture de Donald Trump… Lavabit s’appuie sur la technologie maison baptisée DIME pour Dark Internet Mail Environment, son protocole de chiffrement point à point. Celui-ci est promu pour devenir un standard dans ce domaine via la Darkmail Technical Alliance, et il implémente trois niveaux de protection Trustful, Cautious & Paranoid. Certains experts jugeront le premier mode comme insuffisant puisque les clefs de chiffrement des utilisateurs sont répliquées au niveau du serveur Lavabit qui assure le chiffrement fort des messages. Ce mode paraît moins sécurisé, mais il offre l’avantage de pouvoir être utilisé depuis n’importe quel webmail ou client SMTP/POP3 et IMAP.

 

Lavabit est devenu le symbole même de la messagerie sécurisée étanche aux pressions du gouvernement américain. Le logiciel a été publié en Open Source.

De son côté, le mode « Cautious » paraît plus intéressant puisqu’il propose un vrai chiffrement de bout-en-bout. Le chiffrement fort est réalisé au niveau du poste de l’émetteur. Néanmoins une copie des clés privées est stockée sur le serveur Lavabit. Les plus paranoïaques opterons pour le mode « Paranoid », avec un chiffrement de bout-en-bout et stockage des clefs en local si bien que même Lavabit n’a pas accès à ces clefs et que même un raid des autorités dans son datacenter ne permettront à celle-ci de décoder les messages échangés. L’accès au service Lavabit est actuellement proposé à 15 $ par an pour une boîte aux lettres de 5 Go et 30 $ pour 20 Go. Lavabit a publié son serveur Magma en Open Source de manière qu’une entreprise ou un prestataire Internet peut mettre en place son propre service de messagerie sécurisée en s’appuyant sur la technologie DIME.

Sur ce marché de la messagerie sécurité, AppRiver a choisi une approche différente puisque sa solution permet de sécuriser Microsoft Office 365. La solution est pertinente car de nombreuses entreprises françaises ont fait le choix de la messagerie cloud de Microsoft mais cherchent maintenant comment accroître sa sécurité. CipherPost Pro implémente le protocole TLS, ce qui va permettre d’éviter le recours au très décrié SSL 2.0 et 3.0. L’éditeur américain propose des plug-ins pour Outlook et les navigateurs Web, que ce soit sous Windows et Mac OS. En outre, son application mobile est disponible tant pour iOS et Android, mais aussi BlackBerry et Windows Phone. Il faut noter que AppRiver a doté sa solution d’une fonctionnalité de signature électronique plutôt complète et bien intégrée. Le système de tracking de la réception et de la lecture des messages par ses destinataires est ergonomique et bien pensé. CipherPost Pro est incontestablement une offre bien adaptée aux besoins des grandes entreprises, pour peu qu’elles acceptent d’opter une solution d’un acteur américain.

 

Intégrée à Microsoft Office 365, la solution AppRiver CipherPost Pro met l’accent sur la simplification du chiffrement et la signature électronique des messages.

Plusieurs solutions « Made in France » en lice

Pour les entreprises françaises qui n’ont une confiance que relative dans la résistance des entreprises américaines vis-à-vis des pressions de leur gouvernement, plusieurs éditeurs nationaux propose une solution développée en France. Membre du consortium HexaTrust, le Lyonnais Prim’X propose Zed!, une solution de chiffrement « endpoint » globale qui inclut notamment un volet messagerie. Disponible en version Free/Pro ou Entreprise, sa solution présente l’avantage d’une grande portabilité. Elle est disponible sous Windows et Mac OS, mais aussi de nombreuses distributions Linux, dont Debian, Fedora, Mandriva, OpenSUSE, CentOS et Ubuntu. Une app iOS et Android est aussi disponible sur les App Store. Enfin, un plug-in Zed Mail est proposé pour Outlook, Outlook Web Access 2007 et Outlook Web App 2010. La version gratuite souffre de quelques limitations fonctionnelles et ne permet qu’un chiffrement AES 128 bits, contre AES 256 bits pour les versions payantes.

 

La solution Zed! de Prim’X Technologies fait partie des suites de chiffrement « endpoint » disponibles sur smartphone comme sur desktop.

Dans la même optique de protection globale du poste client, Vivaction propose Squareway, une solution qui se limite néanmoins aux mobiles iOS et Android – Vivaction appartient en effet à un opérateur télécom. Sa solution implémente un chiffrement SSL 256 bits pour les données, mais aussi la voix. La certification CSPN 1er niveau par l’Anssi est en cours. Elle est intéressante du fait que tous les échangés réalisés avec le smartphone seront sécurisées, depuis les flux de données, la messagerie instantanée, les e-mails mais aussi le flux voix. Dommage que la déclinaison Windows et Mac OS ne soit pas au catalogue de l’éditeur. Cette absence de vision multidevice est certainement un frein pour le marché entreprise.

