X
Messageries sécurisées : des solutions pour tous les usages
Alain Clapaud / vendredi 12 mai 2017 / Thèmes: Sécurité SI, Dossier

Messageries sécurisées : des solutions pour tous les usages

L’actualité de ces derniers mois l’a démontré : si l’on veut réellement que les échanges d’e-mails soient sécurisés, il est impératif de chiffrer les messages. Or, la cryptographie est considérée comme trop lourde à utiliser pour la majorité des utilisateurs. Mais une nouvelle génération de logiciels est apparue.

 

Beaucoup d’entre nous ont échangé nos premiers e-mails chiffrés avec le logiciel PGP développé par Philip Zimmermann. Un bel outil puissant qui a eu une riche descendance avec OpenPGP qui a été implémenté tant sous forme de divers plug-in Outlook ou Thunderbird que pour Apple Mail, mais l’ergonomie et même la philosophie d’emploi de PGP limite la diffusion du chiffrement fort hors du cercle des hacktivistes ou des entreprises et organisations liées au secteur de la Défense. Si PGP est trop complexe à utiliser et présente quelques inconvénient comme celui de laisser les métadonnées (destinataires, titre du message) non chiffrées, la solution de Philip Zimmermann n’a pas réellement pu briser le cercle des initiés.

Néanmoins, après la prise de conscience de l’ampleur des écoutes sur Internet révélée par Edward Snowden, les choses bougent rapidement. Les applications mobiles très simples d’utilisation comme WhatsApp, Telegram (lire notre encadré) ou les clients XMPP comme Jabber qui utilisent un chiffrement OTR (Off The Record) sur Tor ont mis la cryptographie dans les mains de tous et de nombreuses solutions peuvent être utilisées dans les entreprises ou à titre personnel sans difficultés.

Lavabit, le symbole

Le service emblématique de la messagerie sécurisée est aujourd’hui Lavabit. On sait que Edward Snowden était utilisateur de ce service. Après avoir été arrêté par Ladar Levison, son concepteur, en 2013 alors que le gouvernement américain avait exigé qu’il lui remette sa clef SSL, Lavabit a repris ses activités le 20 janvier 2017, le jour même de l’investiture de Donald Trump… Lavabit s’appuie sur la technologie maison baptisée DIME pour Dark Internet Mail Environment, son protocole de chiffrement point à point. Celui-ci est promu pour devenir un standard dans ce domaine via la Darkmail Technical Alliance, et il implémente trois niveaux de protection Trustful, Cautious & Paranoid. Certains experts jugeront le premier mode comme insuffisant puisque les clefs de chiffrement des utilisateurs sont répliquées au niveau du serveur Lavabit qui assure le chiffrement fort des messages. Ce mode paraît moins sécurisé, mais il offre l’avantage de pouvoir être utilisé depuis n’importe quel webmail ou client SMTP/POP3 et IMAP.

 

Lavabit est devenu le symbole même de la messagerie sécurisée étanche aux pressions du gouvernement américain. Le logiciel a été publié en Open Source.

De son côté, le mode « Cautious » paraît plus intéressant puisqu’il propose un vrai chiffrement de bout-en-bout. Le chiffrement fort est réalisé au niveau du poste de l’émetteur. Néanmoins une copie des clés privées est stockée sur le serveur Lavabit. Les plus paranoïaques opterons pour le mode « Paranoid », avec un chiffrement de bout-en-bout et stockage des clefs en local si bien que même Lavabit n’a pas accès à ces clefs et que même un raid des autorités dans son datacenter ne permettront à celle-ci de décoder les messages échangés. L’accès au service Lavabit est actuellement proposé à 15 $ par an pour une boîte aux lettres de 5 Go et 30 $ pour 20 Go. Lavabit a publié son serveur Magma en Open Source de manière qu’une entreprise ou un prestataire Internet peut mettre en place son propre service de messagerie sécurisée en s’appuyant sur la technologie DIME.

Sur ce marché de la messagerie sécurité, AppRiver a choisi une approche différente puisque sa solution permet de sécuriser Microsoft Office 365. La solution est pertinente car de nombreuses entreprises françaises ont fait le choix de la messagerie cloud de Microsoft mais cherchent maintenant comment accroître sa sécurité. CipherPost Pro implémente le protocole TLS, ce qui va permettre d’éviter le recours au très décrié SSL 2.0 et 3.0. L’éditeur américain propose des plug-ins pour Outlook et les navigateurs Web, que ce soit sous Windows et Mac OS. En outre, son application mobile est disponible tant pour iOS et Android, mais aussi BlackBerry et Windows Phone. Il faut noter que AppRiver a doté sa solution d’une fonctionnalité de signature électronique plutôt complète et bien intégrée. Le système de tracking de la réception et de la lecture des messages par ses destinataires est ergonomique et bien pensé. CipherPost Pro est incontestablement une offre bien adaptée aux besoins des grandes entreprises, pour peu qu’elles acceptent d’opter une solution d’un acteur américain.

