Gmail sera plus vigilant en cas de lacune sur le chiffrement
Les utilisateurs de Gmail verront davantage de messages d’alertes en cas de messages reçus de serveurs de messagerie qui ne supportent pas le chiffrement. Qu’ils soient légitimes ou non.
Des équipes de sécurité de Google (Gmail et lutte anti-fraudes) l’ont annoncé en faisant le point à l’occasion de la publication d’une étude sur l’évolution de la sécurité sur les messageries réalisée entre décembre 2013 et octobre 2015 avec la collaboration des universités du Michigan et de l’Illinois.
On y découvre trois grands enseignements rassurants à travers une infographie, diffusée via une contribution blog.
D’abord, le volume de messages chiffrés par Gmail émanant d’expéditeurs hors de son service webmail est passé de 31% à 63%.
Sachant que Gmail a adopté le protocole de transfert hypertexte sécurisé par défaut (« default HTTPS »).
Deuxième enseignement, le pourcentage de messages chiffrés avec TLS (successeur de la couche SSL) et envoyés par les utilisateurs de Gmail vers des destinataires au-delà de cette sphère est passé de 60 à 80%.
Enfin, 94% des messages entrants sur les serveurs Gmail intègrent « une forme d’authentification » permettant de renforcer la lutte contre le phishing et les vulnérabilités associées aux serveurs de messagerie dans les traitements des rôles utilisateurs (« impersonation »).
Au nom de Gmail, Google annonce une série de mesures. La compatibilité du chiffrement avec les services d’envois d’e-mails demeure problématique.
« Il existe toujours des serveurs de messagerie légitimes qui ne supportent pas le chiffrement mais Gmail veut protéger sa ‘sphère’. Par conséquent, les utilisateurs de Gmail verront davantage de messages d’alertes lorsqu’ils recevront des messages en provenance de ces serveurs, légitimes ou non. »
Dans le même ordre d’idée, Google et ses partenaires de recherche pour la sécurité des messageries s’inquiètent des serveurs DNS manipulés qui publient des informations de routage faussées vers des serveurs de messagerie comme Gmail.
Ces types d’attaques sont rares, admet Google. Mais elles n’en demeurent pas moins inquiétantes. C’est à ce titre également que les utilisateurs de Gmail recevront également davantage de messages d’alertes en cas de lacune sur le front du chiffrement.
Au-delà du cas Gmail, il existe à zones à risques d’envoi de mails, selon Google qui cite 7 pays : Tunisie, Iraq, Papouasie Nouvelle-Guinée, Népal, Kenya, Ouganda, et Lesotho.
De manière plus approfondie, Google s’attelle avec des partenaires industriels comme le Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG) à renforcer la dimension « opportunistic TLS » en exploitant les technologies que Google a intégrées dans son navigateur Chrome pour protéger les sites Web des attaques par interception (type Man in the Middle).
Mais il faut prendre quelques précautions, estime Stéphane Bortzmeyer, spécialiste architecte systèmes et réseaux à l’AFNIC, dans une contribution blog en date du 18 octobre 2015. « La sécurité de SMTP va donc forcément être ‘opportuniste’ (RFC 7435), c’est-à-dire ‘on chiffre quand on peut’ (au passage, attention en lisant les textes sur la sécurité en anglais : ‘opportunistic security’ est un terme flou, qui désigne des choses très différentes selon les auteurs). Ce n’est pas du vocabulaire standardisé de la sécurité. »