Peut-on utiliser Gmail en toute sécurité au travail ?

26 Avr 2013

Peut-on utiliser le très populaire service de messagerie de Google en toute sécurité au travail ? La réponse est oui, du moins pour la plupart d’entre nous, mais il y a des circonstances dans lesquelles Gmail n’est pas une solution professionnelle adaptée.

gmail_blog_title_FR

Les paramètres par défaut de Gmail offre une sécurité assez robuste. Les données que les utilisateurs peuvent voir dans Gmail sont chiffrées avec un chiffrement standard de 128 bit. Google transmet les données Gmail à ses utilisateurs via un protocole standard TSL 1.1. Du côté de l’utilisateur, les données chiffrées sont authentifiées par une fonction de hachage cryptographique SHA1 et elles sont ensuite décodées à travers un mécanisme d’échange de clé ECDHE_RSA.

Si cela vous semble compliqué, c’est parce nous parlons de cryptographie et la cryptographie est incroyablement compliquée pour ceux dont le travail n’est pas de résoudre des problèmes mathématiques. Autrement dit, Google vous envoie vos informations Gmail dans un format codé dont vous êtes le seul à avoir la clé.

Donc, pour une grande majorité d’entre nous, tant que nous utilisons des mots de passe forts sur des ordinateurs protégés et surtout si le système d’authentification à double facteur de Google est activé, Gmail pourra alors être utilisé en toute sécurité au travail.

Plus inquiétant en revanche, est le fait que Google réalise des scans automatiques des messages et des comptes Gmail de ses utilisateurs dans le but d’offrir des  publicités plus attrayantes. Théoriquement, il est donc possible pour un pirate d’apprendre de nombreuses informations sur le travail de sa cible (si cette personne utilise Gmail au travail) en observant simplement le comportement de sa cible grâce aux publicités ou aux résultats de recherche personnalisés. Bien qu’on ne sache pas si de telles attaques ont déjà eu lieu, elles sont certainement possibles. Par conséquent, si votre travail est tellement sensible que vous préférez que personne ne sache ce que vous faites, il est alors préférable de ne pas utiliser Gmail au travail.

Il est techniquement possible d’intercepter des données Gmail en transit via des machines infectés et de faux certificats digitaux, et compte tenu du rapport annuel de transparence de Google, il ne fait aucun doute que Google se soumet aux demandes d’informations émises pour des raisons judiciaires par certains gouvernements.

Vous devez vraiment évaluer le genres de communications que vous réalisez sur Gmail et décider par vous-mêmes si l’utiliser au travail est une bonne idée. Si vous êtes un activiste anti-régime et que vous vivez dans un pays connu pour surveiller ses citoyens, utiliser Gmail n’est probablement pas la meilleure idée. Les gouvernements peuvent demander à Google des informations provenant de Gmail et dans certains cas, Google est obligé d’obéir. Les gouvernements ont aussi l’argent et les ressources requises pour passer outre le chiffrement de Gmail et ils peuvent également créer de faux certificats (comme nous l’avons mentionné précédemment), qui leur donnera la possibilité de se faire passer pour Google et de réaliser des attaques de l’homme du milieu.

De nombreux d’experts spéculaient que l’État Iranien sponsorisait des pirates qui ont compromis l’autorité de certification néerlandaise, Diginotar, l’année dernière afin de pouvoir espionner ses propres citoyens. Personne n’a confirmé si c’était vraiment le cas, mais le piratage de Diginotar ainsi que celui d’une autre autorité, Comodo, ces deux dernières années montrent que la menace est bien réelle. Même si les États n’étaient pas responsables de ces attaques ou d’autres attaques similaires, quelqu’un d’autre en est responsable, et le piratage d’une autorité de certification signifie que quelqu’un est en train de se faire passer pour un autre, et donc qu’un utilisateur est en train de transmettre des données à une source qui n’est pas celle qu’elle dit être.

Par conséquent, les utilisateurs qui ne veulent pas que leur gouvernement connaisse leur profession ne devraient pas utiliser Gmail dans leur vie professionnelle. De manière plus générale, si vous gérez des informations extrêmement sensibles quotidiennement, alors il est mieux que vous évitiez d’utiliser Gmail ou tout autre messagerie basée sur un système cloud car ces informations sont très prisées par les pirates qu’ils soient amateurs, criminels ou sponsorisés par un État.

Bien sûr, personne ne désire que son compte Gmail soit piraté ou que ses communications soient surveillées – et ce quelque soit la profession. Il y a également ceux qui insisteront à utiliser Gmail au travail peu importe ce qu’ils font, donc voici quelques suggestions :

N’accédez à Gmail qu’à partir d’un ordinateur protégé par une solution anti-virus complète.  Il est très important que les utilisateurs tirent parti du système d’authentification à double facteur de Google qui les aidera à protéger leur compte des piratages. Déconnectez-vous toujours de Gmail quand vous vous éloignez de l’ordinateur, même si vous partez seulement pour un court instant, car toutes les sécurités du monde ne vous protégeront pas contre une règle de transfert malveillante. Comme toujours, maintenez votre navigateur et votre système d’exploitation à jour en utilisant les derniers patches et évitez les réseaux non sécurisés, surtout les connexions Wi-Fi non chiffrées.