S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Gmail peut maintenant envoyer des e-mails chiffrés à tout le monde

Au printemps dernier, Google annonçait une évolution importante : le chiffrement de bout en bout côté client pour Gmail dans les entreprises. Une étape majeure en matière de sécurité, car contrairement au chiffrement classique sur le transport, le CSE (Client-Side Encryption) chiffre les messages avant leur envoi, les serveurs de Gmail et les autres ne pouvant voir le contenu.

La fonction était limitée jusqu’à présent aux personnes utilisant Gmail. On ne pouvait donc envoyer des e-mails chiffrés qu’à d’autres utilisateurs de la messagerie. Dans un billet publié ce 2 octobre, Google annonce qu’ils peuvent désormais être envoyés à tout le monde.

Le fonctionnement avait là encore été présenté au printemps. Puisque le message est chiffré, il ne peut être lu directement au sein d’un autre service, comme Outlook.com ou Proton Mail. À la place, la personne reçoit un courrier avec l’objet en clair, mais le corps du message n’est constitué que d’un lien et d’une explication. Pour ouvrir le lien, il faudra posséder un code que l’expéditeur aura envoyé par un autre moyen. Pas très différent, dans son fonctionnement, d’un partage de fichier protégé par mot de passe.

Dans nos colonnes, nous nous interrogions sur la réception qui serait faite de ces e-mails. De nombreuses tentatives de phishing invitent en effet à cliquer sur des liens. Google est consciente du problème, un message expliquant à côté du lien qu’il n’est conseillé de cliquer que si vous avez entièrement confiance dans l’expéditeur.

Côté expéditeur justement, et comme la fonction CSE d’origine, l’administrateur devra aussi l’avoir activée. Une fois fait, il suffit de cliquer sur le bouton « Sécurité du message » et d’activer l’option « Chiffrement supplémentaire ». Attention d’ailleurs, car il vaut mieux activer cette sécurité avant de commencer à écrire, sans quoi l’activation provoquera l’effacement de tout texte déjà présent dans la fenêtre.

Commentaires (13)

votre avatar
Donc le destinataire reçoit un lien (chez google je suppose) où il pourra avoir le message en clair. Le déchiffrement n'est donc pas fait par le destinataire, mais par google, ce n'est pas du chiffrement de bout en bout
votre avatar
Ce n'est plus non plus de l'e-mail, en fait.
votre avatar
Oui comme dit dans la news ça ressemble plus aux outils de partage de liens sécurisé (genre PrivateBin ou autre) avec le défaut que tout est chez Google donc ça laisse un doute sur leur capacité à ne pas déchiffrer le message (ou du moins à ne pas conserver l'ensemble des éléments permettant de le faire).
votre avatar
et via cette connexion, google aura des informations sur le destinataire (ip, info du navigateur, ...).
ce n'est vraiment pas une bonne idée.
Ils auraient pu utiliser un mode de chiffrement standard permettant un déchiffrement sur le poste du destinataire s'il a ce qu'il faut pour déchiffrer le mail avec en plus un lien de déchiffrement pour ce qui ne peuvent pas le faire dans leur outil de mail.
votre avatar
Ça dépend comment c'est fait, le lien peut tout à fait renvoyer vers une page qui permettra de déchiffrer localement le message. C'est déjà comme ça que fonctionne le webmail de Proton par exemple.
Si c'est Google qui décrypte le truc et l'affiche à l'utilisateur après avoir récupéré le message chiffré et la clé, ça servirait à rien du tout.
votre avatar
Voilà, et dans ce cas il faut "juste" faire confiance à Google pour ne pas lire le code/password utilisé par l'utilisateur pour permettre de dériver la clé de chiffrement. Pas grand moyen de vérifier à ma connaissance côté user.
votre avatar
Bah si, c'est du JS qui est exécuté localement, donc ça se lit (à peu près), mais pour juste vérifier si ce code est envoyé chez Google ou non, c'est faisable.
votre avatar
diantre et si il existait un standard pour ça ? avec des implémentations libres ? et que l'aspect "facilité d'utilisation" soit le seul truc sur lequel Google aurait eu à bosser pour être interropérable avec le strandard ?
couchPGPcough
votre avatar
Une étape majeure en matière de sécurité, car contrairement au chiffrement classique sur le transport, le CSE (Client-Side Encryption) chiffre les messages avant leur envoi, les serveurs de Gmail et les autres ne pouvant voir le contenu.
Allez, on y croit très fort.
votre avatar
De nombreuses tentatives de phishing invitent en effet à cliquer sur des liens.
Vérification de la loi de Murphy dans 3... 2... 1....
votre avatar
Déjà que les spams type "Un colis vous attend" redirigent souvent sur des pages HTML en storage.googleapis.com, ça va être fun de trier tout ça.
votre avatar
Tu m'ôtes les mots de la bouche. Quand Google fera-t-il le ménage et virera les escrocs qui utilisent storage.googleapis.com ?
votre avatar
comme chez MS en somme : learn.microsoft.com Microsoft

GPG ok mais un utilisateur lambda ne sait veux pas s'en servir