Gmail introduit les emails avec verrou

Désormais, les utilisateurs peuvent voir si les emails qui arrivent chez Gmail sont sûrs. Si c’est le cas, l’e-mail reçoit un marquage spécial. Pour le moment, ce service n’est disponible qu’aux États-Unis. Il y a donc beaucoup de travail à faire pour les entreprises qui envoient d’énormes quantités d’emails. Leur principal défi étant de s’assurer de la conformité de leurs emails, sinon ils risquent de voir ceux-ci disparaître à la poubelle.

En 1995, le spécialiste de la sécurité, Bruce Schneier, a comparé l’envoi d’un courrier électronique à celui d’une carte postale: «C’est comme une carte postale que tout le monde peut lire en cours de route». Vingt ans plus tard, nous pouvons réfuter cette comparaison. Cette nouvelle technologie rend plus difficile la lecture en cours de route.

Dans son blog, Google a récemment annoncé que les e-mails entrants et sortants seraient marqués d’une icône de verrou rouge. Ce verrou indiquera au destinataire et à l’expéditeur si le courrier électronique est sécurisé. En fait, il s’agit de la variante « courrier électronique » des sites Web sécurisés utilisant le protocole https que nous connaissons déjà. Il est maintenant plus difficile pour les pirates informatiques de lire et de capturer de tels emails.

À quoi cela ressemble-t-il?

L’image ci-dessous montre le nouveau verrou utilisé par le webmail de GMAIL. Google vérifie si une connexion sécurisée a été utilisée pour les emails entrants et sortants. Un verrou ouvert indique que le transfert n’était pas sécurisé et Google vous en avertit.

Outre l’avertissement de sécurité, Google introduit également un « point d’interrogation » si l’authenticité du message entrant est discutable. En d’autres termes, s’il existe des doutes sur le fait que l’expéditeur est vraiment celui qu’il prétend être. Il sera affiché comme ceci:

Cela signifie qu’il y aura un point d’interrogation sur la photo de l’expéditeur si le courrier ne peut pas être authentifié. Un point d’interrogation signifie que l’origine de l’e-mail ne peut pas être déterminée et qu’il peut s’agir d’une tentative de phishing.

Comment cette protection fonctionne-t-elle et les emails sont-ils vraiment sécurisés?

La sécurité est basée sur la norme de sécurité TLS (Transport Layer Security). Cette norme de sécurité existe depuis quelques années et de plus en plus d’expéditeurs et de destinataires (Google) la prennent en charge. Google la rend maintenant visible dans son client Web Gmail.

L’utilisation de TLS ne garantit pas à 100% la sécurité de vos emails. TLS ne concerne pas la totalité du transfert des emails entre l’expéditeur et le destinataire, mais seulement la partie du processus entre les serveurs de messagerie,on parle de «Cryptage du courrier électronique en transit». Des normes telles que S / MIME et OpenPGP couvrent, quant à elles, le transfert complet des emails. TLS est toutefois une nette amélioration!

Plus de 80% des FAIs prennent en charge le protocole TLS.

Dans l’illustration ci-dessous, Google montre clairement à quel point la sécurité des emails a progressé. À l’heure actuelle, 60% de tous les emails sont envoyés avec TLS et celui-ci est pris en charge par environ 80% des FAI (Hotmail, Yahoo, Gmail, etc.). Certains petits FAIs en sont encore un peu à la traîne (par exemple, free.fr). 94% de tous les e-mails prennent maintenant en charge les authentifications SPF et DKIM.

L’avenir des sécurité de emails, prélude à DMARC?

Les nouvelles fonctionnalités de sécurité sont un bon moyen de prévenir les abus du canal email. Les destinataires et les expéditeurs ont la balle dans leur camp.

Il appartient au destinataire des emails d’agir en fonction des informations qu’il reçoit: si vous soupçonnez quelque chose, jetez l’email immédiatement.

Les expéditeurs doivent s’assurer que lors des envois d’emails en masse, TLS est appliqué et que les emails sont authentifiés par SPF et / ou DKIM.

Enfin, un mot sur l’authenticité des emails. Les nouvelles mesures de Google vont également ouvrir la voie à DMARC, une couche de sécurité supplémentaire (au-dessus des SPF et DKIM) qui empêche le phishing et l’usurpation d’identité (envoi d’emails sous un faux nom).

DMARC ajoute une couche de sécurité au domaine d’envoi «visible». Concrètement, cela signifie que les noms de domaine ne peuvent être plus être utilisés à des fins criminelles. DMARC est déjà utilisé par les plus grands acteurs (Gmail, Hotmail, YAHOO, etc.).

Il est fort probable que Gmail affichera bientôt aussi une notification DMARC en plus d’un verrou TLS. Globalement, cela indique clairement que les marques sensibles au phishing (banques, grands détaillants et institutions gouvernementales) doivent absolument donner la priorité à la mise en œuvre de DMARC.

Plus d’informations?
Si vous souhaitez en savoir plus sur la manière dont nous pouvons vous aider, envoyez-nous simplement un message via notre page de contact.

Share this

Les commentaires sont fermés.

Vous trouverez ci-dessous une liste d’articles tout aussi intéressants classés par catégorie.