Les protocoles de sécurité des e-mails sont extrêmement importants car ils renforcent la sécurité de vos communications numériques. Sans cette sécurité supplémentaire, n’importe qui pourrait intercepter le contenu de vos e-mails.
Les protocoles de sécurité de messagerie sont conçus pour sécuriser vos communications lors de leur passage entre les services de messagerie Web sur Internet. Dans ce blog, nous examinerons chacun des protocoles de sécurité couramment utilisés et expliquerons ce que chacun d’entre eux fait pour protéger vos e-mails.
En outre, nous mettrons en évidence le type de protocole de sécurité que vous devriez chercher à utiliser si vous souhaitez le cryptage de bout en bout le plus sécurisé pour vos e-mails.
Protocole de transfert – Qu’est-ce que SMTP?
Vous seriez pardonné de supposer que le protocole SMTP (Simple Mail Transfer Protocol) est un protocole de sécurité de messagerie. Ce n’est pas.
SMTP est un protocole de communication pour la transmission de courrier électronique qui ne contient aucune sécurité native. Ainsi, l’utilisation de SMTP seul laisse vos e-mails complètement vulnérables aux écoutes indiscrètes.
En conséquence, il est essentiel d’utiliser une sorte de protocole de sécurité de messagerie en plus de SMTP si vous souhaitez communiquer électroniquement sans que le contenu des e-mails ne soit facilement accessible à votre FAI et à quiconque les intercepte.
La bonne nouvelle est qu’il existe différents protocoles de sécurité disponibles qui fonctionnent en plus de SMTP, vous pouvez donc envoyer des e-mails sans qu’ils soient ouverts au monde entier.
Sécurité de la couche de transport
Transport Layer Security (TLS) est le protocole le plus couramment utilisé pour sécuriser les e-mails lorsqu’ils transitent sur Internet. Il s’agit d’un protocole de couche application qui fonctionne en plus de SMTP pour assurer la sécurité de vos e-mails. C’est le protocole prédominant utilisé par les clients et serveurs Web pour crypter les e-mails.
TLS fonctionne en fournissant un ensemble de règles (connu sous le nom de cadre de sécurité) pour sécuriser vos messages SMTP. TLS se compose de deux couches:
- La couche de prise de contact TLS (qui initie et valide la connexion)
- La couche d’enregistrement TLS (qui sécurise les données d’application à l’aide des clés créées lors de la poignée de main).
Ci-dessous, nous avons brièvement décrit le fonctionnement du processus:
Le protocole TCP (Transmission Control Protocol) est utilisé pour établir une liaison sécurisée entre le client de messagerie et le serveur de messagerie. Cela valide ces deux points de terminaison afin que le processus d’envoi d’un message en toute sécurité puisse commencer.
Une fois l’établissement de liaison effectué, le serveur de messagerie répond en renvoyant le certificat numérique TLS et la clé de chiffrement publique du serveur au client de messagerie.
À ce stade, le client vérifie le certificat et génère une clé secrète partagée (SSK) à l’aide de la clé publique, qui est renvoyée au serveur. Le serveur décrypte ensuite le SSK permettant au client et au serveur de commencer à transmettre vos e-mails privés.
TLS opportuniste vs TLS forcé
- Opportunistic TLS permet à un client de messagerie de passer d’une connexion en texte brut non sécurisée à une connexion chiffrée à la volée. STARTTLS est la commande de protocole de messagerie utilisée par le client de messagerie pour demander au serveur de messagerie cette connexion mise à niveau. Dans cette configuration, si la commande échoue, l’e-mail sera toujours envoyé sans cryptage.
- Forced TLS est une configuration de protocole qui insiste sur l’établissement d’une connexion TLS avant l’envoi d’un e-mail. Dans ce cas, si un tunnel chiffré entre le client de messagerie et le serveur ne peut pas être établi, l’e-mail ne sera pas envoyé au destinataire.
Certificats numériques
Les certificats numériques sont un type de cryptographie à clé publique qui peut être utilisé pour signer et crypter des e-mails afin de les envoyer en toute sécurité. Les certificats numériques fonctionnent en permettant aux personnes de communiquer des données entre elles à l’aide d’une clé publique prédéfinie.
Les certificats numériques sont installés directement sur votre ordinateur où ils résident pour valider l’identité de votre machine lors de l’envoi de données électroniques cryptées (dans ce cas, un e-mail).
Lorsque vous disposez d’un certificat numérique, la clé publique est disponible pour quiconque souhaite vous envoyer un e-mail. Lorsque vous recevez l’e-mail, vous le déchiffrez avec votre clé privée. Ce type de cryptographie est appelé cryptage asymétrique.
S / MIME
Les extensions de messagerie Internet sécurisées / polyvalentes (S / MIME) sont un protocole couramment utilisé pour envoyer des e-mails sécurisés avec un cryptage de bout en bout. Il est pris en charge par la grande majorité des services de messagerie et des clients.
S / MIME exploite les signatures appelées certificats numériques pour authentifier et envoyer des e-mails chiffrés qui ne peuvent être lus par personne d’autre que le destinataire autorisé. Cela rend les e-mails sécurisés contre les écoutes indiscrètes pendant leur transit.
S / MIME crypte toujours le contenu de vos e-mails avant qu’ils ne soient envoyés sur Internet. Cependant, les métadonnées contenues dans l’en-tête (telles que les détails sur l’expéditeur, le destinataire et toute autre partie de l’en-tête de l’e-mail) restent non chiffrées.
Il en résulte que les métadonnées sont potentiellement collectées par les FAI, les fournisseurs de messagerie électronique ou le gouvernement. Si vous souhaitez éviter cette couche de suivi, vous devrez vous abonner à un service de messagerie comme Tutanota.
Pretty Good Privacy (PGP) et OpenPGP
PGP – et sa variante open source OpenPGP la plus couramment utilisée – est un protocole de cryptage utilisé pour envoyer des e-mails cryptés de bout en bout hautement sécurisés (e2ee).
Il est largement considéré comme l’e2ee le plus sécurisé pour les e-mails et constitue le meilleur moyen d’envoyer des e-mails entièrement privés auxquels personne d’autre que le destinataire prévu ne peut accéder.
OpenPGP est disponible dans une grande variété de clients et de services de messagerie modernes, et peut même être utilisé dans des clients de messagerie qui ne le fournissent pas de manière native via l’utilisation d’une extension telle que Mailvelope ou FlowCrypt.
La configuration et l’utilisation d’OpenPGP sont parfois considérées comme techniques par les débutants en raison de la nécessité de créer une clé OpenPGP personnellepaire (les clés publiques et privées nécessaires pour ce type de cryptage asymétrique). Cependant, créer cette paire de clés et stocker / partager la clé publique est en fait l’un des moyens les plus simples d’obtenir une bien meilleure sécurité pour vos e-mails.
Comme pour les e-mails protégés par S / MIME, il convient de noter que les e-mails cryptés OpenPGP permettent toujours à des tiers tels que les FAI, les fournisseurs de messagerie et les agences gouvernementales de fouiner sur les métadonnées des e-mails contenues dans l’en-tête (comme l’identité de l’expéditeur et du destinataire) .
Cadre de politique de l’expéditeur (SPF)
Sender Policy Framework (SPF) est une méthode d’authentification de courrier électronique utilisée pour empêcher la falsification de l’adresse d’un expéditeur lors de la transmission d’un courrier électronique.
Cela empêche les spammeurs d’envoyer des messages qui semblent provenir du domaine de quelqu’un d’autre et aide à protéger les gens contre le phishing et les pièces jointes malveillantes (qui sont inévitablement plus efficaces lorsqu’un cybercriminel peut usurper un domaine légitime).
Le cadre de stratégie de l’expéditeur comprend trois composants principaux: le cadre, une méthode d’authentification et un en-tête de courrier électronique utilisé pour transmettre les informations.
Lorsqu’un e-mail est envoyé, l’enregistrement DNS dans l’en-tête («enveloppe de») peut être vérifié pour détecter si l’adresse IP d’origine était autorisée à envoyer l’e-mail. Si ce n’est pas le cas, le client de messagerie sait traiter l’e-mail comme suspect et le rejeter.
Messagerie identifiée par DomainKeys (DKIM)
DKIM est une autre méthode d’authentification utilisée pour détecter les adresses d’expéditeurs falsifiées. Comme avec SPF, DKIM permet à un serveur de messagerie de valider que l’expéditeur d’un e-mail est bien celui qu’il prétend être. Cela permet à DKIM d’empêcher le spam et le phishing.
DKIM fonctionne en donnant à un e-mail une signature numérique, qui est vérifiée pour s’assurer qu’elle provient du bon domaine. DKIM permet également de vérifier que l’expéditeur était autorisé à envoyer un e-mail à partir du domaine en question (pour éviter l’usurpation d’identité).
DMARC
L’authentification, la création de rapports et la conformité des messages basés sur le domaine (DMARC) est un protocole d’authentification de messagerie qui fonctionne en plus de DKIM et SPF. Il est également conçu pour donner aux utilisateurs la possibilité de protéger leur domaine contre l’usurpation d’e-mails.
DMARC ne peut être utilisé pour l’authentification que si SPF et DKIM ont été configurés. Une fois mis en œuvre correctement, l’outil DMARC Analyzer peut être utilisé pour accéder aux rapports DMARC qui contiennent des informations sur qui envoie des e-mails à partir d’un domaine.
DMARC fait cela en comparant le nom de domaine «en-tête de» au nom de domaine «enveloppe de» défini lors de la vérification SPF précédente. Utilisés en combinaison, ces trois éléments de sécurité offrent une protection plus fiable contre l’envoi d’e-mails non autorisés depuis votre domaine.
Pourquoi les protocoles de sécurité de messagerie sont-ils importants?
Quiconque envoie des e-mails sans tirer parti des protocoles de sécurité des e-mails expose ses données. En conséquence, leurs e-mails pourraient être interceptés et les données sensibles qu’ils contiennent pourraient être volées.
En plus de sécuriser les données contenues dans les e-mails, il existe des protocoles de sécurité qui empêchent les cybercriminels d’envoyer des e-mails qui semblent provenir de votre domaine.
Pour vous assurer que cela ne se produit pas, nous vous recommandons de configurer l’authentification SPF, DKIM et DMARK pour votre domaine de messagerie personnel. Et, si vous voulez un e2ee fort pour vos messages, nous vous recommandons d’opter pour un service de messagerie sécurisé offrant la compatibilité OpenPGP.
