- Création de sites web, blogs,
  pages Facebook
- Hébergement
- Gestion de mail avec antispam
- Dépôt de noms de domaine

3 rue Blomet
75015 Paris

Tél  01 47 31 85 41


Rechercher
 
[Tout voir]
Catégories
  C ds l'r
  HiTech
  Internet
  Siteparc
  Photo
  Ailleurs Land
  PC-Mac

   

Derniers commentaires
[Comment reconnaitre un email frauduleux]
Colette34 : Mise à jour de mon GPS Tomtom impossible sur le si (10/06/2017)

[Nouveau site : Alz Junior]
'Orientation scolaire : Tres intéressant dans le cadre de l'Orientation sc (16/12/2016)

[Nouveau site : Alz Junior]
ENfant : Tres intéressant dans le cadre de l'Orientation sc (16/12/2016)

[Le prix d'un CD]
MusicHome : Mon contact producteur et studio : dessabba@gmail. (02/09/2016)

[Le prix d'un CD]
MusicHome : je produis des artistes avec un vrai projet et un (02/09/2016)


Références
Mentions légales
Photo Zach Dischner
 
Chiffrez, si vous pouvez !
Par Frédéric Dumas, vendredi 25 janvier 2013 à 09:08 - Internet

Envoyer des e-mails, c'est comme envoyer une lettre par la Poste sans enveloppe. Les e-mails sont relayés en clair, sans mécanisme protégeant leur confidentialité. Au moins dans notre milieu IT, tout le monde le sait. Et tout le monde le fait. Ce que nous n'accepterions pas dans la vie courante (nos lettres et documents simplement agraffés, sans enveloppe), nous le pratiquons chaque jour à répétition avec nos courriers électroniques. Y compris pour nos propositions commerciales ("j'attache le .doc en pièce-jointe"), pour nos mots de passe ("je me connecte comment à ton serveur ?"), nos références bancaires ("envoyez moi votre RIB").

Il n'y a pas d'argument rationnel à ça. Pour nous justifier, nous répondons simplement que "mon courriel ne contient rien d'important", "personne ne regarde mes mails", "il y a d'autres moyens de transmettre des informations vraiment confidentielles". Comme assez souvent, nous rationalisons a posteriori notre comportement. Car la vérité est différente: quand bien même nous voudrions protéger nos échanges, nous ne pourrions pas chiffrer nos e-mails. Tout au moins, pas du tout facilement. Situation paradoxale, alors qu'il est si naturel et facile d'accéder par connexion sécurisée SSL (c.a.d. chiffrée) à n'importe quel site web marchand, sans se poser de question.

La confidentialité des échanges par e-mail n'est pas une question nouvelle. Dans la dernière décennie du XXè siècle décollait l'Internet grand public. L'outil phare parmi les connaisseurs était PGP, un standard de fait de signature et de chiffrement des documents (donc des e-mails). Ah la belle époque où les États occidentaux interdisaient dans leur législation l'usage de moyens de chiffrement efficaces et où protéger ses échanges électroniques sans publier ses clés secrètes était au sens propre un crime ! En France, c'est  la loi pour la confiance dans l'économie numérique qui abolit réellement l'interdit, en statuant que "l'utilisation des moyens de cryptologie est libre"...le 21 juin 2004 !

Texte chiffréMais l'utilisateur se heurte depuis toujours à un phénomène bien connu d'externalité de réseau, typique par exemple des premières années du fac-similé par téléphone. Pour que j'utilise un nouvel outil de communication, il faut que mes correspondants soient équipés du même, sans quoi je n'ai personne avec qui échanger. L'adoption de standards crée un contexte favorable à l'usage de masse, aussi dans les années 2000 ont été universellement implémentés un standard d'échange de courrier sécurisé S/MIME (ses concepteurs venaient de l'informatique) et une norme d'architecture à clés publiques (PKI) X.509 (ses concepteurs venaient des télécommunications).

