Vous êtes dans : Accueil > Tribunes libres >

La messagerie : le premier maillon faible

Charles Blanc Rolin, LUNDI 23 MAI 2016

La messagerie électronique, ce système d’échange d’informations aujourd’hui totalement entré dans les mœurs, a été créée en 1971 par le regretté Ray Tomlinson, qui nous a quittés au mois de mars dernier.

Depuis sa création, qui, dans le domaine de l’IT [1], commence à dater, ce système n’a que très peu évolué, notamment en ce qui concerne la confidentialité et l’authenticité, ses deux principaux points faibles.

Je le dis souvent aux utilisateurs que j’accueille aux journées de sensibilisation à la sécurité numérique que j’anime : parmi les fonctions proposées par le SI [2], la messagerie est, pour moi, le premier maillon faible.

La messagerie est très prisée par l’utilisateur novice, pour sa simplicité d’utilisation et sa praticité, mais ses limites en termes de confidentialité et d’authenticité sont la plupart du temps ignorées du grand public et oubliées des professionnels de l’IT. Ce qui les amène à compromettre la confidentialité des données et à mettre en péril la sécurité du SI.

De plus, dans un SI, la messagerie est bien souvent la première porte ouverte sur l’extérieur.

Mettre en place des solutions de sécurité est aujourd’hui inévitable, mais aucune solution technique ne peut à ce jour pallier l’ignorance ou la négligence de l’utilisateur.

Des systèmes de protection de la messagerie tels que des antivirus et des antispam, analysant en-têtes et corps des messages à la recherche d’un courrier indésirable ou d’une pièce jointe malveillante peuvent être déployés, mais ces solutions sont loin de nous protéger à 100 %.

Lorsqu’un message de phishing ou un message accompagné d’une pièce jointe malveillante passe à travers les « mailles du filet », il n’y a plus aucun moyen technique permettant de se prémunir de la « mauvaise action » à laquelle pourrait se livrer son auteur.

Seul le jugement du destinataire du message pourra permettre d’éviter la catastrophe.

D’où l’intérêt de sensibiliser l’utilisateur, de lui expliquer les limites et les pièges de la messagerie afin qu’il ait en main les clés qui lui permettront d’avoir le bon réflexe face à un message contenant un « piège ».

Mais là encore, on ne pourra pas garantir une efficacité à 100 %, et comme le dit l’adage : « L’erreur est humaine. »

Un accès sécurisé peut être mis en place, ou bien restreint au LAN interne de l’établissement.

Les possibilités d’accès par un tiers à la messagerie de l’utilisateur en seront considérablement réduites.

Mais il faut bien garder à l’esprit que, depuis sa création, l’e-mail transite « en clair » sur Internet.

Ce qui signifie que lors d’une attaque du type « man in the middle » [3], l’attaquant pourra lire facilement le message et la ou les pièces jointes qu’il contient.

C’est là que les solutions de chiffrement (PGP/GPG [4], BlueFiles [5], MSSanté [6], Apicrypt [7]…) entrent en scène, mais une fois encore, impossible de les imposer. Il en va de la bonne volonté de l’utilisateur et de l’analyse qu’il aura faite du contenu de son message avant de cliquer sur le bouton « envoyer ».

C’est l’éducation numérique reçue qui, de nouveau, entre en compte une nouvelle fois, et c’est bien souvent là que le bât blesse.

Quand je vois des professionnels de l’IT, beaucoup plus expérimentés, qualifiés et diplômés que moi, envoyer des informations parfois « ultraconfidentielles » sans chiffrement par le biais de la messagerie électronique, je ne peux que bondir !

Comment peut-on demander à l’utilisateur de chiffrer ses messages et ses pièces jointes confidentiels ou au praticien de santé d’utiliser la MSS, si nous, professionnels de l’IT, ne respectons pas cette règle.

Je me retrouve alors souvent dans le rôle du rabat-joie en faisant la leçon à mes correspondants, utilisateurs, prestataires, éditeurs, établissements et parfois même… institutions !

