Pour gérer vos consentements :

SMTP STS : Google, Microsoft et Yahoo musclent le chiffrement des mails

Dans le monde du chiffrement, SMTP, le protocole de service de messagerie n’a jamais eu la cote. Né en 1982, ce protocole était loin d’imaginer la surveillance des quelques milliers d’ordinateurs connectés au PC à cette période. Avec le développement du web, des cyber-criminels et l’espionnage des Etats, les acteurs IT ont poussé l’extension STARTTLS à SMTP. Il s’agissait d’une méthode pour créer une connexion sécurisée pour envoyer des mails.

Malheureusement, STARTTLS a péché en matière de sécurité. En cause, une série de défauts de conception qui donnait la capacité à des attaquants d’usurper le serveur de réception et de leurrer l’expéditeur en lui laissant croire que le destinataire ne supporte pas le chiffrement et qu’il doit envoyer les données en clair.

Du HSTS adapté au SMTP

Pour combler ces défauts, des chercheurs indépendants, ainsi que plusieurs sociétés IT comme Yahoo, Facebook et Google, Microsoft ou Linkedin ont décidé de renforcer SMTP avec une nouvelle extension de chiffrement baptisé STS (Strict Transport Security). « SMTP STS est au SMTP ce que le HSTS est au HTTPS », tente de schématiser les spécialistes en sécurité dans le document remis à l’IETF.

L’analogie est pertinente, car tout comme HSTS, SMTP STS apporte la confidentialité des messages, l’authentification du serveur lors de l’initialisation d’un canal de communication chiffré, etc. L’objectif est d’éviter la dégradation du chiffrement en SSL/TLS plus vulnérable et aussi les attaques de type man in the middle. SMTP STS donnera la capacité à deux serveurs engagés dans un échange de mail de valider le chiffrement que chacun doit utiliser, si le cryptage est supporté et que faire s’il ne l’est pas.

Cette extension de protocole doit maintenant être regardée et analysée par l’IEEE avant d’être ratifiée. A noter que d’autres initiatives existent déjà pour sécuriser les emails comme DEEP (Deployable Enhanced Email Privacy).

A lire aussi :

Sécurité : 85 % des VPN SSL sont des passoires

Nogofail : Google traque les failles de SSL et TLS

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

3 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

3 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

3 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

3 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

3 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

3 semaines ago