Après sa campagne Let’s Encrypt qui a permis à des millions de site de se doter gratuitement de certificats de sécurité, l’association Electronic Frontier Foudation (EFF) s’attaque à une nouvelle faille majeure via sa campagne STARTTLS Everywhere: la sécurisation des échanges de mails entre serveurs. Des emails qui, quand aucune sécurité supplémentaire n’est mise en place, circulent en clair d’un serveur à l’autre. Une face obscure de la sécurité du Net qui concerne tout le monde car elle touche à la communication privée des individus. Une communication qui repose sur un protocole daté et non sécurisé : le SMTP.
SMTP, cette passoire
Les serveurs emails classiques fonctionnent par le biais d’un protocole dont vous avez peut-être entendu parlé si vous avez déjà configuré un client mail comme Thunderbird ou Outlook : le protocole SMTP (Simple Mail Transfer Protocol).
Comme son nom l’indique, le SMTP est un protocole simple, mais ce que son nom n’indique pas c’est qu’il est aussi vieux. Très vieux même, puisqu’il date de 1980 et est donc antérieur au HTTP, ce protocole qui régit le Web et qui est en train d’être remplacé par le HTTPS, sécurisé. Mais quand le Web s’est doté d’outils de protection, le mail en est resté à son bon vieux protocole. Et l’EFF veut que ça change.
Outils de vérification et de sécurisation
Dans le cadre de sa campagne de protection de nos emails STARTTLS Everywhere, l’EFF a répondu à deux cas de figure : vous êtes un usager du mail et vous voulez savoir si la solution que vous utilisez est sécurisée. Ou bien vous avez les mains dans le cambouis et vous voulez mettre en place les outils de chiffrement serveur sur votre (ou vos !) machine(s).
L’outil grand public se trouve ici et on y apprend sans surprise que gmail.com est totalement sécurisé (mais bon, nos emails sont quand même “lus”). Et avec surprise (et déplaisir) que laposte.net, le service de courriel gratuit du service postal français n’est pas sécurisé et qu’on peut tout à fait se faire passer pour le serveur SMTP de La Poste pour envoyer des pourriels. Ce qui n’est pas très sérieux…
Côté serveurs, l’EFF donne de nombreux conseils de sécurisation, propose ses outils de certificat et met en place un service de soumission de domaine à une liste de serveurs de confiance. Une liste à laquelle les serveurs participant à l’initiative se réfèrent afin de créer un réseau de confiance par le biais d’échange de clés de chiffrement.
Une fois encore, l’EFF s’attaque à un chantier que les grandes entités auraient dû prendre à bras le corps. Le bon moyen de remercier cette ONG qui défend les libertés numériques depuis 1990 est de faire un don sur leur page dédiée à l’action STARTTLS Everywhere ou sur leur site principal.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