Sans donner dans la délation, trois exemples récents m’ont fait sortir de mes gonds :

  • Lors de la mise en place d’un tunnel VPN [8] entre notre établissement et un éditeur qui s’avère être lui aussi un établissement de santé (pas parmi les plus petits), l’ingénieur avec qui je corresponds m’envoie par e-mail (non chiffré) un document avec son adresse IP publique, toutes les informations sur son firewall et le chiffrement qu’il souhaite utiliser, en me demandant de lui renvoyer ce document avec les mêmes informations nous concernant ainsi que la clé partagée pour établir la connexion. Le transfert des données ne s’est pas déroulé comme il l’avait prévu : il a dû s’adapter à mon opinion, rigide, sur ce sujet.
  • Autre exemple, qui m’inquiète davantage dans la mesure où l’on passe au niveau supérieur : un grand institut qui donne un accès sécurisé à des soignants sur sa plateforme Web par le biais d’un certificat (jusque-là, tout va bien) a fait passer dans un même e-mail (toujours non chiffré) le lien pour télécharger le certificat avec le mot de passe correspondant et le mot de passe pour l’utiliser. Dans ce cas, je ne vois pas l’intérêt de verrouiller la serrure si un mot sur la porte indique que la clé est sous le paillasson.

Dernier exemple, qui va peut-être vous faire sourire. À la suite de la réunion de lancement d’un projet de déploiement de messagerie sécurisée spécifique à la santé, l’éditeur me demande de lui transmettre la liste des personnes qui ont participé à la réunion par e-mail avec leur nom, prénom, fonction, adresse de messagerie et numéro de ligne directe, informations « non confidentielles » selon lui. Après avoir vécu une belle tentative de #Fovi [9] dans notre établissement l’an passé, je ne suis pas du même avis. Je lui demande donc quelle solution de chiffrement il était en mesure d’utiliser de son côté (PGP/GPG, BlueFiles ou autre). Heureusement que j’étais assis lorsqu’il m’a répondu : « Nous ne savons pas pour le moment faire de chiffrement sur la messagerie. Je vais me renseigner. » Sans vouloir le vexer, je lui ai tout de même fait part de mon étonnement et indiqué qu’il n’était pas très vendeur pour un éditeur de messagerie sécurisée de ne pas être en capacité d’utiliser une solution de chiffrement sur sa messagerie « classique »…

 

[1] Information Technology : secteur de l’informatique.

[2] Système d’information : ensemble de ressources matérielles et applicatives permettant de collecter, stocker, traiter et distribuer de l’information.

[3] Man in the Middle : attaque informatique consistant à s’introduire dans la communication entre deux systèmes et à en dérober le contenu. Si le contenu n’est pas chiffré, l’attaquant accède donc aux informations sans effort. Il existe également des attaques de ce type sur des connexions chiffrées, mais elles sont nettement plus complexes à mettre en œuvre.

[4] PGP/GPG : système de chiffrement et de signature des e-mails libre et universel permettant d’assurer la confidentialité et l’authenticité d’un message par un système d’échange de clés.

[5] BlueFiles : récente solution française de chiffrement de documents imprimables, labélisée France Cyber Security, permettant également d’assurer la confidentialité et l’authenticité de l’émetteur d’un fichier ainsi que la gestion des droits d’accès sur le document après réception par le destinataire.

[6] Messagerie sécurisée de santé : https://www.mssante.fr

[7] Apicrypt : première messagerie sécurisée spécifique au domaine de la santé, créée en 1996, labélisée comme BlueFiles France Cyber Security, qui devrait prochainement être interopérable avec la MSS.

[8] Virtual Private Network (ou Réseau privé virtuel en français) : liaison point à point sécurisée (chiffrée) au travers d’Internet.

[9] #Fovi : fraude aux Faux ordres de virement, aussi appelée « arnaque au président ». Vincent Elbaz interprète Gilbert Chikli, l’inventeur ce procédé, dans le film Je compte sur vous.

#confidentialité##sécurité#numérique#mssante