Tous les grands fournisseurs de messagerie ont décidé de collaborer pour corriger une vulnérabilité affectant l'extension StartTLS permettant à un hackeur de rabaisser la connexion vers une couche de chiffrement moins sécurisée.
Lorsque l'extension StartTLS est apposée sur le protocole d'envoi de messages SMTP, le texte rédigé est chiffré lors du transfert. Toutefois, si la messagerie du destinataire ne prend pas en charge cette extension, le message est envoyé en clair. Cette configuration initiale visait à encourager les prestataires de services à faire usage de ce chiffrement sans poser de problèmes majeurs.
Toutefois selon une étude (PDF) de Google portant sur 700 000 serveurs SMTP, seuls 35% d'entre eux auraient été configurés pour prendre en charge cette extension. Ainsi par exemple, 96% des emails envoyés depuis la Tunisie vers un compte Gmail ne sont tout simplement pas chiffrés. En novembre dernier, Google avait ainsi décidé d'alerter les internautes lorsque les emails reçus provenaient d'une connexion non chiffrée.
Pour résoudre ce problème plusieurs sociétés high tech entendent mettre en place un nouveau protocole baptisé SMTP STS (Strict Transport Security). Ce dernier permet au serveur de déclarer qu'il peut recevoir des connexions chiffrées via TLS. Mais surtout, il sera en mesure de rejeter les messages non sécurisés.
Parmi les sociétés soutenant ce projet nous retrouvons Yahoo!, Google, Microsoft, LinkedIn ou encore 1&1. SMTP STS est actuellement à l'état de brouillon et soumis à l'IETF, le consortium planchant sur les standard de l'Internet.
Si le standard se démocratise, toutes les messageries seront donc obligées de mettre à jour leur infrastructure et les internautes seront donc moins vulnérables face aux attaques de type man-in-the-middle visant à intercepter un message entre deux serveurs.
Rappelons par ailleurs que Google et Yahoo ont collaboré sur l'extension End-to-End visant à chiffrer les message via PGP. Les travaux actuellement en cours ont été publiés sur GitHub.
A lire également
