Protection des emails: Derniers de la classe, les FAI français planchent sur une solution

SECURITE L'initiative lancée par le gouvernement Ayrault pour chiffrer les courriers est «toujours d'actualité»...

Philippe Berry

— 

Le logo de Gmail cadenassé (photomontage).
Le logo de Gmail cadenassé (photomontage). — 20 MINUTES

Zero pointé. Alors que la plupart des acteurs Web se sont mis à protéger les mails avec des technologies de chiffrement, les fournisseurs d'accès à Internet (FAI) français méritent un bonnet d'âne. Selon un rapport de Google, moins de 1% des courriers échangés entre une adresse Gmail d'un côté et free.frorange.fr et wanadoo.fr, de l'autre, est protégé. Et c'est la faute des FAI.

Google, Yahoo, AOL, Microsoft et d'autres utilisent le standard TLS (transport security layer) qui protège le transit du courrier. Sauf que comme le tango, il faut être deux pour danser. Si l'autre bout de la communication (Free ou Orange) ne l'a pas déployé, les cartes postales ne sont pas cachées dans une enveloppe.

Une solution en cours de négociation avec le gouvernement

Fleur Pellerin, la secrétaire d’Etat au Numérique du gouvernement Ayrault, avait lancé un chantier pour obliger les FAI à protéger les communications. «C'est toujours d'actualité», confie le cabinet d'Axelle Lemaire, qui lui succède à ce poste. «Les échanges avec les FAI avancent. Il s'agit de trouver une solution satisfaisante pour le respect de la vie privée des utilisateurs sans dégrader la qualité du service.»

Parle-t-on de semaines ou de mois? Le cabinet botte en touche. Il refuse également de préciser s'il s'agit de chiffrement en transit ou d'une solution de bout-en-bout, plus confidentielle.

Vers une «plateforme inter-opérateurs»

Contactés par 20 Minutes, Free et Orange refusent de s'exprimer à titre individuel et renvoient vers la Fédération Française des Télécoms (FFT), qui regroupe les acteurs du secteur. «Les travaux, menés sous l’égide de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sont en cours, car la mise en place de ce cryptage nécessite la mise en place d’une plate-forme inter-opérateurs», indique Jean-Luc Moliner, président de la Commission sécurité de la FFT.

Pour les FAI, déployer le standard TLS n'est pas aussi simple que d'appuyer sur un interrupteur. «Tous les serveurs mails ne parlent pas exactement le même langage», précise le chercheur indépendant Ashkan Soltani. Selon lui, il n'est cependant pas très compliqué de supporter les systèmes des services les plus utilisés.

Google dévoile une solution «de bout en bout»

Selon l'Electronic Frontier Foundation, TLS est «assez efficace» pour lutter contre l'espionnage d'acteurs comme la NSA. Si l'agence veut vraiment intercepter une communication, elle en est, certes, capable, mais au cas par cas, avec un effort coûteux,et plus simplement à la volée.

Pour les conversations sensibles, TLS n'est cependant pas l'idéal. Le transport est sécurisé mais le facteur (Google, Yahoo, un employeur) peut regarder dans l'enveloppe et lire le courrier quand il se trouve chez lui. Google le fait par exemple pour lutter contre le spam ou proposer de la publicité ciblée. La justice peut également forcer un groupe à livrer des messages.

Pour une protection de bout en bout, du PC de A à celui de B, il existe déjà des solutions, mais elles sont complexes. C'est pour cela que Google a présenté un projet de plugin pour Chrome qui permettrait au grand public de sécuriser complètement un échange. La conversation aurait alors plus de chance d'échapper aux yeux de la NSA. Et même à ceux de Google.