Développé par Thibaud DT

Fragilité d'internet pour les échanges non sécurisés Retour aux newsletters

img
Le Web, la messagerie électronique ou encore la messagerie instantanée sont véritablement nés au début des années 90 avec pour principal objectif de constituer un réseau informatique permettant l'échange et le partage d'informations au niveau mondial : L'Internet. 

En 2014, 3 milliards d'internautes ont bénéficié d'un accès à l'information presque illimité grâce à une offre de plus de 1 milliard de sites web en consultation et 2 672 milliards de messages électroniques ont été échangés dans le monde entier (en 2016).

La donnée a une valeur marchande...
Si nous vivions dans un monde idyllique, nous ne pourrions que nous satisfaire de ces statistiques. Mais ces données ont une valeur.
IBM estime la valeur de ces données à 154 dollars en moyenne pour une donnée de type fichier client ou bancaire. Cette valeur atteint les 363 dollars s'il s'agit d'une donnée de santé. L'attrait pour ces données est donc très important d'autant que voler des données sur Internet peut être très facile pour un informaticien aguerri. 

Si nous devions comparer, dans le cas d'un vol de courrier postal, vous savez que le courrier a été subtilisé et lorsqu'il vous est restitué vous pouvez constater l'ouverture frauduleuse. Vous êtes donc avertis de l'infraction. Sur l'Internet, il n'y a pas de facteurs sauf pour les plus grandes entreprises ou fournisseurs d'accès à internet. Si un message électronique vous était volé, vous ne le sauriez probablement jamais et le problème pourrait perdurer pendant des années sans que vous le sachiez. 

Dans le cadre d'échanges de données par Internet, il est donc nécessaire de se soucier du dépôt de données. Tous les fournisseurs de messagerie n'ont pas la même politique de sécurisation et d'exploitation des données. Certains ne se cachent pas de faire de l'exploitation de données massives sur vos correspondances. Nous ne pouvons les citer mais nous recommandons de lire attentivement les clauses de confidentialité et d'exploitation des données dans les conditions générales d'utilisation ou contrats d'abonnement à vos services de messagerie électronique ou instantanée. 

Si le service est gratuit, c'est que vous en êtes le produit ayant valeur marchande, et par extension, vos données aussi !
Votre attention doit aussi se porter sur les canaux d'échanges. Les risques sont grands, car il n'est pas rare, encore aujourd'hui, de constater que les échanges empruntent des canaux de communication non sécurisés, c'est à dire n'utilisant pas un protocole suffixé par un S, par exemple : HTTP-S, SMTP-S, IMAP/S. Lorsque ces protocoles de communications sécurisées ne sont pas mis en œuvre, envoyer un message électronique non chiffré revient à envoyer une carte postale lisible par tous les acteurs qui contribuent à son acheminement. Pour rappel, Internet ne dispose pas de facteurs et les acteurs qui contribuent à l'acheminement de ces messages sont nombreux et parfois sans scrupules. 
Bien que ces protocoles apportent un niveau de sécurité certain, il n'est pas impossible de les contourner. Il s'agit souvent d'attaques de type « man in the middle » qui consistent simplement à détourner le trafic des communications en se faisant passer de manière illégitime pour un acteur légitime du service (Affaire NOKIA en 2013). 

Chiffrer la donnée en la rendant illisible permet de sécuriser son transfert...
L'intérêt du chiffrement des messages prend donc tout son sens puisqu'il permet la sécurisation de vos informations même si celles-ci devaient être détournées lors de leur transport sur le réseau ou lors de leur stockage sur les serveurs de messagerie, à la seule condition que vous n'échangiez pas vos clefs de chiffrements ou mots de passe via une messagerie non sécurisée. 
APICRYPT vous offre quant à lui une sécurisation complète. En effet, le serveur de messagerie est hébergé en France et sécurisé par l'APICEM SARL. Les messages sont chiffrés à tout moment, ce qui permet de ne pas se soucier des protocoles d'échanges souvent trop fragiles pour assurer une véritable sécurité. 

Pour résumer, il est important d'étudier ou de prendre en compte les points suivants :
Hébergement des données sur les serveurs de messagerie : Par qui ? Sur quel territoire ? Il est également important de contrôler les CGU, CGV et contrats d'abonnement.
Transport des données : quel type de protocole est utilisé ? Est-il bien sécurisé ? (HTTP-S, SMTP-S, IMAP/S)
Sécurisation des données transportées : Comment sont sécurisées les données lors du transport ? Le message est-il bien chiffré ?

Sources : 

http://www.cil.cnrs.fr/CIL/spip.php?article2103 
http://www.blogdumoderateur.com/chiffres-internet/ 
https://www.arobase.org/actu/chiffres-email.htm 
https://fr.wikipedia.org 
https://www.ssi.gouv.fr 
https://www-03.ibm.com/press/fr/fr/pressrelease/47021.wss 

Si vous souhaitez plus d'informations sur ce sujet, contactez-nous : infoapicrypt@apicrypt.org
Retour aux newsletters