Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Le chiffrement de mails, tour d 'horizon de quelques solutions – partie 1

08 fév. 2016 - 11:32,
Tribune - Cédric Cartau
Qu'on se le dise, envoyer un message électronique sur Internet, c'est comme envoyer une carte postale : toutes les personnes qui auront la carte dans les mains à un instant donné pourront lire ce qui est écrit dessus. Les protocoles de messagerie sont ainsi conçus qu'un message transite en clair sur le réseau des réseaux.

Or, il y a de multiples et bonnes raisons de vouloir chiffrer un message : soit qu'il contient des données sensibles, soit que la réglementation nous l'impose (par exemple pour les données médicales), soit enfin parce que l'on n'a tout simplement pas envie qu'une tierce personne prenne connaissance de notre prose sans avoir à justifier le pourquoi du comment. Petit tour d'horizon de quelques solutions techniques intéressantes.

Première solution : utilisation de PGP
Programme phare en matière de chiffrement, le PGP est basé sur le principe des clés asymétriques, il est par essence assez technique à utiliser et sera plutôt réservé aux technophiles.
Dans les grandes lignes, la première étape est de télécharger un plugin pour son outil de messagerie : Thunderbird, Gmail, etc. Il faut ensuite générer un couple de clés et prendre garde à bien stocker et protéger sa clé privée, ce qui n'est pas si simple qu'il y paraît - là est d'ailleurs la faille dans laquelle la NSA tente de s'introduire. Il faut ensuite envoyer sa clé publique à ses correspondants, dont il faudra avoir en retour stocker les clés publiques, etc...
Cela impose donc de gérer un trousseau de clés, de le sauvegarder de façon sécurisée : on entre là clairement dans le monde de la PKI (Public Key Infrastructure). Sans infrastructure ad hoc l’usage est limité à un petit groupe d’individus acculturés.
Avantages : coût nul, niveau de chiffrement excellent (pour peu que l'on choisisse le niveau adéquat), intégration aux outils de messageries grand public. Le lecteur intéressé trouvera des liens explicatifs ci-dessous[1][2].
Inconvénients : pas mal de manipulations techniques pour installer, un niveau de protection des clés privées complexe à garantir, une gestion manuelle d'un trousseau de clés publiques, pas d'authentification forte (à deux facteurs) même si à priori rien n'interdit de coupler ce genre de mécanisme.

Deuxième solution : la messagerie sécurisée de santé
La messagerie sécurisée de santé en est à son troisième avatar. Dans la première version (début des années 2000), il était nécessaire que chaque praticien connecte physiquement sa carte CPS à un lecteur de carte adjoint au PC, se signe (code PIN) pour chiffrer le message. Le hic est qu'à l'époque, les lecteurs de cartes à puce intégrées étaient assez rares et que les outils de messagerie (Lotus dans 90% des cas) n'étaient pas nativement interfacés avec le middleware CPS. Le résultat a été l'apparition de la solution alternative Apycript qui a tellement bien pris que 15 ans après les pouvoirs publics ont arrêté de vouloir tuer ce logiciel tant il est déployé dans les cabinets de ville, et surtout intégré aux logiciels de ces cabinets, ce qui est le point faible de toutes les solutions de messagerie sécurisée officielles.
Dans la deuxième version, le certificat de chiffrement est déployé sur une passerelle de messagerie, ce qui limite l'usage aux établissements de santé ayant une DMZ ou oblige les utilisateurs à consulter une seconde boite aux lettres (sécurisée) en plus de leur BAL quotidienne (non sécurisée).
Dans la troisième mouture (en cours de déploiement), les défauts des solutions précédents ont été gommés, mais ce n'est pas gagné pour autant : impossibilité de lire les messages sur un terminal sans authentification forte (ce qui rend hasardeux la synchronisation avec smartphones), pas de BAL dédiée pour les secrétariats médicaux, etc...
Avantages : outil conforme à la réglementation, dans sa troisième mouture, le concept de « zone de confiance » le rend utilisable aussi bien par des cabinets de ville que des grands établissements de santé.
Inconvénients : de nombreux cas d'usages ne sont pas traités ou impossibles, temps de mise en œuvre à l'échelon national.

 

[1]   http://openpgp.vie-privee.org 

[2]   http://korben.info/comment-chiffrer-ses-emails-thunderbird-gpg.html 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration MentalTech, vers un Observatoire français de la e-santé mentale

MentalTech, vers un Observatoire français de la e-santé mentale

02 juin 2025 - 22:20,

Actualité

- Damien Dubois, DSIH

Le 21 mai, le collectif MentalTech a annoncé l’arrivée de dix nouveaux membres et dévoilé sa feuille de route 2025 avec pour ambition de s’affirmer comme l’Observatoire de la e-santé mentale.

Illustration ViaTrajectoire : une plateforme socle modernisée au service des parcours médico-sociaux

ViaTrajectoire : une plateforme socle modernisée au service des parcours médico-sociaux

02 juin 2025 - 18:46,

Actualité

- DSIH

ViaTrajectoire poursuit en 2025 sa transformation numérique au service de l’autonomie, avec une série d’évolutions majeures visant à fluidifier les parcours des personnes âgées et en situation de handicap. Ce service national traite désormais plus de 110 000 orientations par mois, et s’impose comme ...

Illustration Connect Santé 2025 : relevez les défis de l’hôpital connecté

Connect Santé 2025 : relevez les défis de l’hôpital connecté

02 juin 2025 - 16:26,

Communiqué

- Philips

Dans un environnement hospitalier toujours plus digitalisé, la connectivité biomédicale s’impose comme un levier essentiel de performance, de sécurité et de valorisation des données cliniques.

Illustration Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

02 juin 2025 - 15:00,

Communiqué

- GPLExpert

GPLExpert rejoint le groupe itp tout en conservant vos interlocuteurs. Fort de 30 ans d’histoire, 160 collaborateurs, 11 agences et 6 domaines d’expertise, qui sont désormais à votre service :

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.