Le SMTP STS, pour des emails plus sûrs

Lnlud le mardi 22 mars 2016 à 13:26:47

Le SMTP STS, pour des emails plus sûrs

Le protocole SMTP STS est à l'étude, afin de contrer la vulnérabilité de l'extension de chiffrement StartTLS.

L'extension StartTLS permet de chiffrer le texte des emails envoyés en SMTP lors de leur transfert. Mais cette extension est en réalité très vulnérable, et n'importe quel hacker peut facilement accéder au message en clair. Face à ce problème, plusieurs sociétés du high tech proposent la mise en place d'un nouveau protocole plus sécurisé : le SMTP STS (pour Strict Transport Security).

La vulnérabilité de l'extension StartTLS vient de sa configuration initiale : si la messagerie du destinataire de l'email chiffré ne la prend pas en charge, le message est alors envoyé en clair. Or, Google a mis en évidence à travers une étude que, sur 700 000 serveurs SMTP, 35% seulement étaient configurés pour supporter l'extension StartTLS. Un chiffre assez alarmant, qui met à mal la sécurité des emails. Google donne notamment un exemple frappant : 96% des emails envoyés sur un compte Gmail à partir de la Tunisie ne sont pas chiffrés. Le nouveau protocole de chiffrement des mails SMTP STS devrait permettre l'authentification du serveur et l'identification des outils de chiffrement disponibles. Si aucune connexion sécurisée n'est possible, le protocole bloquera simplement l'envoi du message.

Le protocole SMTP STS est soutenu par plusieurs acteurs influents du Web, comme Yahoo, Google, Microsoft, Comcast et LinkedIn. Pour l'instant, le projet n'en est qu'à ses débuts. Il a été pris en charge par les ingénieurs de l'IETF (site en anglais), la communauté internationale qui participe à la gestion des standards internet.

Photo : © iStock.


Ajouter un commentaire

Commentaires

Ajouter un commentaire