Sécurité et confidentialité des e-mails

Les failles de l'e-mail

Le courrier électronique est loin d'être sûr. Explications.

De par sa conception (lire l'e-mail, comment ça marche), le courrier électronique n'est pas sécurisé. Que ce soit au niveau de l'authentification ou au niveau de l'acheminement, nombreuses sont les failles de sécurité potentielles.

Un acheminement... très transparent !

En se rendant d'un ordinateur à un autre, le courrier passe par de nombreux serveurs-relais, où des personnes peu scrupuleuses peuvent aisément en faire une copie ou en prendre connaissance. Vous en doutez ? Prenons un exemple totalement fictif.

Gérard vient d'ouvir un compte sur une banque en ligne. Celle-ci l'avertit par e-mail que son code d'accès au compte change.

Nul besoin de préciser que cette information est sensible. Pour peu qu'il connaisse également le numéro de compte, un internaute peu scrupuleux qui tombe sur ce message peut accéder au compte bancaire de Gérard et y réaliser toutes les opérations possibles.

Or par la conception même de l'e-mail et ses protocoles, ce message circule à découvert (non chiffré ou crypté) sur Internet. Et un petit nombre de personnes peut, sans grand effort, y avoir accès.

	Une copie du message peut être stockée sur l'ordinateur qui a servi à l'envoi, par exemple dans la boîte d'envoi du logiciel de messagerie.
	Un employé peu scrupuleux du fournisseur d'accès de la banque ou un membre du service informatique de la société peut intercepter le message sur le serveur SMTP qui gère l'envoi.
	Le message peut être intercepté sur l'un des serveurs, qui relaient le message. Géographiquement, ces serveurs peuvent être situés n'importe où.
	Un employé peu scrupuleux du fournisseur d'accès de Gérard (ou s'il utilise sa boîte professionnelle, un membre du service informatique de sa société) peut intercepter le message sur le serveur de stockage des e-mails.
	Les proches ou les collègues de Gérard peuvent lire le message sur son ordinateur.

Les possibilités d'interception du message sont donc nombreuses. On a d'ailleurs l'habitude de dire qu'un courrier électronique non chiffré (ou non crypté) est aussi confidentiel qu'une carte postale (réelle). Cette dernière peut être lue en effet au bureau de poste de départ, dans les différents centres de tri et par le facteur qui vient vous l'amener.

Une authentification auprès des serveurs... en clair !

Quand une boîte aux lettres est relevée en utilisant le protocole standard POP, le nom d'utilisateur et mot de passe sont envoyés en clair sur Internet. Cela signifie que toute personne ayant la capacité d'"écouter" la transmission est en mesure de récupérer votre nom d'utilisateur et mot de passe

Une identité de l'expéditeur... falsifiable !

Cela est sans compter que vous ne pouvez pas être certain que l'identité de l'expéditeur n'a pas été usurpée. Avec le courrier postal, vous avez l'habitude d'identifier instantanément l'expéditeur par son écriture ou le papier à lettres utilisé. Avec l'e-mail, c'est beaucoup plus difficile. Et il est relativement simple de se faire passer pour un autre sur le Net (on ne vous dira pas comment faire...).

En conclusion

Vous l'aurez compris : côté confidentialité, côté identification de l'expéditeur également, le courrier électronique n'est, par défaut, pas sûr.

Certes, on peut aisément se contenter de cet état de fait lorsqu'on envoie des recettes de cuisine ou des histoires drôles à ses correspondants. C'est en revanche beaucoup plus préoccupant lorsqu'on fait passer des informations confidentielles comme des informations bancaires, des projets de développement ou d'acquisition pour une société, voire des actions politique dans des pays peu démocratiques.

Pour remédier à ces faiblesses, plusieurs solutions ont été mises en place : la connexion sécurisée, le chiffrement (cryptage) des messages et la signature numérique.

la connexion sécurisée (SSL)