 

Intégrée à Microsoft Office 365, la solution AppRiver CipherPost Pro met l’accent sur la simplification du chiffrement et la signature électronique des messages.

Plusieurs solutions « Made in France » en lice

Pour les entreprises françaises qui n’ont une confiance que relative dans la résistance des entreprises américaines vis-à-vis des pressions de leur gouvernement, plusieurs éditeurs nationaux propose une solution développée en France. Membre du consortium HexaTrust, le Lyonnais Prim’X propose Zed!, une solution de chiffrement « endpoint » globale qui inclut notamment un volet messagerie. Disponible en version Free/Pro ou Entreprise, sa solution présente l’avantage d’une grande portabilité. Elle est disponible sous Windows et Mac OS, mais aussi de nombreuses distributions Linux, dont Debian, Fedora, Mandriva, OpenSUSE, CentOS et Ubuntu. Une app iOS et Android est aussi disponible sur les App Store. Enfin, un plug-in Zed Mail est proposé pour Outlook, Outlook Web Access 2007 et Outlook Web App 2010. La version gratuite souffre de quelques limitations fonctionnelles et ne permet qu’un chiffrement AES 128 bits, contre AES 256 bits pour les versions payantes.

 

La solution Zed! de Prim’X Technologies fait partie des suites de chiffrement « endpoint » disponibles sur smartphone comme sur desktop.

Dans la même optique de protection globale du poste client, Vivaction propose Squareway, une solution qui se limite néanmoins aux mobiles iOS et Android – Vivaction appartient en effet à un opérateur télécom. Sa solution implémente un chiffrement SSL 256 bits pour les données, mais aussi la voix. La certification CSPN 1er niveau par l’Anssi est en cours. Elle est intéressante du fait que tous les échangés réalisés avec le smartphone seront sécurisées, depuis les flux de données, la messagerie instantanée, les e-mails mais aussi le flux voix. Dommage que la déclinaison Windows et Mac OS ne soit pas au catalogue de l’éditeur. Cette absence de vision multidevice est certainement un frein pour le marché entreprise.

Autre Français à proposer une solution de chiffrement fort pour la messagerie, StormShield. La filiale cybersécurité d’Airbus Defence and Space bénéficie de l’expérience d’Arkoon – société rachetée en 2013 – en la matière puisque sa Security Box étaient certifiée par l’Anssi dès 2012. Sa solution StormShield Data Protection offre un chiffrement AES 256 bits avec une identification possible par carte à puce ou token cryptographique. Il est à noter que StormShield a réalisé une intégration avec Dropbox qui permet de partager de manière transparente des fichiers sur le service d’hébergement de fichiers américain. En outre, la solution est disponble sur iOS et Android dans sa version mobile.

La Suisse, l’autre pays du chiffrement

On le sait peu, mais un autre pays est très actif dans le domaine des solutions de messageries chiffrées, c’est la Suisse. L’argument avancé par l’éditeur Proton Technologies est sibyllin : l’entreprise est basée à Genève et tous ses serveurs sont hébergés en Suisse, si bien que ni les autorités américaines, ni les autorités européennes ne peuvent contraindre l’entreprise à livrer le contenu de ses serveurs. L’argument est discutable et discuté y compris sur les forums de l’éditeur, mais il peut faire mouche auprès de ce qui se méfient autant du gouvernement Trump que de l’activisme du gouvernement français en la matière d’écoutes sur Internet. Créée à l’origine par les chercheurs du CERN pour leurs propres besoins, ProtonMail est une solution essentiellement conçu pour un usage mobile, même si un Webmail est disponible. Le code est Open Source, publié sur Github et l’éditeur s’appuie sur des librairies open source pour assurer le chiffrement des données. Son Webmail est ainsi motorisé avec OpenPGPjs, une librairie de chiffrement JavaScript, dont l’éditeur est devenu le premier contributeur.

