Accueil
Cyberécurité

Google prépare une solution de chiffrement de bout à bout pour Gmail

Cédric Mialaret
Cyberécurité

Google Transparency Report

Pour l’utilisateur lambda, Google prévoit déjà un certain nombre de mesures pour éviter l’espionnage de masse, avec notamment une connexion https sécurisée entre le navigateur des utilisateurs et les serveurs Gmail.

Elle pousse aussi les autres fournisseurs de messagerie à chiffrer le trafic entre leurs serveurs et ceux de Gmail, et détaille les informations dans son rapport de transparence:

GmailOutbondInbound_750

Notons au passage les résultats exécrables en Europe: mieux vaut utiliser un service de messagerie russe que Free ou Orange.

GmailEurope_750

End-to-End

EndToEnd-Icon-128Aujourd’hui, elle décrit sa vision de sécurité de bout à bout, avec le chiffrement d’un message avant l’envoi au serveur Gmail, et le déchiffrement après la réception, sur l’ordinateur du destinataire.

Sa future solution s’appellera End-to-End. Il s’agira d’une extension Chrome qui se fonde sur OpenPGP, l’outil de chiffrement le plus utilisé dans le monde.

De nombreuses solutions de chiffrements, comme PGP, existent depuis des années, mais elles sont difficiles à mettre en œuvre pour des utilisateurs non techniques. L’avantage de la solution End-to-End serait sa facilité d’utilisation.

Google met le code source à la disponibilité des spécialistes de la sécurité pour qu’ils puissent vérifier sa sécurité. Ils peuvent même gagner de l’argent en découvrant des bogues dans le cadre du programme Vulnerability Reward Program.
Ce n’est qu’à une date future non spécifiée que l’extension Chrome sera disponible.

Notre avis

On peut se féliciter que Google améliore la sécurité des courriels pour ses clients Gmail, et la promotion de la protection des données entre serveurs de différents fournisseurs et entre le client et le serveur email. Ils seront inutiles contre la NSA, car elle obtiendra de toute façon un accès aux serveurs des fournisseurs américains; et il est très probable qu’elle exploite des failles du protocole https. En revanche, ces chiffrements sont utiles contre les autres types d’espionnage: espionnage industriel, crime organisé.

On peut regretter que la solution End-to-End soit exclusivement réservée au navigateur de Google, Chrome, et, on peut espérer que des extensions similaires seront développées par la communauté pour les autres navigateurs.

L’annonce étonne quand même car l’espionnage de Google est pire que celui de la NSA. Elle lit et analyse tous les courriels qui transitent par Gmail à des fins publicitaires ou d’autres fins non déclarées. C’est déjà incroyable pour les clients de Gmail, qui acceptent les conditions d’utilisation du service. Légalement, cela semble indéfendable pour les envoyeurs qui utilisent d’autres services de messagerie, et qui n’ont jamais accepté que leurs courriels soient examinés par Google.

Quoi qu’il en soit, si tous les utilisateurs de Gmail chiffraient tous leurs courriels avec End-to-End, Gmail n’aurait plus aucun intérêt pour les publicitaires, et Google devrait trouver d’autres moyens de financer le service. Google fait donc le pari qu’une infime partie des courriels sera chiffrée.