IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Google annonce la disponibilité publique du chiffrement côté client de Gmail


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Anthony
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Novembre 2022
    Messages
    1 236
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Rédacteur technique

    Informations forums :
    Inscription : Novembre 2022
    Messages : 1 236
    Points : 20 417
    Points
    20 417
    Par défaut Google annonce la disponibilité publique du chiffrement côté client de Gmail
    Google lance le chiffrement côté client pour Gmail en version bêta, pour les utilisateurs Google Workspace Entreprise Plus, Education Plus et Education Standard

    Google a annoncé que les entreprises peuvent désormais demander à tester le chiffrement côté client pour Gmail sur le Web.

    Désormais disponible en version bêta pour une sélection d'utilisateurs de Workspace, cette fonctionnalité a été promise il y a quelque temps. Selon Google, la nouvelle option de chiffrement signifie que "les données sensibles contenues dans le corps de l'e-mail et les pièces jointes sont indéchiffrables par les serveurs de Google", mais certains seront déçus que cette fonction de sécurité et de confidentialité ne soit pas disponible pour tous.

    Le chiffrement côté client est déjà disponible pour un certain nombre de produits Google, notamment Drive, Docs et Meet, et la seule véritable surprise ici est le temps qu'il a fallu à la société pour accorder le même traitement à Gmail.

    Google explique :

    Nous élargissons l'accès des clients au chiffrement côté client dans Gmail sur le Web. Les clients de Google Workspace Enterprise Plus, Education Plus et Education Standard peuvent s'inscrire à la version bêta jusqu'au 20 janvier 2022. [sic -- Google veut clairement dire 2023].

    L'utilisation du chiffrement côté client dans Gmail garantit que les données sensibles contenues dans le corps de l'e-mail et les pièces jointes sont indéchiffrables par les serveurs de Google. Les clients conservent le contrôle des clés de chiffrement et du service d'identité pour accéder à ces clés.
    La société précise que le chiffrement côté client est désactivé par défaut et doit être activé par les administrateurs. Les utilisateurs peuvent ensuite choisir de chiffrer les e-mails et les pièces jointes message par message.

    Google partage les informations suivantes sur les personnes qui vont pouvoir profiter des nouvelles options de chiffrement :

    • Disponible pour les clients de Google Workspace Enterprise Plus, Education Plus et Education Standard.
    • Non disponible pour les clients de Google Workspace Essentials, Business Starter, Business Standard, Business Plus, Enterprise Essentials, Education Fundamentals, Frontline, et Nonprofits, ainsi que pour les anciens clients de G Suite Basic et Business.
    • Non disponible pour les utilisateurs disposant d'un compte Google personnel

    Si vous souhaitez participer à la version bêta du chiffrement côté client, rendez-vous sur le formulaire de demande pour lancer le processus. Google indique qu'il "acceptera les demandes de participation à la version bêta et autorisera les clients" au cours des prochaines semaines.

    Nom : gmail_cse-640x588.jpg
Affichages : 1323
Taille : 22,0 Ko

    Source : Google

    Et vous ?

    Qu'en pensez-vous ?
    Avez-vous déjà eu l'occasion de tester cette nouvelle fonctionnalité de Gmail ?

    Voir aussi :

    L'UE déclare la guerre au chiffrement de bout en bout et exige l'accès aux messages privés sur n'importe quelle plateforme

    ProtonMail offre maintenant la cryptographie à courbe elliptique

  2. #2
    Membre chevronné
    Profil pro
    MOA
    Inscrit en
    Décembre 2002
    Messages
    1 096
    Détails du profil
    Informations personnelles :
    Localisation : France, Eure et Loir (Centre)

    Informations professionnelles :
    Activité : MOA

    Informations forums :
    Inscription : Décembre 2002
    Messages : 1 096
    Points : 1 991
    Points
    1 991
    Par défaut
    Citation Envoyé par Anthony Voir le message
    Qu'en pensez-vous ?
    Si la sécurité des données est importante et que les utilisateurs sont Européens, autant utilisé un prestataire de mail européens et ainsi être certain que les règles RGPD soient bien respectées.
    J'ai pu lire à droite et à gauche que les règles RGPD chez Google n'étaient pas toujours bien respectées. On n'a pas l'assurance

    Si les utilisateurs sont des particuliers, il y a pléthores de solution (notamment les services des chattons, ...) .
    Si les utilisateurs sont des entreprises, il y a notamment la solution suisse Infomaniak qui offre une véritable alternative avec toute une suite d'application qui peut très bien bien répondre aux besoins.

    Mieux ne va pas se prendre la tête avec Google si l'on veut de la sécurité et vie privée qui est une des sociétés les plus riches du monde, offrant une multitude services ultra-varié permettant un profilage ultra-précis.
    De mon point de vue, cela n'a aucun sens à utilisé Google, même pour une entreprise, si la vie privée est importante et qu'il existe des alternatives européennes.

    Citation Envoyé par Anthony Voir le message
    Avez-vous déjà eu l'occasion de tester cette nouvelle fonctionnalité de Gmail ?
    J'ai un compte GMail perso, donc non. Et j'essaie de l'utiliser de moins en moins justement.

  3. #3
    Membre régulier
    Homme Profil pro
    Inscrit en
    Septembre 2009
    Messages
    36
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations forums :
    Inscription : Septembre 2009
    Messages : 36
    Points : 83
    Points
    83
    Par défaut
    Sauf que l'utilisateur lambda va tout simplement utiliser Google même pour générer et stocker ses clés, ce qui est en contradiction avec l'objectif de rendre la lecture de nos mails par Google impossible.
    Google a prévu l'API pour générer la clé côté serveur : https://developers.google.com/gmail/...eypairs/create

    S'ils le voulaient, ils pourraient tout à fait faire la génération dans le navigateur, chiffrer la clé privée toujours dans le navigateur avec une "passphrase" choisie par l'utilisateur, avant de l'héberger sur ses serveurs.
    Pour lire le courriel, la clé privée chiffrée serait récupérée par le navigateur, déchiffrée côté navigateur et le mail serait aussi déchiffré côté navigateur.

    Bref, comment encore détourner des mots comme "privacy" ou "end-to-end encryption" à des fins marketing pour capter l'utilisateur ignorant et lui vendre une fausse sensation de vie privée / sécurité (un peu comme tous ces VPN commerciaux).
    L'utilisateur lambda verra encore moins l'intérêt de PGP, et pourtant, c'est bien ça qu'il lui faut s'il veut envoyer/recevoir des mails avec plus de vie privée.

    Comme l'a dit weed, mieux vaut continuer à s'éloigner de cette entreprise.

  4. #4
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    Janvier 2014
    Messages
    1 089
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 089
    Points : 26 555
    Points
    26 555
    Par défaut Google annonce la disponibilité publique du chiffrement côté client de Gmail
    Google annonce la disponibilité publique du chiffrement côté client de Gmail
    et promet de ne plus pouvoir accéder aux contenus des emails avec cet outil activé

    À la fin de l’année dernière, Google a annoncé la disponibilité de la version bêta de l’outil de sécurité « Client Side Encryption » (ou plus simplement chiffrement côté client) abrégé CSE pour certains services de sa suite d’outils de Workspace comme Drive, Docs, Slides, Sheets et Meet. Depuis hier, cet outil de sécurité a été étendu à d’autres services de Workspace, notamment à Gmail et Calendar afin de permettre à encore plus d’organisations de devenir les arbitres de leurs propres données et les seules parties qui décident qui y a accès, a martelé la firme. Mais cet outil pourra-t-il véritablement convaincre les utilisateurs avertis sur le fait que la firme ne pourra plus avoir accès au contenu des e-mails envoyés avec CSE activé ?

    Selon Google, Workspace utilise déjà les dernières normes cryptographiques pour chiffrer toutes les données au repos et en transit entre ses installations pour tous les services. De plus, Gmail utilise TLS (Transport Layer Security) pour communiquer avec d’autres fournisseurs de services de messagerie. Avec CSE couplé à Gmail, l’entreprise annonce que le contenu des emails, y compris les images en ligne et les fichiers joints ne seront plus accessibles à des tiers y compris Google elle-même. Bien évidemment, la première préoccupation qui vient à l’esprit est de savoir comment est implémenté ce chiffrement pour que même Google ne puisse pas avoir accès aux contenus des messages envoyés dans la mesure où il ne s’agit pas d’un chiffrement de bout en bout. Pour répondre à cette préoccupation, Google explique qu’avec le chiffrement côté client de Google Workspace, le chiffrement du contenu est géré dans le navigateur du client avant que les données ne soient transmises ou stockées dans le stockage basé sur le cloud de Google. De cette façon, les serveurs de Google ne peuvent pas accéder à vos clés de chiffrement et déchiffrer vos données. Pour ce faire, une nouvelle option permet d’utiliser vos propres clés de chiffrement pour chiffrer les données de votre organisation, telles que les fichiers et les e-mails, en plus d’utiliser le chiffrement par défaut fourni par Google Workspace. Après avoir configuré CSE, vous pouvez choisir les utilisateurs qui peuvent créer du contenu chiffré côté client et le partager ou l’envoyer en interne ou en externe.

