3 votes

mysticcoder avatar

Le cryptage des messages Office365 est-il réellement sûr ?

Demandé el 23 de Mars, 2016
Quand la question a-t-elle été
1456 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je cherche à mettre en œuvre Cryptage des messages Office365 pour notre organisation. Ma question est la suivante : est-il réellement plus sûr que le courrier électronique ordinaire (non crypté) ? pour les messages envoyés à des utilisateurs extérieurs à l'organisation ?

Selon cette page En effet, les utilisateurs externes peuvent recevoir un code d'accès à usage unique afin de consulter les messages cryptés. Cependant, ce code d'accès à usage unique est également envoyé par e-mail Dans l'hypothèse d'une attaque MITM, l'attaquant ne pourrait-il pas simplement intercepter le code d'accès à usage unique et décrypter le message ?

Dites-moi si j'ai raté quelque chose ou si c'est juste un autre battage marketing de MS...

Demandé el 23 de Mars, 2016 par mysticcoder

Réponses

Trop de publicités?

2voto

myron-semack avatar
myron-semack Points 2533

Votre préoccupation a un certain mérite. Cependant...

L'email du code d'accès unique n'identifie pas spécifiquement le message avec lequel il va. Le simple fait d'avoir le message OTP ne vous dit donc pas grand-chose. Ceci étant dit, si la personne n'a qu'un seul message crypté dans sa boîte aux lettres, plus le message OTP correspondant, un attaquant peut faire le rapprochement.

De plus, le code n'est valable que pendant 15 minutes. La fenêtre de vulnérabilité est donc assez limitée. Un attaquant devrait intercepter activement votre courrier électronique ET y répondre, et non pas se contenter de décharger passivement des paquets pour les analyser ultérieurement.

Si vous n'êtes toujours pas satisfait de la sécurité, vous pouvez désactiver le code d'accès unique via PowerShell :

Set-OMEConfiguration -OTPEnabled $False

Pour cela, le destinataire devra utiliser un compte Microsft, dont la configuration est indépendante, mais plus complexe à utiliser.

Répondu el 24 de Mars, 2016 par myron-semack (2533 Points )

-1voto

oipoistar avatar
oipoistar Points 301

C'est certainement plus sûr que d'envoyer un message en texte clair. Une fois qu'un message quitte vos serveurs, vous ne pouvez pas être sûr que la transmission est sécurisée par TLS tout au long du trajet (à moins que vous n'établissiez une confiance directe et ne forciez TLS entre deux points d'extrémité). Vous devez supposer que votre message est en clair une fois qu'il est parti.

Avec le service de cryptage - Microsoft vous permet de crypter le message et de l'envoyer à un destinataire. Le destinataire peut lire le message en y accédant via un portail web ou une application mobile. Il a la possibilité de se connecter avec un identifiant Microsoft correspondant (qui doit correspondre à l'adresse du destinataire) ou d'utiliser un code d'accès unique généré et envoyé à l'adresse du destinataire.

Comme vous ne possédez pas et ne pouvez pas dicter les conditions dans lesquelles le destinataire recevra et ouvrira le message, vous devez faire CONFIANCE à la personne à qui vous l'envoyez. Si le compte du destinataire est compromis, il peut être en mesure d'ouvrir le message. Cela inclut certains scénarios d'homme du milieu où le moyen d'accéder au message (le lien du portail et le message crypté), ainsi que l'accrochage de la clé.

Vous pouvez essayer d'intégrer des fonctionnalités supplémentaires comme TLS (mais vous ne pouvez pas le garantir) pour le transport. Vous pouvez également vous assurer que des enregistrements SPF, DKIM et DMARC appropriés sont configurés (mais ils dépendent toujours du respect du destinataire) pour vous aider.

Si vous souhaitez un chiffrement de bout en bout, vous devez utiliser S/MIME ou quelque chose comme PGP. Mais même avec ces outils, vous ne pouvez jamais être sûr à 100% de savoir qui possède la clé privée ou si le destinataire a été compromis.

TLDR ; Si vous ne pouvez pas ou ne faites pas confiance à la personne à qui vous donnez accès aux données, alors aucun contrôle technique ne peut vous donner ce que vous recherchez. Les utilisateurs seront toujours la plus grande faille de sécurité.

Répondu el 24 de Mars, 2016 par oipoistar (301 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X