Les fournisseurs de messagerie peuvent faire davantage pour protéger leurs utilisateurs. Voici comment
Le courrier électronique est l’une des parties les plus sensibles de notre identité en ligne. Tous nos comptes – Amazon, PayPal, Facebook, etc. – sont liés à notre adresse e-mail. Cela fait du courrier électronique une cible privilégiée pour les pirates. Nous avons interrogé Matthias Pfau, fondateur du sécurisé mail service Tutanota, ce que les fournisseurs de messagerie et les utilisateurs doivent faire pour protéger leurs comptes de messagerie. Selon lui, il serait peut-être temps d’abandonner Gmail et Yahoo.
Question :Le courrier électronique est l'un des outils en ligne les plus importants. Tout le monde possède un compte de messagerie et la plupart d’entre nous stockent dans nos e-mails des informations que nous ne voulons pas que les autres voient. Comment est-il possible que des piratages massifs de mots de passe, comme celui de Yahoo, puissent avoir lieu ?
UN:Le principal problème concerne les fournisseurs de messagerie. De nombreux fournisseurs ne sécurisent pas les mots de passe de leurs utilisateurs aussi bien qu’ils le devraient. Le hack Yahoo en est malheureusement un très bon exemple. En 2013 et 2014, des attaquants malveillants ont eu accès à 3 milliards de mots de passe Yahoo. n'a même pas alerté ses utilisateurs .
C'est pourquoi les services de messagerie axés sur la sécurité, tels que Tutanota, prennent de l'ampleur . Nous comprenons qu'en tant que développeurs, nous devons nous assurer que le piratage de mots de passe est impossible. Les services de messagerie ne devraient jamais avoir accès aux mots de passe de leurs utilisateurs. La raison est simple : si nous n’avons pas accès au mot de passe, les attaquants malveillants ne peuvent pas nous le voler. Avec une configuration de sécurité appropriée, il n'est pas nécessaire de stocker le mot de passe simple sur le serveur pour connecter les personnes à leur boîte aux lettres. Il suffit de stocker un hachage – un morceau de code qui déverrouille la bonne boîte aux lettres – qui ne peut pas être recalculé dans le mot de passe. Quiconque volerait le hasch se retrouverait les mains vides. La plupart des services de messagerie permettent également à leurs utilisateurs de s'inscrire avec des mots de passe faibles qui peuvent facilement être déchiffrés par des attaques par force brute. L'utilisateur moyen ne veut pas penser à la sécurité et à la manière d'y parvenir. Le service de messagerie doit s’en occuper pour eux, et c’est ce que nous faisons déjà chez Tutanota.
Question :Chez Tutanota, vous n’avez non seulement aucun accès aux mots de passe des utilisateurs, mais également aucun accès au contenu des boîtes mail des utilisateurs. Toutes les données sont cryptées. Pourquoi pensez-vous qu’il est important de chiffrer tous les e-mails ?
UN:La sécurité des e-mails est intrinsèquement brisée. Grâce à sa conception ouverte, le courrier électronique connaît un énorme succès. N'importe qui peut envoyer des e-mails à n'importe qui, quel que soit l'endroit où les e-mails sont hébergés. C'est un outil très simple pour contacter n'importe qui dans le monde. Cependant, la conception ouverte rend pratiquement impossible la sécurisation adéquate des e-mails.
En principe, tous les e-mails doivent être protégés par un cryptage SSL. Tout service de messagerie doit avoir de très bonnes notes SSL, par exemple sur Laboratoires SSL ou sur sécuritéheaders.io . Sans SSL, n'importe qui peut copier et lire tous vos e-mails. Pas seulement les services secrets, mais tout attaquant malveillant capable de copier l’intégralité du trafic de messagerie d’une personne. Ensuite, ils scannent les données à la recherche de mots comme « carte de crédit ». C'est vraiment aussi simple que cela.
Cependant, pour une sécurité adéquate des e-mails, nous avons besoin d'un cryptage de bout en bout, car le cryptage SSL crée uniquement un tunnel par lequel les e-mails sont envoyés. Malheureusement, les normes de chiffrement comme PGP ou S/MIME sont trop compliquées pour beaucoup et ne sont donc jamais devenues très populaires. C'est pourquoi chez Tutanota, nous avons décidé de reconstruire le courrier électronique à partir de zéro, y compris le chiffrement automatique de bout en bout. Grâce au cryptage intégré de Tutanota, vous pouvez être absolument sûr que personne d'autre que le destinataire prévu ne pourra lire vos e-mails. Seuls vous et le destinataire avez accès à la clé pour ouvrir l'e-mail. Les fournisseurs de messagerie grand public tels que Gmail et Yahoo ne disposent pas de cryptage automatique de bout en bout.
Question :Fondamentalement, ce que vous dites, c’est que les services de messagerie doivent protéger les comptes de messagerie de leurs utilisateurs bien mieux que la plupart d’entre eux. Cependant, chaque fois que des nouvelles concernant le piratage de mots de passe éclatent, les utilisateurs sont informés qu'ils doivent correctement sécuriser leurs comptes. L'utilisateur ne peut-il rien faire ?
UN:En fait, il y en a beaucoup. Mais ce que je voulais souligner, c’est que c’est aussi notre responsabilité en tant que développeurs. Nous devons créer un service de messagerie qui peut être utilisé et sécurisé facilement, un service qui assure la sécurité de l'utilisateur.
Une fois cela fait, les utilisateurs peuvent et doivent suivre quelques étapes simples pour sécuriser leurs comptes en ligne :
- Créez des mots de passe forts . Ne vous inscrivez pas avec des mots de passe tels que « 123456 ». « 123456 » est le mot de passe le plus couramment utilisé actuellement . Cela doit cesser car les gens n’ont même pas besoin de force brute pour trouver un tel mot de passe. N’importe qui peut le deviner – votre voisin, votre employeur – et lire ensuite tous vos e-mails.
- Activez 2FA. La meilleure option pour l'authentification à deux facteurs est U2F, qui est un appareil physique nécessaire pour vous connecter à votre compte. Authentification à deux facteurs protège votre compte de messagerie même dans un scénario de type Yahoo où les attaquants volent les mots de passe de tous les utilisateurs.
- Soyez prudent lorsque vous utilisez un PC public. Déconnectez-vous toujours et ne stockez jamais vos informations de connexion dans le navigateur.
- Protégez votre adresse e-mail. Ne publiez pas votre adresse e-mail dans les commentaires de blog ou sur les réseaux sociaux.
- Utilisez des pseudonymes. Les adresses e-mail alias sont très pratiques si vous souhaitez garder votre adresse e-mail principale cachée. Utilisez des alias pour vous inscrire aux newsletters, etc. Si cette adresse e-mail est utilisée abusivement par des spammeurs, vous pouvez facilement la supprimer sans avoir à changer d'adresse e-mail principale.
- Méfiez-vous du phishing. La plupart du temps les e-mails de phishing sont faciles à repérer . Ils vous demandent toujours de cliquer sur un lien et de saisir vos informations de connexion. Ne fais jamais ça.
- Utilisez le cryptage. Cryptez les messages contenant des informations sensibles avant de les envoyer.
- Choisissez le bon service. Les sept étapes mentionnées ici sont inutiles si votre fournisseur de messagerie ne garantit pas que votre compte de messagerie est configuré de manière sécurisée. Je suis partial sur celui-ci, mais je recommande Tutanota .
' SPAM à l’ancienne » par G M sous licence CC PAR 2.0