L'interdit législatif n'existant plus, la technologique étant uniformisée, comment expliquer dix ans plus tard le minuscule volume dans le monde occidental des e-mails chiffrés ? Il se situe très au-delà du 99è percentile. Nos e-mails quotidiens, personnels et professionnels, sont une monstrueuse diarrhée d'information pour tous les dispositifs de Deep Packet Inspection, indolores et persévérants, qui parsèment l'Internet. Pour la dernière actualité, voir par exemple cette conférence du 29C3 (et son podcast). Situation paradoxale, quand tout le monde utilise la cryptographie, sans même le savoir, en discutant sur Skype ou surfant sur le web. Pourquoi n'est-il pas aussi simple de protéger nos e-mails ?

La réponse est triviale: c'est parce que nous n'avons pas de clés. Pour chiffrer et déchiffrer, il faut utiliser des codes secrets (les "clés" du message), connus seulement des émetteurs et destinataires (je simplifie et n'entre volontairement pas dans les détails des chiffrements symétrique et asymétrique). Sans que nous n'ayons rien à faire, notre navigateur connait les clés des sites web marchands auxquels il se connecte, c'est la beauté d'une infrastructure à clés publiques; Skype connait les clés des correspondants, c'est l'efficacité d'un système propriétaire. Dans le cas de l'e-mail, nos logiciels sont tout prêts à chiffrer nos échanges, mais ils sont livrés sans les clés le leur permettant. L'obtention et l'installation des clés est laissé à la responsabilité de chaque utilisateur. Cette petite nuance, qui fait ultimement reposer la sécurité du mail sur la décision volontaire de chaque individu, suffit en pratique à la ruiner. Je vais expliquer comment installer une clé, on verra que ce n'est pas une opération triviale. Aussi, personne n'en passe par là, exception faite des grandes entreprises et institutions dont les politiques de sécurité conduisent à déployer une PKI.

CertificatLa norme X.509 adoptée comme infrastructure à clés publiques vient des télécommunications et hérite de sa tradition de centralisation. Elle exige que les clés qui serviront à chiffrer et déchiffrer les e-mails soient certifiées par une "autorité" dite de "certification" (CA). Cette exigence n'est pas inhérente à la technologie, elle relève d'un choix normatif, faisant intervenir des acteurs marchands extérieurs à l'émetteur et au destinataire des messages. Au niveau international, il existe plus d'une dizaine de CA renommés, c'est à dire d'entreprises commerciales dont le métier est de garantir que telle clé appartient bien à telle société, à tel organisme ou à telle personne, que son usage ne repose pas sur une usurpation d'identité. Ce service est évidemment payant.

Ce service est évidement payant.

Pourquoi ne chiffrons-nous pas nos e-mails par défaut, sans même y penser ? Nous l'avons dit, il nous manque les clés. Pourquoi n'avons-nous pas de clés ? Parce que ce service est payant : générer la paire de clés privée/publique est gratuit, la faire certifier par une autorité (CA) ne l'est pas. Or dans la norme X.509, la certification est l'étape indispensable pour faire accepter notre clé publique par l'ensemble des autres utilisateurs. Autrement dit, la technologie retenue depuis une quinzaine d'années pour sécuriser les échanges par e-mails exige un écosystème marchand, adapté aux entreprises et très largement inconnu des individus. La messagerie, application emblématique de l'Internet, est ouverte à tous; mais sa version sécurisée est réservée, par construction, au petit nombre de ceux qui savent quoi faire et sont prêts à en payer le prix.