Autre Français à proposer une solution de chiffrement fort pour la messagerie, StormShield. La filiale cybersécurité d’Airbus Defence and Space bénéficie de l’expérience d’Arkoon – société rachetée en 2013 – en la matière puisque sa Security Box étaient certifiée par l’Anssi dès 2012. Sa solution StormShield Data Protection offre un chiffrement AES 256 bits avec une identification possible par carte à puce ou token cryptographique. Il est à noter que StormShield a réalisé une intégration avec Dropbox qui permet de partager de manière transparente des fichiers sur le service d’hébergement de fichiers américain. En outre, la solution est disponble sur iOS et Android dans sa version mobile.

La Suisse, l’autre pays du chiffrement

On le sait peu, mais un autre pays est très actif dans le domaine des solutions de messageries chiffrées, c’est la Suisse. L’argument avancé par l’éditeur Proton Technologies est sibyllin : l’entreprise est basée à Genève et tous ses serveurs sont hébergés en Suisse, si bien que ni les autorités américaines, ni les autorités européennes ne peuvent contraindre l’entreprise à livrer le contenu de ses serveurs. L’argument est discutable et discuté y compris sur les forums de l’éditeur, mais il peut faire mouche auprès de ce qui se méfient autant du gouvernement Trump que de l’activisme du gouvernement français en la matière d’écoutes sur Internet. Créée à l’origine par les chercheurs du CERN pour leurs propres besoins, ProtonMail est une solution essentiellement conçu pour un usage mobile, même si un Webmail est disponible. Le code est Open Source, publié sur Github et l’éditeur s’appuie sur des librairies open source pour assurer le chiffrement des données. Son Webmail est ainsi motorisé avec OpenPGPjs, une librairie de chiffrement JavaScript, dont l’éditeur est devenu le premier contributeur.

Autre acteur helvète important parmi les solutions de chiffrement de messagerie, SEPPmail. Le Suisse « allemand » propose une solution hardware de chiffrement de messagerie avec quatre modèles d’appliance de puissances croissantes. Il est aussi possible de déployer la solution sous forme d’appliance virtuelle VMware, Hyper-V ou Red Hat KVM. La spécificité de la solution est de s’appuyer sur une technologie brevetée par l’éditeur, GINA. Celle-ci vient s’intégrer à Microsoft Outlook et permet d’envoyer un message chiffré à n’importe quel internaute, même s’il ne dispose pas de la solution. Lorsque celui-ci reçoit le message chiffré, il clique sur un lien pour se rendre sur un webmail où lui est demandé le mot de passe qui lui a été transmis en parallèle par téléphone ou SMS. Cette volonté de simplifier l’envoi d’emails chiffrés connait un certain succès dans le monde germanique car l’éditeur livre une liste de quelques-uns de ses clients, et parmi eux de nombreuses banques allemandes et suisses – SwissLife, la Swiss Post, SwissBanking, ING DiBa et encore le cabinet KPMG…

 

Le Suisse SEPPmail propose l’envoi de messages chiffrés via Internet en parallèle du mot de passe via SMS.

Vingt-six ans après que Philip Zimmermann a inventé PGP, force est de constater que les solutions de chiffrements sont de plus en plus populaire sur les mobiles, mais peinent toujours à s’imposer sur les poste de travail. Les solutions client lourd, jugées trop complexes à manipuler et trop contraignantes par leurs utilisateurs, font peu à peu place à des solutions totalement intégrées aux clients de messagerie où les contraintes liées à la gestion des clefs de chiffrement ont été diminuées afin que chaque internaute puisse enfin sécuriser ses échanges. ❍

 

Même avec un plugin moderne du type Enigmail, l’utilisation de PGP reste complexe pour des utilisateurs peu sensibilisés par les enjeux de la sécurité informatique.


Blackphone

Une tentative de smartphone sécurisé pour tous

Il existe bien peu de smartphones réellement sécurisés. Ceux-ci, comme le Teorem de Thales, le Boeing Black ou les Bull Hoox K3 et K30 sont des smartphones conçus pour sécuriser leur contenu et les échanges données et voix, mais leur design et leurs performances sont, par nature, en deçà des nouveaux smartphones lancés tous les six mois. En outre, leur coût, s’élevant à plusieurs milliers d’euros pour certains, est totalement incompatible avec un déploiement de masse dans une entreprise. Même les chefs d’État et présidents de grandes entreprises, à qui ces terminaux sont pourtant destinés, sont souvent pris en flagrant délit d’utiliser un iPhone, bien plus ergonomique. Avec son Blackphone 2, Silent Circle tente de proposer le smartphone sécurisé pour tous. Fonctionnant sous Silent OS, un Android durci, le Blackphone reste un smartphone de milieu de gamme, vendu au prix du haut de gamme et dont le succès reste encore modeste. Silent Circle vient d’annoncer une baisse du prix de son Blackphone 2 à 600 $. Pas sûr que ce soit suffisant pour mettre la sécurité dans toutes les poches !


