Publicité en cours de chargement...

Publicité en cours de chargement...

Le chiffrement de mails, tour d 'horizon de quelques solutions – partie 1

08 fév. 2016 - 11:32,
Tribune - Cédric Cartau
Qu'on se le dise, envoyer un message électronique sur Internet, c'est comme envoyer une carte postale : toutes les personnes qui auront la carte dans les mains à un instant donné pourront lire ce qui est écrit dessus. Les protocoles de messagerie sont ainsi conçus qu'un message transite en clair sur le réseau des réseaux.

Or, il y a de multiples et bonnes raisons de vouloir chiffrer un message : soit qu'il contient des données sensibles, soit que la réglementation nous l'impose (par exemple pour les données médicales), soit enfin parce que l'on n'a tout simplement pas envie qu'une tierce personne prenne connaissance de notre prose sans avoir à justifier le pourquoi du comment. Petit tour d'horizon de quelques solutions techniques intéressantes.

Première solution : utilisation de PGP
Programme phare en matière de chiffrement, le PGP est basé sur le principe des clés asymétriques, il est par essence assez technique à utiliser et sera plutôt réservé aux technophiles.
Dans les grandes lignes, la première étape est de télécharger un plugin pour son outil de messagerie : Thunderbird, Gmail, etc. Il faut ensuite générer un couple de clés et prendre garde à bien stocker et protéger sa clé privée, ce qui n'est pas si simple qu'il y paraît - là est d'ailleurs la faille dans laquelle la NSA tente de s'introduire. Il faut ensuite envoyer sa clé publique à ses correspondants, dont il faudra avoir en retour stocker les clés publiques, etc...
Cela impose donc de gérer un trousseau de clés, de le sauvegarder de façon sécurisée : on entre là clairement dans le monde de la PKI (Public Key Infrastructure). Sans infrastructure ad hoc l’usage est limité à un petit groupe d’individus acculturés.
Avantages : coût nul, niveau de chiffrement excellent (pour peu que l'on choisisse le niveau adéquat), intégration aux outils de messageries grand public. Le lecteur intéressé trouvera des liens explicatifs ci-dessous[1][2].
Inconvénients : pas mal de manipulations techniques pour installer, un niveau de protection des clés privées complexe à garantir, une gestion manuelle d'un trousseau de clés publiques, pas d'authentification forte (à deux facteurs) même si à priori rien n'interdit de coupler ce genre de mécanisme.

Deuxième solution : la messagerie sécurisée de santé
La messagerie sécurisée de santé en est à son troisième avatar. Dans la première version (début des années 2000), il était nécessaire que chaque praticien connecte physiquement sa carte CPS à un lecteur de carte adjoint au PC, se signe (code PIN) pour chiffrer le message. Le hic est qu'à l'époque, les lecteurs de cartes à puce intégrées étaient assez rares et que les outils de messagerie (Lotus dans 90% des cas) n'étaient pas nativement interfacés avec le middleware CPS. Le résultat a été l'apparition de la solution alternative Apycript qui a tellement bien pris que 15 ans après les pouvoirs publics ont arrêté de vouloir tuer ce logiciel tant il est déployé dans les cabinets de ville, et surtout intégré aux logiciels de ces cabinets, ce qui est le point faible de toutes les solutions de messagerie sécurisée officielles.
Dans la deuxième version, le certificat de chiffrement est déployé sur une passerelle de messagerie, ce qui limite l'usage aux établissements de santé ayant une DMZ ou oblige les utilisateurs à consulter une seconde boite aux lettres (sécurisée) en plus de leur BAL quotidienne (non sécurisée).
Dans la troisième mouture (en cours de déploiement), les défauts des solutions précédents ont été gommés, mais ce n'est pas gagné pour autant : impossibilité de lire les messages sur un terminal sans authentification forte (ce qui rend hasardeux la synchronisation avec smartphones), pas de BAL dédiée pour les secrétariats médicaux, etc...
Avantages : outil conforme à la réglementation, dans sa troisième mouture, le concept de « zone de confiance » le rend utilisable aussi bien par des cabinets de ville que des grands établissements de santé.
Inconvénients : de nombreux cas d'usages ne sont pas traités ou impossibles, temps de mise en œuvre à l'échelon national.

 

[1]   http://openpgp.vie-privee.org 

[2]   http://korben.info/comment-chiffrer-ses-emails-thunderbird-gpg.html 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration L’arnaque à l’arrêt de travail comme source de réflexion

L’arnaque à l’arrêt de travail comme source de réflexion

14 avril 2025 - 21:57,

Tribune

-
Cédric Cartau

Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...

Illustration Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.