Outlook, Thunderbird : comment chiffrer les emails sans sacrifier l'accessibilité de sa messagerie

S'il est important de sécuriser les communications des employés d'une entreprise avec un mécanisme de chiffrement, ce dernier peut bien souvent poser quelques problèmes. Les implémentations classiques dans des clients comme Outlook ou Thunderbird génèrent pour les utilisateurs des contraintes et des frustrations.

Bien souvent, les mesures de sécurité apportent leurs lots de restrictions et dans le cas des emails, la messagerie devient bien moins flexible et il est important de considérer le dispositif dans son ensemble avant sa mise en place.

Le piège du chiffrement local : des emails inaccessibles à distance et sur smartphone

L'utilisation de S/MIME dans Outlook ou d'OpenPGP dans Thunderbird permettent de chiffrer les messages. L'expéditeur utilise votre clé publique pour sécuriser son email et votre clé privée, associée à celle-ci, permettra quant à elle de le déchiffrer. Mais, dans la plupart des cas, il y a une limite technique fondamentale : les clés privées nécessaires au déchiffrement demeurent stockées exclusivement sur l'ordinateur sur lequel elles ont été créées.

Lorsqu'un message chiffré arrive sur les serveurs de messagerie traditionnels (Gmail, Outlook.com), il reste dans son état chiffré. Les interfaces webmail classiques ne disposent pas des clés privées nécessaires pour le déchiffrer. Le contenu du message est donc totalement illisible via un navigateur. Cette restriction s'applique également aux messages précédemment envoyés : un email chiffré expédié depuis Thunderbird le matin restera invisible dans l'interface webmail l'après-midi. Soulignons, par ailleurs, qu'il en va de même sur le smartphone puisque les applications mobiles classiques ne prennent pas en charge le chiffrement ou le déchiffrement. Il devient donc primordial d'avoir en permanence avec soi l'ordinateur spécifique où les clés sont stockées.

Et puisque votre clé privée est sur votre ordinateur, que se passe-t-il si ce dernier ne s'allume plus ? S'il a été volé ? À moins, d'avoir pensé à exporter votre clé sur un dispositif de stockage externe sécurisé, vous ne pourrez plus accéder à vos messages. Et à moins d'avoir désactivé l'accès simplifié à cette clé privée pour le déchiffrement dans le client mail, une tierce personne pourrait, elle, les consulter.

Combiner la messagerie en ligne et le client mail : le casse-tête

Une messagerie en ligne présente donc l'avantage d'être bien plus accessible. Toutefois, un client mail dédié a tout son intérêt. Hormis l'accès hors ligne aux emails récupérés, ce dernier présente les règles de filtres plus avancées avec des processus d'automatisation pour marquer certains messages (lu/non lu / drapeau / priorité) avant de les placer dans des dossiers ou sous-dossiers spécifiques. Le gestionnaire de courrier électronique permet en outre de manipuler plusieurs comptes email au sein d'une même interface. Certains d'entre eux peuvent également recevoir des extensions pour leur ajouter certaines fonctionnalités répondant précisément à un usage.

Certains éditeurs comme MailFence ou Mailbox.org promeuvent une messagerie sécurisée accessible en ligne tout en permettant de les configurer de manière standard sur un client email. Mais pour les experts en sécurité, cela crée des failles non négligeables. Les protocoles IMAP et SMTP restent vulnérables à plusieurs niveaux. D'une part, sans activation du chiffrement TLS, les données – qu’il s’agisse des emails ou des identifiants – circulent en texte clair, ce qui ouvre la porte à des interceptions du trafic lors d’attaques dites de reniflage réseau. Même avec TLS, l’utilisation de versions obsolètes (inférieures à TLS 1.2) demeure risquée. D'autre part, ces protocoles ne permettent pas de sécuriser l’ensemble des métadonnées échangées, comme l’objet ou les adresses de contact. Ces éléments restent alors exposés. Enfin, par défaut, le protocole IMAP ne propose ni chiffrement bout-en-bout, ni authentification forte. Il est donc plus facile pour une personne malveillante de contourner les protections avec des techniques comme la pulvérisation de mots de passe.

Pour cette raison, des entreprises comme Tuta et Proton refusent de permettre la configuration classique de leur messagerie sur des clients tiers. Chez Tuta, en plus d'une app mobile, on a développé un client natif, lequel permet d'accéder aux données en mode déconnecté. On ne trouve toutefois pas plus d'options pour une gestion optimisée des emails entrants ou sortants. Du côté de Proton, on a également des applications, mais on a aussi pris le parti d'aller un peu plus loin. Initialement lancé sous la forme d'une messagerie en ligne, le service peut s'intégrer au sein des clients mail populaires comme Outlook, Thunderbird ou Apple Mail. Pour ce faire, l'entreprise suisse a développé son Bridge, un logiciel disponible sur Windows, macOS et Linux. Il devient donc possible d'effectuer le chiffrement de bout en bout tout en assurant une compatiblité avec les fonctions classiques des clients mail de bureau.

Comment fonctionne Proton Bridge ?

Disponible sur l'ensemble des abonnements à Proton Mail et Proton Mail for Business, le Bridge crée un mini-serveur de messagerie local sur l'ordinateur. Il écoute sur l'adresse locale 127.0.0.1 avec des ports spécifiques (IMAP sur 1143, SMTP sur 1025). Le client mail se connecte à ce serveur local, comme il le ferait avec n'importe quel autre fournisseur. Quand un mail arrive, Bridge va le récupérer en version chiffrée sur les serveurs Proton, le déchiffrer en local puis le présenter en clair au client mail. À l'envoi, c'est l'inverse : le mail est envoyé par le client en clair à Bridge, lequel se charge du chiffrement avant de le transmettre à Proton pour expédition.

À l'ajout d'un compte Proton via le Bridge dans le client Mail, il est nécessaire de récupérer un mot de passe spécifique. Celui-ci ne quitte jamais la machine et n'est pas le même que le mot de passe du compte Proton principal. De son côté, l’utilisateur n’a pas à manipuler les clés, ni à gérer manuellement le chiffrement ou le déchiffrement. La clé privée utilisée par Proton Mail Bridge est stockée uniquement dans la mémoire vive de l’ordinateur pendant le fonctionnement de Bridge, et non pas de façon permanente sur le disque dur.

Les limites de Proton Bridge

Notons que l'installation du Bridge nécessite toutefois que l'utilisateur ait des droits suffisamment élevés sur son ordinateur. Ajoutons également que le bon fonctionnement de cette application n'est pas garanti à chaque nouvelle mise à jour du client mail utilisé. Par le passé, certains utilisateurs ont pu repérer quelques problèmes de compatibilité avec Outlook sur macOS. En tant qu'éditeurs tiers, Proton reste ainsi tributaire des évolutions des logiciels, avec cependant une maintenance continue sur le Bridge.

Soulignons pour finir qu'une fois le Bridge configuré avec vos emails synchronisés dans Outlook ou Thunderbird, le problème se pose également pour les calendriers et les contacts. Ces données sont sur les serveurs de Proton et bénéficient du même chiffrement de bout en bout. Si pour des raisons de sécurité, l'entreprise suisse n'autorise pas non plus l'usage des protocoles CalDAV et CardDAV, cette passerelle ne propose pas encore de synchroniser les données avec les logiciels compatibles. Or dans la routine quotidienne, ce n'est quand même pas l'idéal quand vous recevez une invitation par email à ajouter sur la web app ou quand vous devez rédiger un email à un contact enregistré sur le webmail….