Google décide de renforcer la sécurité de son service de messagerie
Le protocole HTTPS désormais activé par défaut sur Gmail

Le , par Stéphane le calme, Chroniqueur Actualités
Google a annoncé que Gmail, son service de messagerie, allait bénéficier d’un renforcement dans sa sécurité. Pour ce faire, le groupe californien a décidé d’activer la connexion sécurisée (HTTPS) par défaut. Pour rappel, cette fonctionnalité est en option depuis 2010.

« Votre courriel est important pour vous, et faire en sorte qu'il reste sécurisé et soit toujours disponible est important pour nous » assure l'ingénieur chargé de la sécurité de Gmail, Nicolas Lidzborski. « A partir d'aujourd'hui Gmail utilisera toujours une connexion cryptée HTTPS quand vous consulterez ou enverrez un mail... Ce changement signifie que, désormais, plus personne ne peut intercepter vos messages car ils vont et viennent entre vous et les serveurs de Gmail. Peu importe que vous utilisiez une connexion wifi publique ou que vous soyez connecté d'un ordinateur, un téléphone ou une tablette», poursuit-il.

Ce système permet « que vos messages soient sécurisés non seulement quand ils sont dans les serveurs de Gmail mais aussi quand ils sont en transit entre les centres de données de Google. Nous en faisons notre priorité après les révélations de l'été dernier».

Cette décision intervient dans un contexte de tensions entre le secteur technologique et le gouvernement américain, alimentées par les révélations autour des programmes de surveillance des agences de renseignements à l’instar de la NSA. Une tentative de Mountain View de redorer son blason.

Source : blog Gmail

Et vous ?

Que pensez-vous de cette initiative ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de ram-0000 ram-0000 - Rédacteur https://www.developpez.com
le 22/03/2014 à 12:38
Citation Envoyé par Stéphane le calme  Voir le message
Que pensez-vous de cette initiative ?

Tout ce qui va dans le sens de la préservation de la vie privée est une excellente initiative MAIS ... il ne faudrait pas que cela donne un faux sentiment de sécurité. Je m'explique :

Dans une entreprise, lorsque l'on accède à gmail (de manière perso), on le fait souvent au travers du proxy corporate et celui ci, suivant sa configuration, peut ouvrir les connexion HTTPS (c'est à dire que le proxy présente à l'utilisateur final un certificat qui n'est pas celui de gmail mais celui du proxy). Le proxy se comporte en "Man in the middle" sur la session et il faut vraiment un œil averti (et aussi certains automatismes) pour se rendre compte que le certificat n'est pas celui de gmail. A partir du moment où la session HTTPS est ouverte, il n'y a plus de vie privée et même pire, à partir du moment où cette session est ouverte de manière "silencieuse" (il y a des possibilités afin de ne pas faire trop râler le browser du client final au sujet du certicat présenté), cela donne un faux sentiment de sécurité qui peut être pire que le fait de savoir qu'il n'y a pas de sécurité.

Pour régler ce problème (Man in the middle du proxy HTTPS), il n'y a malheureusement qu'une seule solution, c'est d'utiliser aussi un certificat "client". Au moins, là on sera sûr que la session HTTPS ne peut pas être ouverte. Je ne connais pas de service de messagerie WWW qui utilise (voire même impose) l'utilisation de certificats clients. Se pose aussi le problème de la génération de ce certificat client et de la confiance que l'on accorde à la PKI de gestion de ces certificats clients.

PS : ce que j'ai dit au sujet du proxy "corporate" peut tout à fait s'imaginer à l'échelle d'un pays (avec plus de moyens, c'est tout).
Avatar de - https://www.developpez.com
le 22/03/2014 à 17:42
Citation Envoyé par ram-0000  Voir le message
PS : ce que j'ai dit au sujet du proxy "corporate" peut tout à fait s'imaginer à l'échelle d'un pays (avec plus de moyens, c'est tout).

Voir à ce sujet cet excellent papier

http://files.cloudprivacy.net/ssl-mitm.pdf

Steph
Avatar de youtpout978 youtpout978 - Membre expert https://www.developpez.com
le 22/03/2014 à 22:39
C'est pour laisser croire que les courriers ne seront plus consulté par la NSA mais il continue de leur laisser libre accès à ces courriers, toute façon ils ont pas le choix la loi Américaine est en faveur de la NSA.
Bon après ça sera toujours un niveau de protection en plus contre les pirates.
Avatar de Firwen Firwen - Membre expérimenté https://www.developpez.com
le 23/03/2014 à 10:17
Dans une entreprise, lorsque l'on accède à gmail (de manière perso), on le fait souvent au travers du proxy corporate et celui ci, suivant sa configuration, peut ouvrir les connexion HTTPS (c'est à dire que le proxy présente à l'utilisateur final un certificat qui n'est pas celui de gmail mais celui du proxy).


Non et ça serait bon d'arreter de dire n'importe quoi.

