Vos e-mails sont ils protégés?

Je me disais qu’avant de commencer à chercher à faire du GNUPG pour chiffrer ses mails, il fallait peut être simplement regarder comment votre fournisseur de boite mail transmet ces derniers.

Prenons les hypothèses suivantes:

  1. J’ai entièrement confiance en l’intégrité de mon fournisseur de boites aux lettres.
  2. Mon destinataire a aussi judicieusement choisi son prestataire, sinon je ne lui confierai pas de correspondance privée.
  3. De bout en bout aux étapes 1, 2, 3 et 4 du schéma ci dessous un chiffrement des transmissions est appliqué. A aucune étape, le message ne passe en clair sur le réseau.

Etapes_envoi_email.png Image provenant de wikimedia commons, réalisée par User:Denisg à l’aide du logiciel Dia sous Linux. Licence GFDL.

Si ces trois conditions sont réunies, Il n’y a aucune raison que mon e-mail ait pu être lu par quelqu’un d’autre que le destinataire.

Les conditions 1 et 2, je m’en remet à votre jugement. La troisième est l’objet de ce billet. Quels sont les fournisseurs de boites aux lettres qui vont correctement chiffrer les données à toutes les étapes?

Pour le test, le serveur "MTA domaine2.org" est mon serveur de mail qui accepte le TLS mais laisse le choix au correspondant de choisir le protocole qui lui plaît. En consultant les logs du serveur et les entêtes complets des messages reçus, j’ai pu remplir le tableau suivant.

Fournisseur de BAL Etape 1
via smtp
Etape 1
via le webmail
Etape 2
entre le serveur smtp de votre Fournisseur
et celui du fournisseur de votre destinataire
Gmail SSL HTTPS TLSv1 with cipher RC4-SHA (128/128 bits)
Facebook ??? HTTPS non chiffré
Hotmail non chiffré HTTP *1 non chiffré
FREE non chiffré HTTP non chiffré
Orange non chiffré HTTP non chiffré
aol non chiffré HTTP *1 non chiffré
neuf non chiffré ??? *2 non chiffré
mon serveur au travail TLS HTTPS TLSv1 with cipher ADH-AES256-SHA (256/256 bits)
  • 1 -> l’authentification sur le webmail se fait en https, mais la lecture en http
  • 2 -> l’authentification était en https, mais n’ayant pas de compte neuf.fr, je ne suis pas allé plus loin.

Conclusion

Hormis google[1] aucun des fournisseurs de messagerie testés n’est digne de confiance techniquement, et même en utilisant un qui crypte, si ce n’est pas le cas de celui de votre destinataire, ça ne sert à rien.. Cependant la plus part des e-mails provenant d’entreprises ayant leurs serveurs propres sont chiffrées (constaté sur le serveur de messagerie du travail).

Bref créez vos propres serveurs de messagerie! Au fait, le programme frenchelon, fierté française... Pas forcément difficile à mettre en place vu que la majorité des e-mails passent en clair sur le réseau.

Note

[1] et encore, le chiffrement est de 128 bits seulement et les serveurs ne sont pas en Europe

Ajouter un commentaire

Les commentaires peuvent être formatés en utilisant une syntaxe wiki simplifiée.

La discussion continue ailleurs

URL de rétrolien : https://blog-du-grouik.tinad.fr/trackback/795

Fil des commentaires de ce billet

Page top