Gmail et le nouveau chiffrement des emails : entre avancées et limites
La sécurité des communications électroniques est un enjeu majeur pour les entreprises et les particuliers. Récemment, Google a annoncé une nouvelle fonctionnalité pour Gmail visant à simplifier le chiffrement des emails. Cependant, cette annonce soulève des questions quant à la nature réelle de cette protection et à son efficacité.
Une tentative de démocratisation du chiffrement des emails
Historiquement, le chiffrement des emails a toujours été complexe à mettre en œuvre. Des protocoles comme PGP, créé en 1991, et S/MIME, apparu en 1995, bien que robustes, restent peu utilisés en raison de leur complexité. Selon une étude de Google, moins de 5% des emails professionnels sont actuellement chiffrés.
Face à ce constat, Google a introduit une nouvelle fonctionnalité dans Gmail permettant aux utilisateurs d’ajouter un chiffrement supplémentaire en un clic, grâce à un bouton « additional encryption » directement intégré dans l’interface de composition des emails. Pour les destinataires utilisant également Gmail, le processus est transparent : ils reçoivent le message déchiffré avec une indication qu’il s’agit d’un message chiffré. Pour les autres, un lien est fourni pour accéder au message via une version restreinte de Gmail, après authentification.
Client-Side Encryption (CSE) : une protection sous contrôle administratif
Bien que Google présente cette fonctionnalité comme une forme de chiffrement de bout en bout (E2EE), il s’agit en réalité de chiffrement côté client (CSE). La distinction est cruciale : dans un véritable E2EE, les clés de chiffrement sont générées et stockées uniquement sur les appareils des utilisateurs finaux, rendant les messages inaccessibles même au fournisseur du service. Avec le CSE de Google, les clés sont gérées par un service cloud externe, permettant aux administrateurs d’y accéder, de révoquer des accès et de surveiller les messages chiffrés.
Cette approche offre une flexibilité aux entreprises pour gérer les accès et assurer une certaine sécurité, mais elle ne garantit pas une confidentialité absolue. Les administrateurs, et potentiellement Google, pourraient accéder au contenu des messages si nécessaire.
Implications en matière de sécurité et de confidentialité
L’introduction du CSE dans Gmail présente des avantages et des inconvénients. D’une part, elle facilite l’adoption du chiffrement en le rendant plus accessible aux utilisateurs non techniques. D’autre part, elle soulève des préoccupations quant à la véritable confidentialité des communications.
Par exemple, les liens envoyés aux utilisateurs non-Gmail pour accéder aux messages chiffrés ressemblent aux invitations Google Docs/Sheets, ce qui pourrait être exploité par des attaquants via des techniques de phishing. De plus, la gestion des clés par un service externe pose des questions sur la souveraineté des données et la conformité avec des réglementations telles que le RGPD.
Alternatives pour une confidentialité renforcée
Pour les utilisateurs et les entreprises recherchant une véritable confidentialité sans intervention possible d’un tiers, des alternatives comme ProtonMail ou Tutanota offrent des solutions de chiffrement de bout en bout où seuls les utilisateurs finaux détiennent les clés de déchiffrement. Ces services garantissent que même le fournisseur ne peut accéder au contenu des messages.
Conclusion
L’initiative de Google visant à intégrer le chiffrement dans Gmail est une avancée notable vers une meilleure sécurisation des communications électroniques. Toutefois, il est essentiel pour les utilisateurs de comprendre les limites de cette protection et de ne pas la confondre avec un véritable chiffrement de bout en bout. Selon les besoins en matière de confidentialité et de sécurité, il peut être judicieux d’explorer des solutions alternatives offrant un contrôle total sur les clés de chiffrement.
Sources : 
– 