    Il faut souligner que CSE n’est disponible que pour les clients Entreprise, Education standard et Education Plus. Il va sans dire que les clients de Google Workspace Essentials, Business Starter, Business Standard, Business Plus, Enterprise Essentials, Education Fundamentals, Frontline, et Nonprofits, ainsi que les anciens clients de G Suite Basic et Business et ceux disposant d’un compte Google personnel ne pourront pas utiliser ce nouvel outil de confidentialité. Pour les clients Entreprise, Education standard et Education Plus qui souhaitent utiliser CSE, les administrateurs auront besoin de passer par plusieurs étapes comme la configuration du service de clé externe, l’ajout du service de clé, l’attribution du service de clé afin de connecter Workspace au fournisseur d’identité. Une fois ces étapes suivies, ces derniers pourront maintenant configurer l’API de Gmail et configurer Gmail CSE pour les utilisateurs. Avec ce chiffrement, la firme explique que les utilisateurs peuvent désormais « envoyer et recevoir des e-mails ou créer des événements de réunion avec des collègues internes et des parties externes, sachant que leurs données sensibles (y compris les images en ligne et les pièces jointes) ont été chiffrées avant d’atteindre les serveurs de Google ». Avec CSE, souligne Google, « la capacité de chiffrement de Workspace passe à un niveau supérieur en garantissant que les clients ont le contrôle exclusif de leurs clés de chiffrement, et donc un contrôle total sur tous les accès à leurs données ».

    Nom : Gmail Encryption.png
Affichages : 16454
Taille : 57,2 Ko

    Toutefois, il faut noter qu’en activant CSE pour Gmail, plusieurs fonctionnalités y compris celles ci-dessous ne seront pas disponibles. Voici quelques-unes des fonctionnalités de Gmail qui ne sont pas disponibles avec les fichiers chiffrés côté client.
    • Mode confidentiel
    • Envoi à des groupes en tant que destinataires
    • Recherche dans le corps du message (les utilisateurs peuvent toujours effectuer une recherche par destinataire et par objet)
    • Signatures
    • Imprimer
    • Utilisation des applications mobiles Gmail

    De plus, la délégation de messagerie (boîtes de réception partagées) n’est pas disponible avec Gmail CSE.

    En outre, l’entreprise précise que les en-têtes de mail, y compris l’objet, les horodatages et les listes de destinataires ne sont pas chiffrés côté client. Pour rassurer les sceptiques, Google cite certaines entreprises comme le Groupe Le Monde ou encore Verizon qui utilisent CSE pour garantir la confidentialité et l’intégrité de leurs données sensibles. Russell Leader, Director Collaboration and Mobility chez Verizon déclare même qu’ils ont « travaillé aux côtés de Google pour développer de nouvelles solutions de chiffrement et sont ravis d’explorer leur utilisation ».

    Si ce nouvel outil fait la joie de plusieurs, il n’en est pas le cas pour certains. En effet, si cela avait été un chiffrement de bout en bout qui implique que les données sont chiffrées automatiquement sur l’appareil du client et déchiffrées sur celui du destinataire, cela aurait ravi les plus sceptiques. Mais nous n’en sommes pas encore là. Ce qui signifie que les clés privées sont accessibles par les administrateurs de l’entreprise qui déploie la fonctionnalité. Et pour Sly, un intervenant sur toile, « le courrier électronique ne doit jamais être utilisé pour des communications sécurisées. Il n’est pas sécurisé par conception et ne peut pas être sécurisé ». Drex de son côté ajoute que ce serait « naïf de croire que Google ne pourra pas avoir accès au contenu de vos mails après avoir activé CSE, car dès qu’une ordonnance de justice sera sur la table, Google fera sortir tout le contenu des mails, avec sans CSE activé ». Partagez-vous cet avis ?

    Source : Google

    Et vous ?

    Quels commentaires faites-vous de ce nouvel outil intégré à Gmail ?

    Pensez-vous que CSE pour Gmail peut véritablement empêcher Google d’accéder aux contenus des emails ?

    Voir aussi

    L’UE déclare la guerre au chiffrement de bout en bout et exige l’accès aux messages privés sur n’importe quelle plateforme

    ProtonMail offre maintenant la cryptographie à courbe elliptique

  5. #5
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 592
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 592
    Points : 4 086
    Points
    4 086
    Par défaut
    il peut dire ce qu'il veut, on ne le crois pas. encore une manoeuvre pour faire venir les gens

Discussions similaires

  1. Réponses: 12
    Dernier message: 05/03/2015, 11h50
  2. Google développe un débogueur Native Client pour Visual Studio et Eclipse
    Par Hinault Romaric dans le forum Langages de programmation
    Réponses: 2
    Dernier message: 14/05/2011, 03h03
  3. Google lance un programme de certification pour les Google Apps
    Par Katleen Erna dans le forum Actualités
    Réponses: 7
    Dernier message: 07/03/2011, 11h29
  4. Réponses: 4
    Dernier message: 29/01/2010, 16h28

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo