Protégez vos e-mails

La sécurité des e-mails est un sujet négligé par la grande majorité des utilisateurs : la plupart l’utilisent comme si un e-mail quittait leur ordinateur pour arriver directement sur celui de son ou ses destinataires… Il n’en est évidemment rien et il existe des risques de sécurité réels qui doivent être pris en compte. Comme toujours, il ne faut pas tomber dans l’excès et utiliser des sécurités type “secret défense” pour envoyer des messages que l’on n’aurait pas de problème à envoyer sur une carte postale, mais un minimum de connaissance des risques et de vigilance s’imposent.

Comment transitent vos e-mails

Quand vous envoyez un e-mail, votre logiciel de messagerie se connecte au serveur SMTP (Simple Mail Transfer Protocol) de votre prestataire, que ce soit votre fournisseur d’accès à internet ou tout autre. Si votre compte de messagerie n’est pas configuré pour utiliser le protocole SSL (Secure Sockets Layer) ni l’authentification sécurisée, le mot de passe de votre compte et le contenu du message sont envoyés “en clair” (en texte lisible). Votre message va ensuite passer par votre serveur SMTP puis celui du destinataire, sur lesquels ils ne seront pas plus chiffrés.

Quand le destinataire relève son courrier, qu’il utilise le protocole POP ou IMAP pour interroger son serveur, le message transitera de nouveau en clair vers son ordinateur, si son compte n’est pas configuré pour utiliser SSL. Sans SSL ni authentification sécurisée, ses identifiants de connexion seront également envoyés en clair.

Nous avons évidemment beaucoup simplifié : les messages transitent généralement à travers plusieurs réseaux et plusieurs serveurs et des copies en sont réalisées à diverses étapes. Ajoutez à cela les risques d’interception liés à l’utilisation du Wi-Fi, notamment depuis un accès public, et vous comprendrez qu’il peut être utile de prendre un minimum de précautions, et ce, même si vous n’envoyez rien de confidentiel : si vos identifiants de connexion étaient interceptés, votre messagerie pourrait bien sûr être utilisée à des fins frauduleuses. Dans certains cas, vous pourriez être amenés à prouver que vous n’êtes l’émetteur de certains messages…

Comme nous le répétons souvent sur ce site d’une manière ou d’une autre, il ne s’agit pas de se sentir menacé en permanence et dans le cas de la messagerie, d’imaginer que tous vos mails sont scrutés… Mais sachez que cela est techniquement possible et qu’il existe des moyens de sécuriser vos e-mails, dont certains sont très simples à mettre en œuvre.

Utilisez SSL pour l’envoi & la réception de vos mails

C’est une méthode efficace et simple à mettre en œuvre pour protéger vos mails durant leur acheminement (et chiffrer vos identifiants de connexion par la même occasion). Cette option n’est malheureusement pas proposée par tous les fournisseurs d’accès à internet ou elle n’est parfois possible qu’en réception.

En cas de doute, consultez la documentation en ligne de votre prestataire et, si besoin, créez-vous une adresse Gmail, MobileMe/iCloud ou autre et envoyez un avis de changement d’adresse à l’ensemble de vos contacts…

Si vous ne pouvez pas utiliser SSL et ne voulez pas changer d’adresse, mais que vous êtes soucieux de la sécurité de votre messagerie, vous pouvez utiliser un VPN (Virtual Private NetWork) pour sécuriser toutes vos connexions. Un VPN permet de faire circuler vos données entrantes et sortantes dans un “tunnel” chiffré.

Activer SSL dans Mail

Notez tout d’abord qu’il est possible que SSL ait été activé par défaut au moment de la configuration de votre compte.

Pour le courrier entrant :

  • Rendez-vous dans le menu Mail > Préférences > Comptes
  • Sélectionnez le compte que vous voulez configurer (ou vérifier)
  • Cliquez sur l’onglet “Avancé”
  • Cochez, si ce n’est déjà fait, la case “Utiliser SSL”. Le port 993 sera sélectionné par défaut pour un compte IMAP. Pour un compte POP ce sera 995. Il n’y a généralement pas lieu de le modifier, sauf indication contraire de votre prestataire. C’est tout !

Pour le courrier sortant :

Après avoir vérifié que votre prestataire le permet…

  • Cliquez sur l’onglet “Données du compte” et dans le menu déroulant “Serveurs d’envoi (SMTP)” en bas de la fenêtre, cliquez sur “Modifier la liste des serveurs SMTP”.
  • Sélectionnez le serveur SMTP correspondant au compte que vous configurez.
  • En bas de la fenêtre, cliquez sur l’onglet “Avancé” et appliquez les réglages requis par votre prestataire.

Si votre prestataire ne propose pas de protection SSL, il est possible qu’il supporte au moins l’authentification sécurisée. Le contenu de vos mails ne sera pas chiffré durant le transport, mais au moins vos identifiants de connexion ne seront pas envoyés en clair. Mais, encore une fois, nous vous conseillons plutôt soit d’ouvrir un compte de messagerie offrant une protection SSL, soit d’utiliser un VPN.

Envoyer des informations sensibles par mail

Comme nous l’avons vu, SSL ne protège vos messages que durant leur acheminement d’un ordinateur à l’autre via les différents serveurs. Sur ces serveurs par lesquels ils transitent, ils ne sont pas chiffrés, donc lisibles. Les risques qu’ils soient lus sur ces serveurs sont très faibles (sauf si vos identifiants de connexion ont été interceptés, faute d’utiliser SSL ou l’authentification sécurisée), mais cela est en théorie possible et vous pouvez cas juger nécessaire de ne prendre aucun risque, aussi minime soit-il.

Plusieurs solutions s’offrent à vous :

  • Utiliser une image disque chiffrée, créée très simplement à l’aide de l’Utilitaire de disque. Cela suppose bien sûr que le destinataire du message utilise également un Mac…
  • Utiliser un utilitaire de cryptage type MEO, logiciel gratuit disponible pour Mac et Windows. Il est extrêmement simple à utiliser, même si vous ne parlez pas ou peu l’anglais. Vous pouvez le télécharger sur le site de NCH.
    Si votre correspondant est sur Mac, vous pourrez éventuellement lui adresser un fichier auto-extractible, s’il ne souhaite pas installer MEO. S’il est sous Windows, il devra télécharger la version correspondante du logiciel. Bien entendu, le mot de passe ne sera pas transmis par mail…
  • Utiliser un service de certification type VeriSign. Cela ne sera pas nécessaire pour l’immense majorité des utilisateurs mais la procédure n’est pas très complexe et nous y consacrerons un article prochainement.
  • Utiliser les outils GPGTools : un projet open-source très intéressant, qui vous permet d’utiliser OpenPGP (Pretty Good Privacy) sur votre Mac. Ces outils permettent le chiffrement / déchiffrement et la signature d’e-mails.
Recevez les alertes & informations de sécurité par e-mail !