Publicité en cours de chargement...

Publicité en cours de chargement...

Le chiffrement de mails – Conclusions

29 fév. 2016 - 10:57,
Tribune - Cédric Cartau
Dans une première partie1, nous avons examiné deux solutions de chiffrement de mails : le « roi » PGP, et la solution Asip Santé de messagerie sécurisée. Dans une deuxième partie2, nous avons décortiqué Apicrypt et BlueFiles. Un certain nombre de précisions s’imposent.  

Pour ce qui concerne PGP, certains lecteurs m’ont à juste titre fait remarqué que la solution avait été acquise par la société Symantec et que les modules de cryptage distribués par cette dernière étaient pour la plupart payants. C’est tout à fait exact. Il convient néanmoins de signaler un excellent article3 du journal Le Monde, lequel fait mention de l’initiative PEP (Pretty Easy Privacy), un add-on aux logiciels les plus courants de messagerie (Thunderbird entre autres), qui rend l’usage de PGP autrement plus simple que par le passé. Le magasin d’applicatifs de Thunderbird donne aussi accès à des modules du même acabit.

Pour ce qui concerne BlueFiles, il semblerait que la version payante ne soit pas desservie par les mêmes défauts que la version gratuite, mais nous n’avons pas pu la tester. Ce point reste donc à vérifier.

Mais l’aspect le plus important, en relation avec cette série d’articles, concerne l’actuel bras de fer entre Apple et les autorités américaines (FBI et NSA). Sous le prétexte d’une instruction en lien avec une entreprise terroriste, Apple est en effet sommé par le FBI de donner accès à l’iPhone d’un suspect. Seul hic : depuis l’affaire Snowden, la plupart des majors américaines (Amazon, Google, Apple), craignant à juste titre pour leur chiffre d’affaires, ont mis au point des dispositifs de cryptage dont ils ne détiennent pas eux-mêmes la clé (c’est l’utilisateur final qui la possède) et qui rendent impossible l’application de ce type d’injonction d’accès aux données (Patriot Act). Apple est donc dans l’impossibilité de donner un accès à l’iPhone, mais FBI et NSA contournent ce problème en demandant à la firme de fournir des API (interfaces de programmation) permettant de procéder à une attaque par force brute directement dans la mémoire de l’appareil. Traduction : vous ne pouvez pas nous donner accès à la mémoire de l’iPhone, donnez-nous la boîte à outils pour attaquer le dispositif. Cerise sur le gâteau, McAfee vient de proposer ses services au FBI pour pirater l’iPhone. On se demande si le responsable Marketing de McAfee a juste fumé un truc bizarre ou s’il a simplement envie de tuer sa boutique tant on connaît la réaction des consommateurs américains face aux grandes entreprises dans ce qu’ils estiment être une injustice.

Si FBI et NSA finissent par avoir gain de cause (on est à 50/50 dans les pronostics), deux conséquences en résulteront. D’abord, les majors finiront par mettre au point des protections contre ce type d’attaque par force brute ; ensuite, les utilisateurs les plus prudents (ou qui pratiquent le terrorisme) choisiront des mots de passe ultra-longs – ce qui reste la meilleure des protections. Mais surtout, la culture de la protection de nos propres données s’en trouvera renforcée, par tout moyen possible. Pas plus tard qu’il y a quelques jours, le Conseil constitutionnel a censuré l’un des dispositifs de l’état d’urgence en France, qui concernait précisément la saisie des données informatiques des particuliers, y compris celles qui auraient été chiffrées par leur propriétaire.

N’empêche, cette série d’événements livre une leçon : mieux vaut chiffrer ses données, même sans objectif précis. Accessoirement, il faudrait expliquer aux gratte-papier qui nous gouvernent que dans l’histoire de la lutte entre le chiffrement (le bouclier) et du déchiffrement (l’épée), c’est rarement l’épée qui obtient gain de cause sur le long terme : le manuscrit de Voynich4 (daté de 1639) n’a toujours pas été décrypté, et il se murmure que la CIA continue de tenter de déchiffrer des messages datant de la guerre froide !


1 /article/1835/le-chiffrement-de-mails-tour-d-horizon-de-quelques-solutions-partie-1.html 

2 /article/1850/le-chiffrement-de-mails-tour-d-horizon-de-quelques-solutions-partie-2.html 

http://www.lemonde.fr/pixels/article/2016/01/26/pretty-easy-privacy-le-chiffrement-automatique-par-defaut-pour-tous_4853782_4408996.html 

https://fr.wikipedia.org/wiki/Manuscrit_de_Voynich 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Approche hétérodoxe du concept de risque résiduel

Approche hétérodoxe du concept de risque résiduel

02 juin 2025 - 22:42,

Tribune

-
Cédric Cartau

Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.