Vos e-mails sont ils protégés?
Je me disais qu'avant de commencer à chercher à faire du GNUPG pour chiffrer ses mails, il fallait peut être simplement regarder comment votre fournisseur de boite mail transmet ces derniers.
Prenons les hypothèses suivantes:
- J'ai entièrement confiance en l'intégrité de mon fournisseur de boites aux lettres.
- Mon destinataire a aussi judicieusement choisi son prestataire, sinon je ne lui confierai pas de correspondance privée.
- De bout en bout aux étapes 1, 2, 3 et 4 du schéma ci dessous un chiffrement des transmissions est appliqué. A aucune étape, le message ne passe en clair sur le réseau.
Image provenant de wikimedia commons, réalisée par User:Denisg à l'aide du logiciel Dia sous Linux. Licence GFDL.
Si ces trois conditions sont réunies, Il n'y a aucune raison que mon e-mail ait pu être lu par quelqu'un d'autre que le destinataire.
Les conditions 1 et 2, je m'en remet à votre jugement. La troisième est l'objet de ce billet. Quels sont les fournisseurs de boites aux lettres qui vont correctement chiffrer les données à toutes les étapes?
Pour le test, le serveur "MTA domaine2.org" est mon serveur de mail qui accepte le TLS mais laisse le choix au correspondant de choisir le protocole qui lui plaît. En consultant les logs du serveur et les entêtes complets des messages reçus, j'ai pu remplir le tableau suivant.
| Fournisseur de BAL | Etape 1 via smtp |
Etape 1 via le webmail |
Etape 2 entre le serveur smtp de votre Fournisseur et celui du fournisseur de votre destinataire |
|---|---|---|---|
| Gmail | SSL | HTTPS | TLSv1 with cipher RC4-SHA (128/128 bits) |
| ??? | HTTPS | non chiffré | |
| Hotmail | non chiffré | HTTP *1 | non chiffré |
| FREE | non chiffré | HTTP | non chiffré |
| Orange | non chiffré | HTTP | non chiffré |
| aol | non chiffré | HTTP *1 | non chiffré |
| neuf | non chiffré | ??? *2 | non chiffré |
| mon serveur au travail | TLS | HTTPS | TLSv1 with cipher ADH-AES256-SHA (256/256 bits) |
- 1 -> l'authentification sur le webmail se fait en https, mais la lecture en http
- 2 -> l'authentification était en https, mais n'ayant pas de compte neuf.fr, je ne suis pas allé plus loin.
Conclusion
Hormis google[1] aucun des fournisseurs de messagerie testés n'est digne de confiance techniquement, et même en utilisant un qui crypte, si ce n'est pas le cas de celui de votre destinataire, ça ne sert à rien.. Cependant la plus part des e-mails provenant d'entreprises ayant leurs serveurs propres sont chiffrées (constaté sur le serveur de messagerie du travail).
Bref créez vos propres serveurs de messagerie! Au fait, le programme frenchelon, fierté française... Pas forcément difficile à mettre en place vu que la majorité des e-mails passent en clair sur le réseau.
Note
[1] et encore, le chiffrement est de 128 bits seulement et les serveurs ne sont pas en Europe