Table des matières:
- Gmail n'est-il pas déjà crypté?
- Le chiffrement de bout en bout n'est pas nouveau
- Qu'est-ce que Google de bout en bout?
- Ce que Google n'est pas de bout en bout
- Quelques conseils utiles sur le cryptage
- La commodité est la clé
L'appeler FUD peut être un peu fort, mais il y a certainement beaucoup de confusion à propos de l'extension Google Chrome annoncée le 3 juin 2014, appelée End-to-End. Une fois libérée, l'extension permettra le cryptage de bout en bout des messages électroniques. Cela semble assez simple, non? Mais c'est là que la confusion commence, car la plupart des gens avaient l'impression que les messages Gmail étaient déjà cryptés. Et ils sont. Bon type de …
Gmail n'est-il pas déjà crypté?
Le moyen le plus simple d'expliquer le chiffrement actuel de Gmail est de penser au message électronique qui passe de l'ordinateur de l'expéditeur au destinataire du courrier électronique prévu. Pendant le transit, les messages numériques sont chiffrés via Transport Layer Security (TLS), un protocole qui assure la sécurité entre les applications client / serveur qui communiquent entre elles via Internet.
L'idée fausse entre en jeu lorsque le message est au repos chez l'expéditeur, les serveurs intermédiaires ou le destinataire. À ces points, le message n'est pas crypté. Une autre fois que le message n'est pas chiffré, c'est si le programme de messagerie du destinataire n'accepte pas les messages HTTPS (à l'aide de TLS). C'est pourquoi les experts disent que le cryptage Gmail actuel n'est pas "de bout en bout".
Google effectue le suivi du nombre de messages Gmail envoyés qui sont cryptés pendant le transport ainsi que du nombre de messages reçus par les utilisateurs de Gmail qui sont également cryptés en transit. Comme indiqué dans le rapport ci-dessous, jusqu'à 50% des messages Gmail ne sont pas chiffrés.
Le chiffrement de bout en bout n'est pas nouveau
Fait intéressant, il existe de véritables applications de chiffrement de messagerie de bout en bout, mais elles ne sont en aucun cas populaires. PGP et GnuPG en sont deux exemples. PGP est particulièrement intéressant dans la mesure où son créateur, Phil Zimmermann, a eu de sérieux problèmes avec le gouvernement américain lors de sa première création de PGP. La raison? PGP était trop efficace.
La question est, s'il est possible de crypter le courrier électronique de bout en bout, pourquoi les gens ne l'utilisent-ils pas? La réponse: lorsque la commodité et la sécurité se heurtent, la commodité gagne généralement. Et actuellement, le cryptage des e-mails est compliqué à configurer et difficile à utiliser. De plus, jusqu'à récemment, les gens n'étaient pas tellement préoccupés par le cryptage de leur courrier électronique. (En savoir plus sur la confidentialité et la sécurité dans Ce que vous devez savoir sur votre confidentialité en ligne.)
Une autre complication du chiffrement de bout en bout des e-mails est que les deux parties ont besoin d'un logiciel de chiffrement compatible. Si les programmes ne sont pas compatibles, l'e-mail ne sera pas décrypté. Ainsi, plutôt que de risquer de ne pas lire un e-mail, la plupart des expéditeurs ne se soucient pas du cryptage.
Qu'est-ce que Google de bout en bout?
Les développeurs de Google sont bien conscients des problèmes ci-dessus et ont créé un processus de cryptage convivial, "une extension Chrome qui vous aide à crypter, décrypter, signer numériquement et vérifier les messages signés dans le navigateur à l'aide d'OpenPGP." Cela placerait alors la nouvelle version de Google pour le cryptage des e-mails dans la catégorie "de bout en bout".
L'extension de chiffrement de Google a immédiatement suscité l'intérêt de la communauté de la confidentialité. Si End-to-End fait ce que dit Google, l'extension empêchera Google d'analyser le corps du message, ce que Google fait maintenant et considère une source de revenus. Dans un article de blog du 11 juin, Jim Ivers, stratège en chef de la sécurité de Covata, offre et explique.
"Je suppose que Google est prêt à échanger ce qu'il perdrait en données chiffrées pour conserver ses clients dans l'écosystème Google en semblant soucieux de la confidentialité de ses e-mails", écrit Ivers.
Ce que Google n'est pas de bout en bout
Les experts du chiffrement ont déjà bousculé les pneus de l'extension, et plusieurs problèmes potentiels sont apparus. Comme il s'agit d'une extension Chrome, le processus de cryptage nécessitera que l'expéditeur et le destinataire utilisent les navigateurs Web Chrome. La dernière fois que j'ai vérifié, Chrome était utilisé par moins de 50% des internautes.
D'autres problèmes sont que Google End-to-End n'est pas pris en charge sur les appareils mobiles; il semble que les pièces jointes resteront également non chiffrées pour le moment. Au total, il y a suffisamment de points négatifs pour donner aux experts la raison de douter d'une adoption à grande échelle.
Quelques conseils utiles sur le cryptage
L'idée derrière le cryptage est de maintenir la confidentialité entre l'expéditeur et le destinataire. Une chose que l'expéditeur doit prendre en considération est la suivante: que se passe-t-il si la personne qui reçoit l'e-mail chiffré le transmet sans chiffrement? Si le message est suffisamment important, l'expéditeur peut vouloir déclencher certains contrôles qui permettent uniquement au destinataire d'afficher, mais pas d'imprimer, de copier ou d'enregistrer le message.
"Les leçons sont claires: méfiez-vous des grands fournisseurs d'écosystème qui portent des cadeaux, lisez attentivement les détails des nombreuses mises en garde et exceptions, et adoptez une vue holistique du cryptage", écrit Ivers. C'est un bon conseil, surtout lorsque vous considérez combien il manque dans la nouvelle extension de chiffrement de Google. Bien sûr, la plus grande chose qui manque quand il s'agit d'adopter tout type de cryptage de bout en bout est la commodité.
La commodité est la clé
Google espère que son nouveau service Chrome fera du cryptage de bout en bout une option facile pour ses utilisateurs. Même ainsi, Google est réaliste. Stephan Somogyi, chef de produit, sécurité et confidentialité, a déclaré: "Nous reconnaissons que ce type de cryptage ne sera probablement utilisé que pour les messages très sensibles ou par ceux qui ont besoin d'une protection supplémentaire."
Google dit que End-to-End était toujours une version alpha et uniquement disponible pour la communauté des développeurs. La société a déclaré qu'une fois qu'elle jugerait que l'extension est prête et sans bogue, elle la rendra disponible dans le Chrome Web Store. C'est une solution imparfaite à la sécurité, mais elle est encore plus sécurisée. La question est, quelqu'un prendra-t-il la peine de l'installer?