L'espionnage
industriel trouve dans l'e-mail un outil de choix, d'autant
que l'on constate que les messages électroniques
restent encore généralement non cryptés,
même lorsqu'ils véhiculent des données
sensibles. Pourtant, on ne rappellera jamais assez qu'un
e-mail est beaucoup plus facile à intercepter qu'un
courrier traditionnel, et qu'également - et cela
est tout aussi grave - un pirate peut usurper l'adresse
de l'un de vos correspondants dans le but de vous sous-tirer
des informations stratégiques. Dans bien des cas,
lorsque l'entreprise n'a pas mis en place de solution
de cryptage globale (et dans ce domaine où les
chantiers ne sont certes pas de tout repos, et bien que
cela puisse surprendre, beaucoup de travail reste à
accomplir), il est nécessaire de prendre les choses
en main. A savoir se
rabattre sur une solution individualisée, gérée
depuis votre ordinateur.
La clé
de la tranquilité
Pour expédier un message sécurisé,
il faudra la plupart du temps recourir à un système
de clés asymétriques fonctionnant par
paire. La vôtre - la clé privée -
doit rester secrète, tandis que celle de vos
correspondants - la clé publique -
est clairement exposée sur le site d'un tiers
de confiance. La clé publique dont disposent
vos correspondants leur permet de coder leurs messages
sensibles, de manière à les rendres illisibles
en cas d'interception, et seule votre clé privée
permet de les déchiffrer.
Ces clés (mathématiquement
liées mais dont on ne peut déduire l'une
à partir de l'autre) peuvent être achetées
ou engendrées par le biais d'un utilitaire -
chaque solution ayant ses avantages. Si vous produisez
vous-même votre clé, elle vous coûtera
moins cher, voire rien du tout - à condition
d'utiliser un logiciel libre comme GPG. Avec un double
problème : la manoeuvre est réservée
aux informaticiens chevronnés, et elle impose
par la suite une grande discipline dans la gestion des
clés, puisqu'elles ne sont pas émises
par un organisme tiers compétent pour cela.
Le logiciel
de cryptage
Il vous appartiendra par conséquent de les faire
transiter de façon sûre, afin que vous
puissiez faire confiance à vos correspondants,
et vice versa. C'est vous qui devrez expédier
votre clé publique à votre correspondant
de façon sécurisée, et lui donner
la garantie qu'elle vient bien de vous (non-répudiation).
Acheter une clé à un tiers de confiance,
c'est donc opter pour la simplicité et la sécurité,
mais aussi pour le moindre effort.
Une fois cette clé
produite, il faut encore opter pour un logiciel de cryptage.
Plusieurs grands noms cohabitent, parmi lesquels on
peut citer PGP, ainsi que toutes les solutions basées
sur la technologie S/MIME. Cette dernière étant
le standard de fait, bien qu'elle souffre encore de
problèmes d'interopérabilité. Une
solution libre existe également pour toutes les
plate-formes - GPG -
assez difficile à paramétrer toutefois.
Les
solutions externalisées
Plus simple ? C'est possible : il est envisageable
de se passer d"un système de gestion de
clés. Plusieurs solutions - dites 'externalisées' -
proposent de sécuriser votre correspondance de
bout en bout de façon tout à fait transparente.
Les plus simples réalisent toute la transaction
sur le Web dans un environnement sécurisé :
le mail sensible est rédigé sur leur site
avec un navigateur, et le correspondant vient y récupérer
son courrier après en avoir été
alerté.
Il faudra souvent débourser
plus de 100 € chaque année pour profiter
de ces services. Ferris Reserch évalue le chiffre
d'affaires du marché des solutions externalisées
à 30 millions de dollars par an. Les grands noms
du secteur sont Critical Path, Sixmail, Ziplip, Commtouch
et Mail. A noter : certains éditeurs travaillent
à l'intégration de ces solutions directement
dans le logiciel de messagerie.
Précautions
élémentaires
Pour
ne pas réduire vos efforts à néant,
il est nécessaire de respecter deux règles
de bon sens avec précaution. La première :
ne jamais laisser à un pirate l'occasion
de vous dérober votre clé privée.
Plutôt que de la stocker sur votre disque dur,
préférez la garder sur un périphérique
externe - du type disquette, token USB ou CD gravé.
Faites également attention à régler
votre logiciel de cryptage pour qu'il vous demande un
mot de passe avant d'expédier un message :
votre poste ne pourra pas être utilisé
en votre absence.
Deuxième précaution :
vérifiez bien que votre correspondant est la personne
que vous croyez. Rien ne dit que le nom que vous avez
pu voir sur le site d'un tiers de confiance corresponde
bien à votre contact. Une personne malintensionnée
peut s'être inscrite à son nom, et vous joindre
en vous renvoyant vers sa clé publique, publiée
sur le site du tiers de confiance. Une prise de
contact physique, un coup de téléphone à
votre correspondant - dans son enteprise - devrait
pouvoir écarter ce danger, et vous ouvrir la voie
d'une correspondance vraiment sûre.
|