Publicité en cours de chargement...
Le chiffrement de mails, tour d 'horizon de quelques solutions – partie 1
Or, il y a de multiples et bonnes raisons de vouloir chiffrer un message : soit qu'il contient des données sensibles, soit que la réglementation nous l'impose (par exemple pour les données médicales), soit enfin parce que l'on n'a tout simplement pas envie qu'une tierce personne prenne connaissance de notre prose sans avoir à justifier le pourquoi du comment. Petit tour d'horizon de quelques solutions techniques intéressantes.
Première solution : utilisation de PGP
Programme phare en matière de chiffrement, le PGP est basé sur le principe des clés asymétriques, il est par essence assez technique à utiliser et sera plutôt réservé aux technophiles.
Dans les grandes lignes, la première étape est de télécharger un plugin pour son outil de messagerie : Thunderbird, Gmail, etc. Il faut ensuite générer un couple de clés et prendre garde à bien stocker et protéger sa clé privée, ce qui n'est pas si simple qu'il y paraît - là est d'ailleurs la faille dans laquelle la NSA tente de s'introduire. Il faut ensuite envoyer sa clé publique à ses correspondants, dont il faudra avoir en retour stocker les clés publiques, etc...
Cela impose donc de gérer un trousseau de clés, de le sauvegarder de façon sécurisée : on entre là clairement dans le monde de la PKI (Public Key Infrastructure). Sans infrastructure ad hoc l’usage est limité à un petit groupe d’individus acculturés.
Avantages : coût nul, niveau de chiffrement excellent (pour peu que l'on choisisse le niveau adéquat), intégration aux outils de messageries grand public. Le lecteur intéressé trouvera des liens explicatifs ci-dessous[1][2].
Inconvénients : pas mal de manipulations techniques pour installer, un niveau de protection des clés privées complexe à garantir, une gestion manuelle d'un trousseau de clés publiques, pas d'authentification forte (à deux facteurs) même si à priori rien n'interdit de coupler ce genre de mécanisme.
Deuxième solution : la messagerie sécurisée de santé
La messagerie sécurisée de santé en est à son troisième avatar. Dans la première version (début des années 2000), il était nécessaire que chaque praticien connecte physiquement sa carte CPS à un lecteur de carte adjoint au PC, se signe (code PIN) pour chiffrer le message. Le hic est qu'à l'époque, les lecteurs de cartes à puce intégrées étaient assez rares et que les outils de messagerie (Lotus dans 90% des cas) n'étaient pas nativement interfacés avec le middleware CPS. Le résultat a été l'apparition de la solution alternative Apycript qui a tellement bien pris que 15 ans après les pouvoirs publics ont arrêté de vouloir tuer ce logiciel tant il est déployé dans les cabinets de ville, et surtout intégré aux logiciels de ces cabinets, ce qui est le point faible de toutes les solutions de messagerie sécurisée officielles.
Dans la deuxième version, le certificat de chiffrement est déployé sur une passerelle de messagerie, ce qui limite l'usage aux établissements de santé ayant une DMZ ou oblige les utilisateurs à consulter une seconde boite aux lettres (sécurisée) en plus de leur BAL quotidienne (non sécurisée).
Dans la troisième mouture (en cours de déploiement), les défauts des solutions précédents ont été gommés, mais ce n'est pas gagné pour autant : impossibilité de lire les messages sur un terminal sans authentification forte (ce qui rend hasardeux la synchronisation avec smartphones), pas de BAL dédiée pour les secrétariats médicaux, etc...
Avantages : outil conforme à la réglementation, dans sa troisième mouture, le concept de « zone de confiance » le rend utilisable aussi bien par des cabinets de ville que des grands établissements de santé.
Inconvénients : de nombreux cas d'usages ne sont pas traités ou impossibles, temps de mise en œuvre à l'échelon national.
[1] http://openpgp.vie-privee.org
[2] http://korben.info/comment-chiffrer-ses-emails-thunderbird-gpg.html
Avez-vous apprécié ce contenu ?
A lire également.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique
05 mai 2025 - 23:11,
Tribune
-Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs
02 mai 2025 - 16:13,
Tribune
- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic AssociésPar décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...