Passer au contenu

Espionnage américain : les hébergeurs allemands vont chiffrer tous les e-mails

Trois fournisseurs de messageries ont décidé de chiffrer le trafic des e-mails entre leurs serveurs, par le protocole SSL/TLS. Le but : rassurer les citoyens allemands… et couper l’herbe sous les pieds des concurrents américains.

Face à l’ampleur de la surveillance américaine révélée par Edward Snowden, trois fournisseurs allemands de messagerie électronique ont décidé de s’unir pour blinder le trafic de leurs courriels. A savoir : T-Online (filiale de Deutsche Telekom), GMX et Web.de. A eux trois, ils représentent deux tiers des comptes emails privés en Allemagne, soit 50 millions de boîtes électroniques, selon l’AFP. Ils ont baptisé leur initiative de sécurité « Email made in Germany ».

De s’agit-il exactement ? Les trois sociétés ont mis en place un chiffrement des échanges par protocole SSL/TLS entre tous leurs serveurs. Désormais, un mail envoyé de GMX vers T-Online ou Web.de sera donc automatiquement chiffré, et cela de bout en bout (depuis l’équipement terminal de l’envoyeur à celui du récepteur). A ce titre, les utilisateurs verront apparaître dans leurs boîtes aux lettres une petite pastille « Email made in Germany » pour signifier qu’une adresse est sécurisée. En revanche, un mail envoyé de GMX vers Gmail ne bénéficiera pas cette protection.

Avantage marketing

Cette initiative se veut ouverte : les fournisseurs de messagerie allemands, voire européens, sont vivement incités à rejoindre leur club de chiffrement. L’objectif est évidemment de rassurer les clients et, du même coup, créer un avantage marketing par rapport aux services étrangers, en particulier américains. « Les révélations récentes sur la surveillance des données de communication ont fortement perturbé les Allemands. Avec notre initiative, nous essayons d’apporter une solution et de rendre les échanges de courriels globalement plus sécurisés en Allemagne », explique René Obermann, PDG de Deutsche Telekom, dans un communiqué.

En réalité, l’usage du SSL/TLS n’est pas vraiment nouveau dans le domaine de la messagerie électronique. La plupart des fournisseurs proposent déjà aux internautes une connexion SSL/TLS entre l’équipement terminal et le serveur de messagerie. La même technologie de sécurité est d’ailleurs utilisée pour sécuriser l’envoi d’un numéro de carte bancaire lors d’un achat en ligne. Ce qui est nouveau est l’utilisation du SSL/TLS entre les serveurs des fournisseurs. Ce n’est pas évident à priori, car cela suppose qu’ils accordent leurs violons d’un point de vue technique.

Il existe des solutions plus sécurisées

Si l’usage généralisé du SSL/TLS peut être vu comme un progrès, il ne permet pas d’atteindre un aussi haut niveau de confidentialité que le protocole OpenPGP. En effet, avec SSL/TLS, les fournisseurs choisissent et implémentent les clés de chiffrement. Ils ont donc la possibilité de déchiffres les messages, sur demande des autorités gouvernementales par exemple. Avec OpenPGP, grâce aux procédés de chiffrement asymétrique, c’est l’utilisateur qui en est le maître. Le fournisseur du service, lui, ne peut rien faire. Le problème, c’est qu’OpenPGP est assez compliqué à mettre en œuvre et à utiliser.

D’ailleurs, hasard du calendrier, deux fournisseurs américains de messagerie sécurisée basée sur des technologies similaires, Lavabit et Silent Circle, viennent de fermer leurs portes. Le premier aurait justement été utilisé par Edward Snowden pour contacter les journalistes. Preuve que ces messages avaient un niveau de sécurité élevé.

Lire aussi:

Le scandale Prism pourrait coûter cher à l’industrie high-tech américaine, le 07/08/2013

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn