IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Google, Microsoft et Yahoo! s’unissent pour proposer un nouveau protocole de messagerie sécurisé


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    Juillet 2013
    Messages
    2 905
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2013
    Messages : 2 905
    Points : 87 549
    Points
    87 549
    Billets dans le blog
    2
    Par défaut Google, Microsoft et Yahoo! s’unissent pour proposer un nouveau protocole de messagerie sécurisé
    Google, Microsoft et Yahoo! s’unissent pour proposer un nouveau protocole de messagerie sécurisé
    pour renforcer le chiffrement des communications par email

    Un groupe de chercheurs en sécurité indépendants accompagné par des géants de l’IT, notamment Google, Microsoft, Yahoo!, LinkedIn et Comcast, a récemment fait une proposition pour la mise en place d’un nouveau protocole de messagerie chiffré. Baptisé SMTP STS (Strict Transport Security), le nouveau protocole vise à renforcer l’extension STARTTLS du protocole SMTP (Simple Mail Transfer Protocol).

    SMTP est un protocole de communication utilisé pour transférer les courriers électroniques vers les serveurs de messagerie électronique. Comme son nom peut l’indiquer, il s’agit d’un protocole assez simple, qui date d’ailleurs des années 80. Trois décennies après, le protocole simpliste n’est plus adapté pour répondre au nouveau paysage de cybersécurité, qui met en avant une surveillance de masse en ligne et des cyberattaques très sophistiquées.

    L’industrie de la technologie a donc proposé le protocole STARTTLS, une extension de SMTP qui offre un moyen de mettre à jour une connexion en texte clair vers une connexion chiffrée au lieu d’utiliser un port distinct pour la communication chiffrée. STARTTLS permet en effet aux clients et hôtes SMTP d’établir des sessions SMTP sécurisées sur TLS. Avec cette extension de SMTP, la session commence en clair, et après que le serveur annonce qu’il supporte la connexion chiffrée, le client peut alors passer en mode chiffrement.

    Si le but était de renforcer le Simple Mail Transfer Protocol, STARTTLS n’a malheureusement pas été aussi sûr que prévu à l’origine. Le problème est qu’étant donné que la session commence en clair, un attaquant en contrôle du réseau peut modifier les messages du serveur via une attaque man-in-the-middle pour faire croire que TLS est indisponible. La plupart des clients SMTP vont donc continuer à envoyer les emails et éventuellement des mots de passe en texte clair, souvent sans notification à l'utilisateur. Il faut en effet noter que de nombreuses connexions SMTP se produisent entre les serveurs de messagerie, où la notification de l’utilisateur n'est pas pratique.

    Comme le groupe de chercheurs et les géants de l’IT l’ont donc signifié dans leur proposition déposée le vendredi 18 mars, « dans sa forme actuelle, STARTTLS ne parvient pas à fournir la confidentialité des messages (parce le chiffrement opportuniste STARTTLS est soumis à des attaques de déclassement) et l’authenticité du serveur (parce que la relation d’approbation du domaine email à l'identité du serveur MTA n’est pas cryptographiquement validée) ».

    Ces derniers essaient donc de corriger ces failles avec le nouveau protocole SMTP STS. Théoriquement, SMTP STS peut être comparé à l’extension HSTS (HTTP Strict Transport Security) de HTTPS. De manière plus claire, le nouveau protocole vise à apporter la confidentialité des messages et de l’authenticité du serveur lors du démarrage d’un canal de communication par email chiffré. SMTP STS va fonctionner avec STARTTLS pour renforcer SMTP et pour éviter les déclassements SSL/TLS et les attaques man-in-the-middle. Pour deux serveurs engagés dans des échanges de courriels, SMTP STS va permettre à chacun de valider l’autre cryptographiquement. Les deux serveurs pourront ainsi décider d’une manière sécurisée s’ils doivent utiliser le chiffrement, si le chiffrement est pris en charge, ou ce qu’il faut faire si le chiffrement n’est pas supporté.

    Au stade actuel, la proposition doit être analysée par l’IETF (Internet Engineering Task Force), avant que la nouvelle extension de SMTP soit déployée si elle est validée. Il faut également noter qu’une initiative similaire baptisée DEEP (Deployable Enhanced Email Privacy) avait été proposée l’année passée par Oracle.

    Source : SMTP Strict Transport Security

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi

    Forum Sécurité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 805
    Points
    4 805
    Billets dans le blog
    6
    Par défaut
    enfin le chiffrement de bout en bout des e-mail ? Oh faudrait juste attendre 5 à 10 ans le temps que ce soit déployé partout
    Rien, je n'ai plus rien de pertinent à ajouter

  3. #3
    Membre expérimenté Avatar de Ngork
    Homme Profil pro
    Barbare IT
    Inscrit en
    Avril 2009
    Messages
    160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Barbare IT
    Secteur : Finance

    Informations forums :
    Inscription : Avril 2009
    Messages : 160
    Points : 1 372
    Points
    1 372
    Par défaut Sécurisation des échanges ?
    Un article intéressant ... à prendre au second degré je présume ?
    Oui, car c'est vrai que ça fait rêver, la sécurisation - et donc le respect de la confidentialité - des échanges de messages électroniques par le trio Google, Microsoft et Yahoo !

  4. #4
    Provisoirement toléré
    Homme Profil pro
    Architecte réseau
    Inscrit en
    Mars 2016
    Messages
    114
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2016
    Messages : 114
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par TiranusKBX Voir le message
    enfin le chiffrement de bout en bout des e-mail ? Oh faudrait juste attendre 5 à 10 ans le temps que ce soit déployé partout
    Il n'est pas du tout question de chiffrement de bout en bout dans https://datatracker.ietf.org/doc/dra...ta-email-deep/

    EDIT: j'avais mal cherché "end to end" n'apparait pas mais "end-to-end" apparait!

    "end-to-end" n'est mentionné qu'une poignée de fois dans le document :

    The recommendations in this memo do not replace the functionality of,
    and are not intended as a substitute for, end-to-end encryption of
    electronic mail.
    Donc ce n'est ni présenté comme une protection de bout en bout, ni même comme une alternative à cela! Il est question ici uniquement d'assurer un bon niveau de protection aux différentes étapes du transfert du message, étape par étape, "hop to hop" et non "end to end".

    Donc pour moi ce n'est pas "survendu".

    Citation Envoyé par Ngork Voir le message
    Un article intéressant ... à prendre au second degré je présume ?
    Oui, car c'est vrai que ça fait rêver, la sécurisation - et donc le respect de la confidentialité - des échanges de messages électroniques par le trio Google, Microsoft et Yahoo !
    C'est bien beau de souhaiter que le fournisseur n'ait pas accès aux emails, sauf qu'en pratique beaucoup de gens veulent utiliser un WEBmail donc à un moment le serveur aura accès aux messages.

  5. #5
    Provisoirement toléré
    Homme Profil pro
    Architecte réseau
    Inscrit en
    Mars 2016
    Messages
    114
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2016
    Messages : 114
    Points : 0
    Points
    0
    Par défaut
    Trois décennies après, le protocole simpliste n’est plus adapté pour répondre au nouveau paysage de cybersécurité, qui met en avant une surveillance de masse en ligne et des cyberattaques très sophistiquées.
    Vraiment? J'aimerai bien savoir combien de "cyberattaques" se font au niveau d'une session SMTP légitime dont il est question ici... 0,0001 %?

    L'objectif ici est de se protéger de la surveillance globale des agences de renseignement, c'est tout. Et c'est déjà bien!

    Si le but était de renforcer le Simple Mail Transfer Protocol, STARTTLS n’a malheureusement pas été aussi sûr que prévu à l’origine.
    Non, pipeau. Le protocole est exactement aussi sûr que prévu, que ceux qui pensent le contraire apportent une source crédible étayant leur croyance.

    Ce n'est pas parce qu'un protocole offre une protection insuffisante pour montrer que c'est lié à un oubli. Le protocole n'a pas été conçu pour, point final.

    « dans sa forme actuelle, STARTTLS ne parvient pas à fournir la confidentialité des messages (parce le chiffrement opportuniste STARTTLS est soumis à des attaques de déclassement)
    Qui peut croire une demi-seconde que personne n'avait remarqué cela avant?

Discussions similaires

  1. La spécification WebAssembly Core est désormais un standard web officiel
    Par Stéphane le calme dans le forum Général JavaScript
    Réponses: 106
    Dernier message: 08/12/2019, 09h47
  2. Microsoft et Google main dans la main pour réduire les faux positifs
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 2
    Dernier message: 13/02/2015, 23h32
  3. Réponses: 44
    Dernier message: 19/08/2013, 14h20
  4. Pour proposer un nouveau logiciel ou code-source, cliquez ici.
    Par Community Management dans le forum Téléchargements
    Réponses: 0
    Dernier message: 22/03/2011, 11h51
  5. Réponses: 4
    Dernier message: 09/04/2006, 01h19

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo