Aujourd’hui, le monde informatique met un très grand espoir dans le chiffrement afin de garantir des communications sécurisées sur Internet. Cela va des transferts de données aux messageries instantanées, passant par les emails. Cependant, d’autres personnes pensent que ce n’est pas forcément le cas des emails. Selon les experts en sécurité de Latacora, une entité qui fournit des services en cybersécurité aux entreprises, le courrier électronique n’est pas sûr et ne pourra pas être sécurisé. De même, tous les outils existant pour le chiffrement des emails seraient défectueux.
La grande majorité des entreprises de médias sociaux qui offrent des fonctionnalités de clavardage font des efforts considérables pour intégrer le chiffrement comme un outil important de leurs services. Cela permettra de protéger et de sécuriser les communications entre les utilisateurs. Mais quand est-il des emails ? Latacora estime qu’on ne pourra rien faire pour les sécuriser et qu’il faudrait même arrêter d’utiliser les emails chiffrés. Il existerait des milliers de failles avec les emails. Et même s’il arrivait qu’elles soient corrigées, l’email resterait quand même vulnérable.
Selon eux, la plupart des chiffrements de courrier électronique observés aujourd’hui sur Internet sont performants pour les personnes ordinaires. Elles n’échangent pas d’emails qu’un adversaire puissant se donnerait la peine de lire, et pour ces personnes, le courrier électronique chiffré a une simple sécurité LARP. Ces chiffrements sont effectués en tant que signal de statut ou en signe de solidarité. Peu importe que ces courriels soient sûrs ou non, c’est sans grand danger.
Cependant, lorsqu’on va plus loin, il y a les courriers électroniques qui sont beaucoup plus sensibles. Cela regroupe les messages importants pour une affaire civile, les messages pouvant être cités à comparaître dans le cadre d’une affaire civile, les messages importants pour les transactions financières, etc. « Dans ces cas, sans une sécurité sérieuse, beaucoup de ces messages ne devraient pas être envoyés du tout », ont-ils expliqué. Selon eux, les premiers problèmes des emails chiffrés concerneraient le protocole PGP (Pretty Good Privacy).
« PGP est un système profondément défectueux », ont-ils soutenu. Il a été conçu dans les années 1990, et au cours des 20 années qui ont suivi sa popularité, la cryptographie a progressé d’une manière que le PGP n’a pas suivie. D’après un des exemples qu’ils ont donnés, il s’est récemment avéré possible pour les espions de déchiffrer des messages sans clé, simplement en altérant les messages chiffrés. Ils estiment que la grande majorité des technologues qui travaillent avec PGP ne le comprennent pas à un niveau suffisamment bas pour voir ce qui ne va pas.
Et si l’on améliore PGP ou si on le remplaçait ? Selon eux, cette démarche ne servirait à rien. « Même après le remplacement de PGP, le courrier électronique chiffré restera dangereux », ont-ils déclaré à propos. Un autre problème qu’ils ont répertorié, c’est les messages envoyés en texte clair. Ils estiment que si les messages peuvent être envoyés en texte clair, alors il ne peut y avoir aucune garantie de sécurité. Ensuite, ils font savoir que les métadonnées sont aussi importantes pour la sécurité, mais que le contenu du message et le courrier électronique les divulguent.
L’enveloppe du courrier électronique, qui comprend l’expéditeur, le destinataire et l’horodatage, n’est pas chiffrée et ne le sera jamais . Ils estiment que des affaires judiciaires (et des listes de cibles d’arrestation) ont été gagnées ou perdues pour à peine plus que cela. Le courrier électronique sur Internet crée un registre durable de métadonnées, auquel tout adversaire sérieux est déjà capable d’accéder. Pour sécuriser les emails, il faudrait éviter tout cela. Selon eux, Signal, l’application de messagerie chiffrée et plébiscitée par Edward Snowden, corrige ce problème.
Selon leur analyse, l’un des principaux objectifs de la conception du plus important messager sécurisé est d’éviter de garder une trace de qui parle à qui. Signal utilise les numéros de téléphone pour faire cela. « Tous les messagers sécurisés modernes ne sont pas aussi consciencieux que Signal. Cependant, ils sont tous meilleurs que le courrier électronique sur Internet, qui ne se contente pas de collecter des métadonnées, mais les diffuse activement », ont-ils déclaré. Cela est dû au fait que l’email passe par plusieurs fournisseurs avant sa livraison.
« L’email sur Internet est le fruit d’une collaboration entre plusieurs fournisseurs différents ; et chaque saut sur son “store-and-forward” est un autre point où les métadonnées sont enregistrées », ont-ils fait remarquer. Dans le même temps, ils estiment que chaque message archivé finira par fuiter. Par conséquent, tout secret contenu dans ses archives finira par être divulgué à long terme. En raison de tout ceci, ils concluent qu’il n’est donc plus nécessaire d’utiliser un email chiffré. Mais pour ceux qui ont vraiment besoin de se protéger d’une divulgation, à la place, ils recommandent les services de messagerie chiffrés comme Signal et d’autres.
Selon eux il existe des outils comme TLS “hop-by-hop” et le MTA-STS, qui rendent le système plus résistant à la surveillance, mais le courrier électronique ne pourra pas être sécurisé totalement.