Comment sécuriser ses messages électroniques ?

7 oct. 2022 | Jindřich Zechmeister

Dans la première partie de notre mini-série, nous allons vous expliquer les raisons pour lesquelles vous devriez assurer la sécurité des messages électroniques. Saviez-vous qu'un courrier électronique est comme une carte postale qui peut être lue par toute personne y ayant accès ? Lisez la suite pour savoir comment ; vous serez certainement convaincu par les statistiques d'abus d'e-mails.

La technologie que nous utilisons déjà 50 ans

Le principe du message électronique, tout comme l'idée du site web, est très ancien. Le premier e-mail a été envoyé il y a déjà 51 ans, et il serait difficile de trouver une technologie aussi "populaire" et durable (souvenons du son du modem 56k, disquettes ou VHS). Si vous êtes intéressé d'en savoir plus, nous vous recommandons de consulter le site Wikipedia, article Courrier électronique.

Le courrier électronique est toujours le 1er canal de communication, accessible à tous et facile à utiliser. Mais les auteurs n'avaient certainement pas prévu que l'utilisation de l'email allait augmenter de cette manière. Au début des "campagnes emailing", les utilisateurs ne connaissaient pas le mot "spam" pour un courriel indésirable, nous pouvions difficilement imaginer un e-mail en HTML, avec des pièces jointes volumineuses ou avec le chiffrement !

La facilité d'utilisation est un bénéfice important, mais la sécurité reste toujours le point faible du courrier électronique. La technologie ne prend pas en compte l'identité des parties communicantes qui peuvent apparaître sous n'importe quel nom. C'est une imperfection qu'on essaie de résoudre depuis des décennies.

Exemple de fraude de l'expéditeur
Ce que vous définissez dans le champ de l'expéditeur …
Exemple de fraude de l'expéditeur
… arrivera au destinataire.

Un courrier électronique est comme une carte postale qui peut être lue par tous

Les auteurs n'ont pas supposé que le courrier électronique devait contenir des informations confidentielles. Leur sécurité a été permis plus tard grâce à la modernisation et surtout au protocole S/MIME. Cependant, la sécurité reste facultative et doit être prise en charge par l'utilisateur à l'aide de son agent de messagerie.

Le grand problème du courrier électronique est la sécurité des informations lors de l'envoi. Vous pouvez considérer un e-mail comme une carte postale qui voyage à travers le monde et peut être lu par quiconque. Son objectif est de transférer des informations, pas de les sécuriser.

Aujourd'hui, nous avons des technologies permettant de chiffrer les informations sur les serveurs. Mais, vous ne pouvez jamais être sûrs à 100% que les serveurs de messagerie communiquent entre eux de manière chiffrée. En plus, le chiffrement peut sécuriser le message lors de l'envoi et non sur le serveur du destinataire, ou sur votre ordinateur. Une personne non autorisée peut toujours lire l'e-mail stocké en texte.

Comment avoir la certitude que notre message envoyé est chiffré et sécurisé ? Obtenez le protocole S/MIME pour sécuriser les courriers électroniques ! Il permet de signer numériquement et chiffrer vos e-mails et de garder le secret du destinataire. Pour en savoir plus, suivez la 3ème partie de notre série.

Pourquoi sécuriser la communications par e-mail ?

Peut-être vous commencez à vous inquiéter ou à être suffisamment motivés pour sécuriser votre courrier électronique ? Connaissez-vous les statistiques ?

  • 99,9% de tous les e-mails sont envoyés via le protocole MIME qui ne permet pas de vérifier l'authenticité de l'expéditeur, et ne garantit pas que le message n'a pas été modifié.
  • 90% des entreprises n'utilisent pas les technologies disponibles (DKIM, SPF et DMARC) pour sécuriser le courrier professionnel.
  • Selon le FBI, les dommages causés par les attaques d'emails ont atteint la somme de 43 milliards de dollars au cours des cinq dernières années.

La correspondance privée n'est généralement pas de nature sensible et intéresse rarement des pirates. Pour eux, il est certainement plus intéressant d'essayer pirater un employé d'une entreprise, où il y a du potentiel d'escroquer de l'argent.

Un scénario courant est une attaque contre des employés de l'entreprise sous le nom de leur collègue ou supérieur. La plupart des utilisateurs considèrent les e-mails de leur collègues non dangereux et s'il s'agit d'une instruction du PDG, ils exécutent leur demande. Pour cibler et attaquer des employés de telle manière, des pirates ont besoin de surveiller et de lire les e-mails de l'entreprise pendant quelque temps (généralement plusieurs mois).

C'est incroyablement facile d'envoyer un e-mail avec un faux nom d'expéditeur. Un attaquant n'a même pas besoin d'avoir accès au domaine ou mail de l'entreprise. Les clients de messagerie acceptent un tel message et affichent le nom d'expéditeur défini, parce qu'ils ne sont pas programmés à la vérification de l'adresse de l'expéditeur.

Suivez le prochain article de notre mini-série

Dans notre prochain article de notre mini-série, nous allons aborder la protection du courrier électronique et du domaine contre le spam et les escrocs essayant de se faire passer pour vous.