Foule d'abonnésLes entreprises ont les moyens financiers de mettre en place des infrastructures à clés publiques, d'acheter des certificat X.509 intermédiaires et de délivrer des certificats X.509 individuels à leurs employés. Plus il y a d'employés, plus le coût marginal de délivrance d'un certificat s'approche de zéro. Faisons un parrallèle avec les fournisseurs d'accès à Internet (FAI). Ceux-ci brassent des millions d'abonnés et connaissent avec certitude leur identité, pour les besoins de la facturation et du recouvrement. Nous remarquons que les FAI fournissent systématiquement une boîte aux lettres gratuite, pour fidéliser leurs clients. Certains d'entre eux auraient pu choisir de délivrer gratuitement le précieux certificat X.509, permettant ainsi à leurs clients de recevoir des e-mail sécurisés sans autre tracas. C'eût été un moyen complémentaire de fidélisation. Je n'ai jamais lu une ligne indiquant qu'un FAI propose un tel service, quel que soit le pays. A la place, ils offrent des anti-virus. Mon opinion est qu'ils ne l'ont pas fait parce qu'ils ne l'ont pas voulu. Je laisse les commentateurs nous dire peut-être quelles en sont les raisons.

Passons maintenant à la pratique. il existe une alternative collaborative et gratuite, compatible avec la norme X.509, permettant à tout un chacun d'obtenir le fameux certificat. Je veux parler de CACert.org. Cet organisme à but non lucratif, officiellement établi en Australie, mais en pratique actif particulièrement en Europe, est une Autorité de Certification, au même titre que VeriSign, Thawte, Symantec et les autres. Elle délivre gratuitement des certificats X.509 individuels utilisables avec S/MIME. Cet organisme d'inspiration bénévole est un moyen alternatif d'insérer sa clé publique dans l'architecture PKI mondiale, autrement dit de parvenir à recevoir et envoyer des e-mails chiffrés. De part sa nature (nous verrons plus loin les conséquences du bénévolat), il peut répondre au besoin de l'utilisateur privé, beaucoup moins à ceux de l'entreprise.

Je vais vous expliquer comment équiper grâce à CACert votre lecteur de mails des clés nécessaires et quelles sont les limites de cette solution.

A grosses mailles, voici ce qui se passe::

  • vous créez votre compte nominatif sur le site CACert;
  • vous y générez votre certificat X.509;
  • vous l'importez dans le trousseau de clés de votre système d'exploitation ou de votre lecteur de messagerie (MUA);
  • vous voilà prêt à signer les mails que vous émettez et à déchiffrer les mails sécurisés qu'on vous adresse;
  • à chaque fois que vous signez un e-mail avec votre clé privée, votre MUA attache votre clé publique en pièce-jointe; telle est l'implémentation de S/MIME; votre destinataire la reçoit donc automatiquement, sans avoir besoin de vous la demander et de l'importer manuellement; il est ainsi capable à son tour de vous écrire de manière sécurisée (c.a.d en chiffrant les e-mails qu'il vous adresse).
  • signer et chiffrer des e-mails sont des opérations transparentes: pour l'utilisateur, elles se résument à cliquer dans son client de messagerie sur l'icône d'une coche et celle d'un cadenas.

Logo CACert

A mailles plus fine:

  • L'étape "vous générez votre certificat X.509" se décompose ainsi. Connecté au site web CACert, votre navigateur génère le couple privé/publique; dans la seconde qui suit, il adresse au site web CACert une demande de signature de certificat (CSR) ne dévoilant que la clé publique à cette autorité de certification. A aucun moment CACert n'a connaissance de votre clé privée, celle vous permettant de lire les e-mails sécurisés qui vous sont adressés. Tout au long de cette procédure, ces différentes manipulations sont masquées à l'utilisateur, ce qui rend la génération du certificat X.509 très simple. On clique et on l'obtient.
  • Une méthode alternative pour les Geeks consiste à générer indépendamment le couple de clés privée/publique avec un utilitaire, par exemple openssl en ligne de commandes. Le Wiki CACert décrit comment soumettre manuellement par CSR la clé publique ainsi créée, puis importer et installer en retour le certificat signé par CACert. Cette méthode décompose simplement les mêmes étapes que précédemment, pour mieux les visualiser.
  • CACert a choisit de limiter la validité du certificat ainsi obtenu à 6 mois, librement renouvelables, tant que l'identité du demandeur n'a pas été vérifiée (nous allons voir comment la faire certifier). Ce certificat de 6 mois permet pleinement de signer et déchiffrer des e-mails, mais il garantit seulement appartenir à une adresse e-mail et non pas encore à une personne physique.

