SMTP STS : Google, Yahoo et Microsoft veulent sécuriser les emails

22 mars 2016 à 07h25
0
Plusieurs sociétés high tech entendent revoir les standards de la messagerie en proposant de forcer le chiffrement lors de l'envoi d'un email.

Tous les grands fournisseurs de messagerie ont décidé de collaborer pour corriger une vulnérabilité affectant l'extension StartTLS permettant à un hackeur de rabaisser la connexion vers une couche de chiffrement moins sécurisée.

Lorsque l'extension StartTLS est apposée sur le protocole d'envoi de messages SMTP, le texte rédigé est chiffré lors du transfert. Toutefois, si la messagerie du destinataire ne prend pas en charge cette extension, le message est envoyé en clair. Cette configuration initiale visait à encourager les prestataires de services à faire usage de ce chiffrement sans poser de problèmes majeurs.

Toutefois selon une étude (PDF) de Google portant sur 700 000 serveurs SMTP, seuls 35% d'entre eux auraient été configurés pour prendre en charge cette extension. Ainsi par exemple, 96% des emails envoyés depuis la Tunisie vers un compte Gmail ne sont tout simplement pas chiffrés. En novembre dernier, Google avait ainsi décidé d'alerter les internautes lorsque les emails reçus provenaient d'une connexion non chiffrée.


Pour résoudre ce problème plusieurs sociétés high tech entendent mettre en place un nouveau protocole baptisé SMTP STS (Strict Transport Security). Ce dernier permet au serveur de déclarer qu'il peut recevoir des connexions chiffrées via TLS. Mais surtout, il sera en mesure de rejeter les messages non sécurisés.

08110132-photo-s-curit-security-banner-gb.jpg


Parmi les sociétés soutenant ce projet nous retrouvons Yahoo!, Google, Microsoft, LinkedIn ou encore 1&1. SMTP STS est actuellement à l'état de brouillon et soumis à l'IETF, le consortium planchant sur les standard de l'Internet.


Si le standard se démocratise, toutes les messageries seront donc obligées de mettre à jour leur infrastructure et les internautes seront donc moins vulnérables face aux attaques de type man-in-the-middle visant à intercepter un message entre deux serveurs.

Rappelons par ailleurs que Google et Yahoo ont collaboré sur l'extension End-to-End visant à chiffrer les message via PGP. Les travaux actuellement en cours ont été publiés sur GitHub.

A lire également

A découvrir en vidéo

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Apple vs FBI : l'affaire daterait de 2014
Garmin Drive : dashcam, alerte collision et infotrafic pour ces GPS
Andy Grove, ex-PDG d'Intel, meurt à 79 ans
Une carte SIM gratuite et 10 Go de data, le cadeau de Bouygues Telecom pour tester sa 4G
Bbox Miami : une cure de jouvence avec Android TV
<b>Joyeux Noël</b>
Infos US de la nuit : Stripe veut s’installer à Cuba
Apple iPhone SE : petit, mais performant
Apple dévoile un iPad Pro de 9,7 pouces et monte à 256 Go
Free Mobile : le forfait à 19,99€ passe à 3,99€ en vente privée
Haut de page