Les protocoles de sécurité des e-mails sont des structures qui protègent les e-mails des utilisateurs des interférences extérieures. Le courrier électronique a besoin de protocoles de sécurité supplémentaires pour une raison : le Simple Mail Transfer Protocol (SMTP) n'a pas de sécurité intégrée. Une nouvelle choquante, n'est-ce pas ?
De nombreux protocoles de sécurité fonctionnent avec SMTP. Voici ces protocoles et comment ils protègent votre courrier électronique.
En savoir plus sur les protocoles de sécurité de la messagerie
1. Comment SSL/TLS assure la sécurité des e-mails
Secure Sockets Layer (SSL) et son successeur, Transport Layer Security (TLS), sont les protocoles de sécurité de messagerie les plus populaires pour protéger les e-mails lors de leur transit sur Internet.
SSL et TLS sont des protocoles de couche application. Dans les réseaux de communication Internet, la couche application normalise la communication pour les services des utilisateurs finaux. Dans ce cas, la couche application fournit un cadre de sécurité (un ensemble de règles) qui fonctionne avec SMTP (également le protocole de couche application) pour sécuriser les communications par courrier électronique des utilisateurs.
Cette partie de l'article ne traitera que de TLS car son prédécesseur, SSL, est obsolète depuis 2015.
TLS offre une confidentialité et une sécurité supplémentaires pour la « communication » avec les programmes informatiques. Dans ce cas, TLS assure la sécurité pour SMTP.
Lorsque l'application de messagerie de l'utilisateur envoie et reçoit des messages, elle utilise le protocole de contrôle de transmission (TCP - qui fait partie de la couche de transport et le client de messagerie l'utilise pour se connecter au serveur de messagerie) pour lancer la « prise de contact » avec le serveur de messagerie.
Une poignée de main est une série d'étapes au cours desquelles le client de messagerie et le serveur de messagerie confirment les paramètres de sécurité et de cryptage, puis commencent la transmission du courrier électronique. À la base, les poignées de main fonctionnent comme ceci :
1. Le client envoie le message « bonjour », les types de cryptage et les versions TLS compatibles au serveur de messagerie (serveur de messagerie).
2. Le serveur répond avec le certificat numérique TLS et la clé de cryptage publique du serveur.
3. Le client vérifie les informations du certificat.
4. Le client génère une clé secrète partagée (également appelée clé pré-maître) à l'aide de la clé publique du serveur et l'envoie au serveur.
5. Le serveur déchiffre la clé secrète partagée.
6. À ce stade, le client et le serveur peuvent utiliser la clé secrète partagée pour crypter la transmission des données, en l'occurrence l'e-mail de l'utilisateur.
TLS est important car la majorité des serveurs de messagerie et des clients de messagerie l'utilisent pour fournir un niveau de cryptage de base pour les e-mails des utilisateurs.
TLS opportuniste et TLS forcé
TLS opportuniste est une commande de protocole qui informe le serveur de messagerie que le client de messagerie souhaite transformer une connexion existante en une connexion TLS sécurisée.
Parfois, le client de messagerie d'un utilisateur utilise une connexion en texte brut au lieu de suivre le processus d'établissement de liaison ci-dessus pour créer une connexion sécurisée. TLS opportuniste tentera d’initier une poignée de main TLS pour créer le « tunnel ». Cependant, si la négociation échoue, Opportunistic TLS reviendra à la connexion en texte brut et enverra l'e-mail sans cryptage.
Forced TLS est une configuration de protocole qui force toutes les « transactions » de courrier électronique à utiliser la norme sécurisée TLS. Si l'e-mail ne parvient pas à passer du client de messagerie au serveur de messagerie, puis au destinataire de l'e-mail, le message ne sera pas remis.
2. Certificat numérique
Le certificat numérique est un outil de cryptage qui peut être utilisé pour sécuriser cryptographiquement les e-mails. Le certificat numérique est un type de cryptage à clé publique.
L'authentification permet aux utilisateurs de vous envoyer des e-mails chiffrés avec des clés de chiffrement publiques prédéterminées, ainsi que de chiffrer les messages que vous envoyez à d'autres. Le Certificat Numérique agit alors comme un passeport, lié à une identité en ligne et son utilisation principale est d'authentifier cette identité.
En disposant d'un certificat numérique, la clé publique est accessible à toute personne souhaitant vous envoyer des messages cryptés. Ils chiffrent leur document avec votre clé publique et vous le déchiffrez avec votre clé privée.
Les certificats numériques peuvent être utilisés par des particuliers, des entreprises, des organisations gouvernementales, des serveurs de messagerie et presque toute autre entité numérique pour authentifier des identités en ligne.
3. Empêchez l'usurpation de domaine avec Sender Policy Framework
Sender Policy Framework (SPF) est un protocole d'authentification qui protège théoriquement contre l'usurpation d'identité de domaine.
SPF introduit des contrôles de sécurité supplémentaires qui permettent au serveur de déterminer si les messages proviennent du domaine ou si quelqu'un utilise le domaine pour cacher sa véritable identité. Un domaine est une partie d'Internet portant un nom unique. Par exemple, Quantrimang.com est un domaine.