Autre acteur helvète important parmi les solutions de chiffrement de messagerie, SEPPmail. Le Suisse « allemand » propose une solution hardware de chiffrement de messagerie avec quatre modèles d’appliance de puissances croissantes. Il est aussi possible de déployer la solution sous forme d’appliance virtuelle VMware, Hyper-V ou Red Hat KVM. La spécificité de la solution est de s’appuyer sur une technologie brevetée par l’éditeur, GINA. Celle-ci vient s’intégrer à Microsoft Outlook et permet d’envoyer un message chiffré à n’importe quel internaute, même s’il ne dispose pas de la solution. Lorsque celui-ci reçoit le message chiffré, il clique sur un lien pour se rendre sur un webmail où lui est demandé le mot de passe qui lui a été transmis en parallèle par téléphone ou SMS. Cette volonté de simplifier l’envoi d’emails chiffrés connait un certain succès dans le monde germanique car l’éditeur livre une liste de quelques-uns de ses clients, et parmi eux de nombreuses banques allemandes et suisses – SwissLife, la Swiss Post, SwissBanking, ING DiBa et encore le cabinet KPMG…

 

Le Suisse SEPPmail propose l’envoi de messages chiffrés via Internet en parallèle du mot de passe via SMS.

Vingt-six ans après que Philip Zimmermann a inventé PGP, force est de constater que les solutions de chiffrements sont de plus en plus populaire sur les mobiles, mais peinent toujours à s’imposer sur les poste de travail. Les solutions client lourd, jugées trop complexes à manipuler et trop contraignantes par leurs utilisateurs, font peu à peu place à des solutions totalement intégrées aux clients de messagerie où les contraintes liées à la gestion des clefs de chiffrement ont été diminuées afin que chaque internaute puisse enfin sécuriser ses échanges. ❍

 

Même avec un plugin moderne du type Enigmail, l’utilisation de PGP reste complexe pour des utilisateurs peu sensibilisés par les enjeux de la sécurité informatique.


Blackphone

Une tentative de smartphone sécurisé pour tous

Il existe bien peu de smartphones réellement sécurisés. Ceux-ci, comme le Teorem de Thales, le Boeing Black ou les Bull Hoox K3 et K30 sont des smartphones conçus pour sécuriser leur contenu et les échanges données et voix, mais leur design et leurs performances sont, par nature, en deçà des nouveaux smartphones lancés tous les six mois. En outre, leur coût, s’élevant à plusieurs milliers d’euros pour certains, est totalement incompatible avec un déploiement de masse dans une entreprise. Même les chefs d’État et présidents de grandes entreprises, à qui ces terminaux sont pourtant destinés, sont souvent pris en flagrant délit d’utiliser un iPhone, bien plus ergonomique. Avec son Blackphone 2, Silent Circle tente de proposer le smartphone sécurisé pour tous. Fonctionnant sous Silent OS, un Android durci, le Blackphone reste un smartphone de milieu de gamme, vendu au prix du haut de gamme et dont le succès reste encore modeste. Silent Circle vient d’annoncer une baisse du prix de son Blackphone 2 à 600 $. Pas sûr que ce soit suffisant pour mettre la sécurité dans toutes les poches !


WhatsApp, Telegram, Signal...

Ces Apps qui ont démocratisé le chiffrement fort auprès du grand public

Pointées du doigt par les gouvernements pour permettre les échanges d’informations entre terroristes ou émeutiers, les apps de messagerie telles que WhatsApp, Telegram ou Signal connaissent une popularité considérable auprès du grand public. Avec plus de 1 milliard d’utilisateurs, WhatsApp est un poids lourd qui est même parfois utilisé par certains dirigeants d’entreprise. Si l’application offre un chiffrement de bout en bout réputé sûr, l’acquisition de WhatsApp par Facebook a fait émerger une crainte quant à l’étanchéité du service vis-à-vis de son propriétaire. Une vulnérabilité à été signalée en début d’année, tout comme ce fut le cas de Telegram en juin 2016. Gageons que les services secrets du monde entier travaillent depuis des mois sur les failles de ces services pour les infiltrer.

Print
3775

x
Rechercher dans les dossiers
Actuellement à la Une...
L’Informaticien rentre de vacances tout beau et tout bronzé. Il s’en est passé des choses, ces deux dernières semaines, du mal-être d’Elon Musk au fichage politique de Twittos en passant par la nomination de Keith Block co-CEO de Salesforce : l’heure est venue de faire un résumé des actualités marquantes des vacances.

