Une extension de Chrome permettra de chiffrer toutes les données qui quittent le navigateur

11 Juin 2014

Google a publié un nouveau rapport indiquant que plus de 30% du trafic de Gmail devient non chiffré pendant sa transmission entre le service de messagerie et son destinataire. Afin de réparer cela, Google a développé et va sortir un outil qui chiffrera toutes les données qui sortiront du navigateur Chrome pour tous les utilisateurs qui disposeront de son extension.

chrome-compressor

Vous trouvez peut-être ça compliqué sachant que Gmail transmet les données sur une connexion sécurisée HTTPS, ce qui signifie par conséquent que 100% de son trafic sortant est chiffré. La réalité est cependant que HTTPS ne chiffre en fait que les données quand elles sortent de votre ordinateur depuis votre serveur et sur les serveurs de Google.

Comme vous vous souvenez peut-être, jusqu’à, il y a de ça quelques mois, Google ne chiffrait pas les connexions entre les serveurs de leurs propres centres de données. Cela a fini par se transformer en une vulnérabilité qui aurait été exploitée par la NSA afin de réaliser des opérations de surveillance. Cela a été très critiqué et Google a répondu en chiffrant ses connexions.

De nos jours, quand vous envoyez un e-mail avec Gmail, cet e-mail est chiffré de votre ordinateur, en passant par votre navigateur, par les serveurs de Google et entre les différents serveurs de Google. Une fois que vos données sortent du contrôle de Google, c’est le service qui a vos données qui doit s’assurer qu’elles restent chiffrées. Si vous communiquez de Gmail à Gmail, vos données seront alors chiffrées tout le temps. Ces données reflètent le chiffrement lors de la transmission des données, et malheureusement, contrairement à Google, certaines sociétés ne s’inquiètent pas de la confidentialité et de la sécurité.

Au total, la société déclare que 69% des e-mails qui sortent de Gmail sont chiffrés contre 48% pour ceux qui entrent dans Gmail. Plus précisément, dans les Amériques, moins de un e-mail de Gmail sur 10 000 est déchiffré par AOL, ce qui est très bien. Néanmoins, AT&T déchiffre la moitié de ces e-mails. Comcast ne chiffre pas du tout les e-mails de Google. De l’autre côté, Facebook et Amazon chiffrent presque tous les e-mails qu’ils envoient à Gmail, alors que le service d’email marketing de Constant Contact ne chiffre presque rien de ce qu’il envoie à Gmail.

L’objectif de ce nouvel outil est de mettre en place un chiffrement simple et facile à utiliser pour l’utilisateur moyen. Ainsi, l’utilisateur est certain que ses données seront chiffrées pendant toute leur transmission. Il n’existera certainement pas de pénurie d’outils de chiffrement sur le marché. Néanmoins, nombreux de ces outils sont compliqués et difficiles à utiliser.

« Alors que les outils de chiffrement tels que PGP et GnuPG existent depuis longtemps, ils requièrent des connaissances techniques importantes et un effort manuel important pour être utilisés », a écrit Stephan Somogyi, manager produit, Sécurité et Confidentialité chez Google. « Pour rendre ce type de chiffrement plus simple, nous sortons un code pour une nouvelle extension Chrome qui utilise OpenPGP, un classique utilisé par de nombreux outils de chiffrement. »

En bref, les données de chiffrement indiquent le volume de données chiffrées sortant et entrant de Gmail ainsi que des informations sur les services qui chiffrent les données de Gmail alors qu’elles passent sur leurs serveurs.

L’objectif de ce nouvel outil est de mettre en place un chiffrement simple et facile à utiliser pour l’utilisateur moyen.

« Le chiffrement TLS (Transport Layer Security) permet d’empêcher les curieux de lire vos messages alors qu’ils sont transmis », explique Google. « TLS est un protocole qui chiffre et transmet les e-mails de manière sécurisée, aussi bien pour le trafic entrant que sortant. Il aide a éviter l’espionnage entre les serveurs de messagerie – et assure la confidentialité de vos messages alors qu’ils se déplacent entre les fournisseurs de messagerie ».

Cependant, ils expliquent ensuite que les contenus de vos communications sont chiffrés uniquement si vous et les personnes avec qui vous communiquez utilisent un service de messagerie qui supporte le chiffrement TLS, ce qui n’est pas toujours le cas.

« TLS est en train de se transformer en une norme pour sécuriser les e-mails. Bien qu’il ne s’agisse pas d’une solution idéale, si tout le monde l’utilise, espionner les e-mails sera bien plus difficile et coûteux. »

Dans un monde idéal, chaque fournisseur de service de messagerie chiffrerait les communications des utilisateurs de l’expéditeur au destinataire et ce, à tout moment entre les deux – ou comme nous le disons dans l’industrie, d’un bout à l’autre.