Les pirates et les spammeurs cachent souvent leurs domaines lorsqu'ils tentent de pénétrer dans le système ou d'arnaquer les utilisateurs, car à partir du domaine, il est possible de retracer l'emplacement et le propriétaire ou au moins de voir si le domaine est sur la liste. En déguisant un e-mail malveillant en domaine actif « sain », il est très probable que les utilisateurs ne se méfieront pas lorsqu'ils cliqueront ou ouvriront une pièce jointe malveillante.
Le Sender Policy Framework comprend trois éléments principaux : le cadre, les méthodes d'authentification et les en-têtes de courrier électronique spécialisés qui transmettent des informations.
4. Comment DKIM sécurise les e-mails
DomainKeys Identified Mail (DKIM) est un protocole anti-falsification qui garantit la sécurité des messages envoyés pendant la transmission. DKIM utilise des signatures numériques pour vérifier que les e-mails ont été envoyés par des domaines spécifiques. De plus, il vérifie également si le domaine permet l'envoi d'e-mails. DKIM est une extension de SPF.
En pratique, DKIM facilite l’élaboration de « listes noires » et de « listes blanches ».
5. Qu'est-ce que DMARC ?
Le prochain protocole de sécurité de la messagerie électronique est DMARC (Domain-Based Message Authentication, Reporting & Conformance). DMARC est un système d'authentification qui valide les normes SPF et DKIM pour se protéger contre les actions frauduleuses provenant d'un domaine. DMARC est une fonctionnalité importante dans la lutte contre l'usurpation d'identité de domaine. Cependant, le taux d’adoption relativement faible signifie que la contrefaçon reste endémique.
DMARC fonctionne en empêchant la falsification d'en-tête à partir de l'adresse de l'utilisateur. Il le fait par :
- Faites correspondre le nom de domaine « en-tête de » avec le nom de domaine « enveloppe de ». Le domaine « enveloppe de » est identifié lors des tests SPF.
- Faites correspondre le nom de domaine « enveloppe de » avec « d= nom de domaine » trouvé dans la signature DKIM.
DMARC indique à un fournisseur de messagerie comment gérer tout e-mail entrant. Si l'e-mail ne répond pas aux tests SPF et aux normes d'authentification DKIM, il sera rejeté. DMARC est une technologie qui permet aux domaines de toutes tailles de protéger leurs noms de domaine contre l'usurpation d'identité.
6. Chiffrement de bout en bout avec S/MIME
Les extensions de messagerie Internet sécurisées/multi-usages (S/MIME) sont un protocole de chiffrement de bout en bout de longue date. S/MIME encode le contenu de l'e-mail avant son envoi, à l'exclusion de l'expéditeur, du destinataire ou d'autres parties de l'en-tête de l'e-mail. Seul le destinataire peut décrypter le message de l'expéditeur.
S/MIME est implémenté par les clients de messagerie mais nécessite un certificat numérique. La plupart des clients de messagerie modernes prennent en charge S/MIME, mais les utilisateurs devront toujours vérifier la prise en charge spécifique de leur application et de leur fournisseur de messagerie.
7. Qu'est-ce que PGP/OpenPGP ?
Pretty Good Privacy (PGP) est un autre protocole de chiffrement de bout en bout de longue date. Cependant, les utilisateurs sont plus susceptibles d'avoir rencontré et utilisé son homologue open source, OpenPGP.
OpenPGP est la version open source du protocole de chiffrement PGP. Il reçoit des mises à jour régulières et les utilisateurs le trouveront dans de nombreuses applications et services modernes. Comme S/MIME, les tiers peuvent toujours accéder aux métadonnées des e-mails, telles que les informations sur l'expéditeur et le destinataire de l'e-mail.
Les utilisateurs peuvent ajouter OpenPGP à leur configuration de sécurité de messagerie à l'aide de l'une des applications suivantes :
- Windows : les utilisateurs de Windows devraient considérer Gpg4Win.org.
- macOS : les utilisateurs de macOS devraient consulter Gpgtools.org.
- Linux : les utilisateurs de Linux doivent choisir GnuPG.org.
- Android : les utilisateurs d'Android devraient consulter OpenKeychain.org.
- iOS : les utilisateurs iOS doivent choisir PGP Everywhere. (pgpeverywhere.com)
L'implémentation d'OpenPGP dans chaque programme est légèrement différente. Chaque programme a un développeur différent qui configure le protocole OpenPGP pour utiliser le cryptage des e-mails. Cependant, ce sont tous des programmes de cryptage fiables auxquels les utilisateurs peuvent faire confiance pour leurs données.
OpenPGP est l'un des moyens les plus simples d'ajouter du chiffrement sur diverses plates-formes.
Les protocoles de sécurité des e-mails sont extrêmement importants car ils ajoutent une couche de sécurité aux e-mails des utilisateurs. Fondamentalement, le courrier électronique est vulnérable aux attaques. SMTP n'a pas de sécurité intégrée et l'envoi d'e-mails en texte brut (c'est-à-dire sans aucune protection et toute personne qui l'intercepte peut lire le contenu) est très risqué, surtout s'il contient des informations sensibles.
J'espère que vous trouverez le bon choix !
En savoir plus :