C’est dans le cadre d’une affaire criminelle que le Department of Justice exige de Facebook qu’il donne aux enquêteurs accès aux conversations audio d’un suspect. Mais cette fonctionnalité est chiffrée de bout-en-bout et le réseau social refuse de se plier à la demande, estimant qu’il lui faudrait réécrire le code de son application pour supprimer le chiffrement, ce qui impactera l’ensemble de ses utilisateurs.

Tweetbot ou encore Twitterific vont au devant d’une crise : le fonctionnement de ces services de curation de tweets repose en majeure partie sur deux API, User Streams et Site Streams. Or Twitter a décidé de fermer ces interfaces. Restent aux clients tiers deux solutions : proposer un service dégradé ou mettre la main au portefeuille.

La plateforme américaine a subi en juin une intrusion sur ses serveurs, une attaque « sérieuse » qui a vu fuir les mails envoyés par Reddit à ses utilisateurs en juin 2018, ainsi qu’une vieille base de données contenant identifiants et mots de passe chiffrés des utilisateurs entre 2005 et 2007. Le piratage a été rendu possible par une authentification par SMS défaillante.

Siemens mise sur la numérisation de l’industrie, en réalisant depuis plusieurs années des efforts en R&D dans MindSphere, son système d’exploitation pour l’usine. Une plateforme qu’il va renforcer avec une dimension Low Code par le biais du rachat de Mendix.

L’équipementier enrichit son portefeuille Networking and Security Business avec le rachat de cette start-up à l’origine d’une solution SaaS d’accès unifié et d’authentification multifacteur. Objectif de cette opération à 2,35 milliards de dollars : offrir à ses clients la possibilité de connecter en toute sécurité un utilisateur à n'importe quelle application sur n'importe quel réseau dans un monde multicloud.

Dans la série des publications trimestrielles des GAFAM et autres valeurs high tech en vue, Apple a de quoi rassurer par la solidité et la régularité de ses performances. Pour la première fois le X est le plus vendu des iPhone. Les 1000 milliards de capitalisation sont en vue.

Le spécialiste de la gestion de données et Nvidia font cause commune pour fournir une nouvelle architecture pour les applications de deep learning.

Selon une information de CNBC relayée par CRN aux USA, AWS vise à éliminer complètement les technologies Oracle de ses services e-commerce d’ici le premier trimestre 2020.

A mort les mots de passe et vive Web Authentication, hurle Microsoft en ce début août. L’éditeur annonce en fanfare l’arrivée de cet ensemble de technologies d’authentification en ligne sur son navigateur, permettant aux internautes de préférer la biométrie, reconnaissance digitale ou faciale (donc Windows Hello) ou encore les clés physiques aux si faibles mots de passe.

Toutes les News

LIVRES BLANCS

Pour répondre aux exigences de rapidité du modèle DevOps en conservant une cybersécurité efficace, de nouvelles approches doivent être adoptées en matière de sécurité de l'information, comme la sécurité intégrée, l’automatisation et la prévention proactive.


PROTECTION ENDPOINT NEXT-GEN : ÉVOLUTION OU RÉVOLUTION ?, un Livre Blanc SOPHOS.

Après la révolution Next-Gen Firewall de ces dernières années, une nouvelle révolution Next-Gen est cours dans le domaine de la sécurité des systèmes Endpoint. Au-delà du débat pour savoir s’il s’agit d’une révolution ou d’une simple évolution, il est certain qu’une série de nouvelles technologies est en train de rapidement émerger, en apportant une contribution significative à la lutte contre les menaces avancées.


En tant que professionnel de l'informatique, vous en avez sans doute assez d'entendre parler de transformation numérique. Après tout, vous vous occupez déjà d'optimiser la gestion des actifs et de déployer les programmes big data, tout en assurant la protection et la restauration de toutes les données de votre organisation. Or, la transformation numérique peut devenir un projet d'envergure qui ne consiste pas seulement à gérer des données, mais aussi à repenser entièrement le modèle de l'entreprise et/ou à développer une nouvelle stratégie produit innovante, dans les scénarios les plus ambitieux.

  


Atteignez vos objectifs de conformité tout en améliorant votre sécurité avec le PAM (Privileged Access Management = Gestion des accès à privilèges). Un Livre Blanc Wallix.

  


Aujourd’hui, les entreprises doivent ouvrir leur SI à un nombre toujours plus important de prestataires extérieurs, d’abord pour réduire le budget informatique – recours à des prestataires externes pour des compétences qui ne font pas partie du cœur de métier de la DSI - ensuite pour gagner en rapidité dans le déploiement de nouvelles solutions.

  


Tous les Livres Blancs