WhatsApp, Telegram, Signal...

Ces Apps qui ont démocratisé le chiffrement fort auprès du grand public

Pointées du doigt par les gouvernements pour permettre les échanges d’informations entre terroristes ou émeutiers, les apps de messagerie telles que WhatsApp, Telegram ou Signal connaissent une popularité considérable auprès du grand public. Avec plus de 1 milliard d’utilisateurs, WhatsApp est un poids lourd qui est même parfois utilisé par certains dirigeants d’entreprise. Si l’application offre un chiffrement de bout en bout réputé sûr, l’acquisition de WhatsApp par Facebook a fait émerger une crainte quant à l’étanchéité du service vis-à-vis de son propriétaire. Une vulnérabilité à été signalée en début d’année, tout comme ce fut le cas de Telegram en juin 2016. Gageons que les services secrets du monde entier travaillent depuis des mois sur les failles de ces services pour les infiltrer.

6875

x
Rechercher dans les dossiers

Actuellement à la Une...
Quatre ans après que la Commission européenne ait condamné Cupertino à rembourser 13 milliards d’euros d’avantages fiscaux à l’Irlande, la Cour de Justice de l’Union Européenne donne finalement raison, sur la forme plus que sur le fond, à la marque à la pomme.

Au sommaire de ce numéro : IT DU MONDE D'APRÈS, IT DE DEMAIN (1) : automatisation, gestion de l'info, mobilité, sécurité - Health Data Hub : pourquoi tant de haine ? - Le VPN meilleure solution pour le télétravail ? - Project Reunion Microsoft : retour des apps universelles - Power Over Ethernet, une avancée discrète - Pourquoi Apple choisit ARM plutôt qu'Intel ? - La Silicon Valley dans tous ses états - Produits high tech de loisirs du moment...

L’éditeur indépendant d’origine russe de solutions de DLP (Data Leak Prevention) devient une filiale à part entière d’Acronis. Aucun détail n’a été donné sur la transaction.

L’éditeur de solutions de RPA (Robot Process Automation) lève de nouveau des fonds dans un tour E pour un montant de 225 M$.

HPE reprend Silverpeak, un éditeur de solutions SD-WAN, qui va renforcer l’offre Aruba, l’entité de mise en réseau de HPE.

Toutes les autres News
LIVRES BLANCS

Actuellement, il existe un gouffre entre les environnements informatiques traditionnels des entreprises et le cloud public. Tout diffère : les modèles de gestion, de consommation, les architectures applicatives, le stockage, les services de données.


Les avantages de l’architecture hyperconvergée étant de plus en plus reconnus, de nombreuses entreprises souhaitent l’utiliser pour des types d’applications variés. Cependant, son manque de souplesse pour une mise à niveau des ressources de calcul indépendantes de celles de stockage ne lui permet pas d’être utilisée plus largement.

Au cours de l’événement HPE Discover qui s’est tenu en juin 2019, HPE a répondu à cette préoccupation en présentant la plateforme HPE Nimble Storage dHCI.

Ce Livre Blanc IDC se penche sur les exigences du marché ayant stimulé le besoin de solutions HCI plus flexibles, puis il examine brièvement la solution HPE Nimble Storage dHCI en expliquant pourquoi elle répond à ce besoin.


Malgré des investissements massifs dans le développement à hauteur de près de 4 milliards de dollars l'année dernière, près de la moitié du temps consacré au DevOps est perdu dans la répétition des tâches et dans la logistique. Ceci fait que 90% des entreprises qui ont adopté ces pratiques sont déçues par les résultats, selon une étude publiée par le Gartner.


Découvrez dans ce livre blanc, les avantages des toutes nouvelles solutions NETGEAR, pour simplifier et rentabiliser vos déploiements, et gérer votre réseau à distance, où que vous soyez, au bureau ou en télé-travail.


OneTrust est une plateforme logicielle innovante de gestion de la confidentialité, de la sécurité des données personnelles et des risques fournisseurs. Plus de 4 000 entreprises ont choisi de faire confiance à cette solution pour se conformer au RGPD, au CCPA, aux normes ISO 27001 et à différentes législations internationales de confidentialité et de sécurité des données personnelles.

OneTrust vous propose de télécharger le texte officiel du Règlement Général sur la Protection des Données (RGPD). Vous aurez également la possibilité de recevoir la version imprimée de ce texte, sous forme de guide pratique au format A5, spiralé, en complétant le formulaire.


Tous les Livres Blancs
0123movie