Malheureusement, en l'état actuel, CACert impose des contraintes qui limitent son utilisation:

  • La première contrainte tient à la vérification de mon identité par CACert. S'agissant d'une organisation non-lucrative, la vérification des documents légaux ne se fait pas par envoi au siège social, mais par rencontre en tête-à-tête avec un ou plusieurs "vérificateur" ou "accréditeur". Ceux-ci sont des membres bénévoles de CACert, qui ont une expérience de son fonctionnement et possèdent une méthodologie de vérification des pièces d'identité.

    Rencontrer un assureurEncore faut-il trouver un bénévole à proximité ! Les conférences sur la sécurité informatique sont une occasion de les rencontrer. J'ai ainsi profité du dernier 29C3 à Hambourg pour faire vérifier mon identité par plusieurs de ces bénévoles. Mon certificat est alors devenu nominatif et sa durée fixée à deux ans. Mais j'avais laissé passé au moins un an depuis la signature par CACert de mon premier certificat temporaire.

    CACert dispose d'un annuaire en ligne signalant la localisation et l'e-mail des "accréditeurs", pour faciliter un possible rendez-vous avec ceux qui habitent la même région. En pratique, sauf à avoir une démarche très volontariste, on laissera probablement couler de l'eau sous le pont avant d'en rencontrer un.
  • La seconde contrainte est une conséquence de l'absence du certificat racine de CACert dans les systèmes d'exploitation Windows, OS.X, dans les navigateurs et lecteurs de mails tels que Chrome, Firefox, Thunderbird, etc.. Dans l'architecture X.509, le certificat racine est la clé de voute de la garantie apportée par l'autorité de certification: grâce à lui mon ordinateur vérifie que les clés publiques et leurs certificats associés que me font parvenir mes correspondants sont un moyen valide d'échange d'e-mails sécurisés.

    A l'inverse, en l'absence de ce certificat racine sur la machine de mes correspondants, leur lecteur de messagerie n'importera pas automatiquement ma clé publique, n'ayant pas le moyen de vérifier la validité du certificat qui lui est associé; partant, nous ne seront pas capables à ce stade d'échanger des e-mails chiffrés, tout étant correct par ailleurs.

    Il est donc indispensable d'importer manuellement ce certificat racine. Même si cette étape est décrite pas à pas sur le Wiki CACert, elle exige de mon correspondant une compréhension de ce qu'il fait et un degré d'engagement peu banal à ce sujet. On retrouve ici l'externalité de réseau décrite précédemment: je peux être moi-même équipé des moyens de recevoir des e-mails sécurisés, grâce au certificat X.509 reçu de CACert, il y a de grandes chances que ceux avec lesquels je veux correspondre ne le soient pas, ou pas encore. Il est relativement facile de prendre soit-même les moyens de chiffrer ses e-mails; il est beaucoup plus aléatoire de convaincre un nombre significatif de correspondants de faire de même. Or sans leur concours, je ne peux communiquer avec eux par e-mails de manière sécurisée. C'est une propriété de l'architecture à clés publiques X.509 de faire dépendre la protection des e-mails que je veux émettre de la bonne volonté de leurs destinataires à prendre les moyens nécessaires.

Autrement dit, CACert est une solution pour l'Internaute voulant sécuriser ses e-mails, mais par construction même de la norme X.509 et manque d'engagement des fournisseurs d'accès Internet, Il n'existe pas encore de panacée !


Répondre