Un simple proxy ne suffit pas à effectuer du man in the middle en HTTPS et fort heuresement.
Il faut falsifier un certificat SSL pour se faire ou controler une authorité de certification pour procéder à ce genre de chose, ce qui est illégale et hors d'atteinte d'une entreprise classique ( pas d'un état ou d'une agence de renseignement, effectivement ).

Le seule autre manière de mettre ce genre "d'infrastructure de la honte" en place est de controler est de créer sa propre CA et d'en forcer l'installation sur le poste client. Ce qui peut se détecter facilement ( et qui merite un coup de pied au cul entre autre ).
Avatar de ram-0000 ram-0000 - Rédacteur https://www.developpez.com
le 23/03/2014 à 11:22
Citation Envoyé par Firwen  Voir le message
Un simple proxy ne suffit pas à effectuer du man in the middle en HTTPS et fort heuresement.

Si si (j'en ai eu la démonstration pas plus tard que la semaine dernière). Par contre, on est bien d'accord, le certificat présenté est bien celui du proxy et plus celui du site que l'on veut atteindre (gmail dans l'exemple courant). Dans mon exemple, il y a bien 2 sessions HTTPS, une entre le proxy et gmail (avec le certificat serveur de gmail) et une autre entre le proxy et le client final (avec le certificat serveur du proxy).

Citation Envoyé par Firwen  Voir le message
Il faut falsifier un certificat SSL pour se faire ou controler une authorité de certification pour procéder à ce genre de chose, ce qui est illégale et hors d'atteinte d'une entreprise classique ( pas d'un état ou d'une agence de renseignement, effectivement ).

Pas besoin de le falsifier, il suffit que le proxy ait un certificat valide (signé par la CA de l'entreprise ou toute autre une CA valide) à présenter au client final.

Citation Envoyé par Firwen  Voir le message
Le seule autre manière de mettre ce genre "d'infrastructure de la honte" en place est de controler est de créer sa propre CA et d'en forcer l'installation sur le poste client. Ce qui peut se détecter facilement ( et qui merite un coup de pied au cul entre autre ).

On est bien d'accord sur la déontologie de la chose mais malheureusement, le monde des bisounours, c'est pas ici. Par contre, il faut arrêter de dire que le petit cadenas en haut du navigateur est le gage ultime de sécurité, c'est uniquement un des maillons dans la chaine de confiance que l'on peut accorder au site sur lequel on navigue. Il y a d'autre maillons à vérifier avant de pouvoir dire "je suis en sécurité" (et je ne parle même pas de l'aspect "est ce qu'un gouvernement X ou Y a un accès quelconque à la machine gmail", là on ne peut plus rien faire).
Avatar de Firwen Firwen - Membre expérimenté https://www.developpez.com
le 23/03/2014 à 14:15
Pas besoin de le falsifier, il suffit que le proxy ait un certificat valide (signé par la CA de l'entreprise ou toute autre une CA valide) à présenter au client final.


Si justement.
Un certificat valide signé par une CA officielle ( Verisign, Diginotar or wtv ) est associé à un nom de domaine et UNIQUEMENT valide pour ce nom de domaine. Il ne peut pas être utilisé pour masquer un site quelconque ( google, facebook ou autre ) avec un URL tiers, sinon c'est evidemment une attaque MiM.

Dans ton cas, l'entreprise gènèrent simplement des faux certificats tout en ayant installé son CA "maison" dans tous les postes de l'entreprise.
Ce qui, de mon humble avis, est simplement honteux en terme de sécurité. Si tu connais une entreprise ou un admin utilisant ce genre de pratique, sincerement dénonce là ici meme car c'est tout simplement une honte. Le premier hack venu sur ce proxy, permet de récupérer joyeusement les login / mots de passe de tous les utilisateurs du réseau intranet de l'entreprise.

Il y a d'autre maillons à vérifier avant de pouvoir dire "je suis en sécurité" (et je ne parle même pas de l'aspect "est ce qu'un gouvernement X ou Y a un accès quelconque à la machine gmail", là on ne peut plus rien faire).

On peut faire quelque chose avec des choses comme TACK ou convergence ou un système de certificate pinging comme intégré à google chrome pour les sites Google.
Cependant, je suis entièrement d'accord avec toi sur le fond. Dans l'état actuel des choses, SSL/TLS est cassé pour l'utilisateur moyen, son système de CA n'assure plus la protection Mim qu'il devrait.
Et pour l'utilisateur lambda qui n'y connait rien ni à X509, ne vérifiera pas les signatures de son credential et se fit simplement au petit cadena sur son browser, il est facile d'être berné par une attaque MiM.
Offres d'emploi IT
Développeur silverlight (h/f)
MCNEXT - Ile de France - Paris (75002)
Trade Marketer Junior M/F
Philips - Ile de France - Suresnes
Développeur full stack ruby h/f
LZRECRUITING - Ile de France - Paris (75009)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil