Intranet/Extranet
S'assurer de la confidentialité de ses e-mails
Votre entreprise n'a pas (encore) mis en place de solution de cryptage et d'authentification des messages électroniques? Qu'à cela ne tienne, il est possible d'opter pour une solution individualisée. (Lundi 26 août 2002)
     
A lire également

Webmails sécurise les e-mails
Le droit du mail
Trop de mots de passe inefficaces sur les réseaux

L'espionnage industriel trouve dans l'e-mail un outil de choix, d'autant que l'on constate que les messages électroniques restent encore généralement non cryptés, même lorsqu'ils véhiculent des données sensibles. Pourtant, on ne rappellera jamais assez qu'un e-mail est beaucoup plus facile à intercepter qu'un courrier traditionnel, et qu'également - et cela est tout aussi grave - un pirate peut usurper l'adresse de l'un de vos correspondants dans le but de vous sous-tirer des informations stratégiques. Dans bien des cas, lorsque l'entreprise n'a pas mis en place de solution de cryptage globale (et dans ce domaine où les chantiers ne sont certes pas de tout repos, et bien que cela puisse surprendre, beaucoup de travail reste à accomplir), il est nécessaire de prendre les choses en main. A savoir se rabattre sur une solution individualisée, gérée depuis votre ordinateur.

La clé de la tranquilité
Pour expédier un message sécurisé, il faudra la plupart du temps recourir à un système de clés asymétriques fonctionnant par paire. La vôtre - la clé privée - doit rester secrète, tandis que celle de vos correspondants - la clé publique - est clairement exposée sur le site d'un tiers de confiance. La clé publique dont disposent vos correspondants leur permet de coder leurs messages sensibles, de manière à les rendres illisibles en cas d'interception, et seule votre clé privée permet de les déchiffrer.

Ces clés (mathématiquement liées mais dont on ne peut déduire l'une à partir de l'autre) peuvent être achetées ou engendrées par le biais d'un utilitaire - chaque solution ayant ses avantages. Si vous produisez vous-même votre clé, elle vous coûtera moins cher, voire rien du tout - à condition d'utiliser un logiciel libre comme GPG. Avec un double problème : la manoeuvre est réservée aux informaticiens chevronnés, et elle impose par la suite une grande discipline dans la gestion des clés, puisqu'elles ne sont pas émises par un organisme tiers compétent pour cela.

Le logiciel de cryptage
Il vous appartiendra par conséquent de les faire transiter de façon sûre, afin que vous puissiez faire confiance à vos correspondants, et vice versa. C'est vous qui devrez expédier votre clé publique à votre correspondant de façon sécurisée, et lui donner la garantie qu'elle vient bien de vous (non-répudiation). Acheter une clé à un tiers de confiance, c'est donc opter pour la simplicité et la sécurité, mais aussi pour le moindre effort.

Une fois cette clé produite, il faut encore opter pour un logiciel de cryptage. Plusieurs grands noms cohabitent, parmi lesquels on peut citer PGP, ainsi que toutes les solutions basées sur la technologie S/MIME. Cette dernière étant le standard de fait, bien qu'elle souffre encore de problèmes d'interopérabilité. Une solution libre existe également pour toutes les plate-formes - GPG - assez difficile à paramétrer toutefois.

Les solutions externalisées
Plus simple ? C'est possible : il est envisageable de se passer d"un système de gestion de clés. Plusieurs solutions - dites 'externalisées' - proposent de sécuriser votre correspondance de bout en bout de façon tout à fait transparente. Les plus simples réalisent toute la transaction sur le Web dans un environnement sécurisé : le mail sensible est rédigé sur leur site avec un navigateur, et le correspondant vient y récupérer son courrier après en avoir été alerté.

Il faudra souvent débourser plus de 100 € chaque année pour profiter de ces services. Ferris Reserch évalue le chiffre d'affaires du marché des solutions externalisées à 30 millions de dollars par an. Les grands noms du secteur sont Critical Path, Sixmail, Ziplip, Commtouch et Mail. A noter : certains éditeurs travaillent à l'intégration de ces solutions directement dans le logiciel de messagerie.

Précautions élémentaires
Pour ne pas réduire vos efforts à néant, il est nécessaire de respecter deux règles de bon sens avec précaution. La première : ne jamais laisser à un pirate l'occasion de vous dérober votre clé privée. Plutôt que de la stocker sur votre disque dur, préférez la garder sur un périphérique externe - du type disquette, token USB ou CD gravé. Faites également attention à régler votre logiciel de cryptage pour qu'il vous demande un mot de passe avant d'expédier un message : votre poste ne pourra pas être utilisé en votre absence.

Deuxième précaution : vérifiez bien que votre correspondant est la personne que vous croyez. Rien ne dit que le nom que vous avez pu voir sur le site d'un tiers de confiance corresponde bien à votre contact. Une personne malintensionnée peut s'être inscrite à son nom, et vous joindre en vous renvoyant vers sa clé publique, publiée sur le site du tiers de confiance. Une prise de contact physique, un coup de téléphone à votre correspondant - dans son enteprise - devrait pouvoir écarter ce danger, et vous ouvrir la voie d'une correspondance vraiment sûre.
[Nicolas Six, JDNet]
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters