2 votes

Les services de courrier électronique tels que GMail et Hotmail ne sont-ils pas sûrs lorsqu'ils utilisent SMTP et TLS ?

Je me souviens que le SMTP n'est pas sécurisé et est transféré en clair. Mais nous utilisons TLS sur ces serveurs et ils ne prennent pas en charge les relais étrangers. Cela signifie-t-il que les messages sont sûrs ? Ou bien voyagent-ils vers et à travers des serveurs de messagerie non sécurisés ?

6voto

Oliver Points 125

SMTP n'est pas insécurisé, il fournit parfaitement le niveau de sécurité pour lequel il a été conçu - c'est-à-dire aucun - il ne peut être considéré comme insécurisé puisqu'il n'y a pas de sécurité à contourner. Un protocole peut être considéré comme non sécurisé lorsqu'il est conçu pour offrir un niveau de sécurité et qu'il n'y parvient pas - la sécurité sans fil WEP est un exemple de protocole non sécurisé.

Sémantique mise à part, le protocole SMTP n'offre aucune sécurité et ne doit donc pas être utilisé pour le transport de données sensibles. Il se peut que vous utilisiez TLS pour fournir un canal sécurisé au serveur SMTP, mais seule la communication entre le client et le serveur est cryptée. Le courrier électronique lui-même est généralement stocké en texte clair sur le serveur.

Ce serveur doit ensuite transmettre le message au serveur des destinataires, puis le serveur des destinataires doit transmettre le message au destinataire. Il peut y avoir plusieurs sauts sur le chemin du courrier électronique, et à aucun moment il n'est garanti que les sauts de serveur à serveur et de serveur à destinataire sont cryptés. En fait, il arrive souvent qu'ils ne le soient pas.

Si vous souhaitez utiliser SMTP comme moyen sécurisé de transmission de données, une bonne solution consisterait à utiliser quelque chose comme GPG GPG/PGP qui vous permettra de crypter le courrier électronique (automatiquement) lors de sa composition et de ne le décrypter qu'à destination, et uniquement par le destinataire (à condition que la clé de cryptage ne soit pas compromise, comme c'est le cas pour toute forme de cryptage). GPG/PGP est bien pris en charge par de nombreux clients de messagerie.

3voto

En fait, le SMTP se contente de transférer des fichiers plats. TLS crypte le tunnel de transfert entre deux hôtes SMTP, mais ne crypte pas le fichier plat en tant que tel.

Si vous voulez éviter que d'autres personnes ne lisent ce que vous avez écrit, vous devez crypter vous-même votre courrier. S/MIME est une norme prise en charge par de nombreux clients de messagerie, dont Outlook et Thunderbird. Vous devrez obtenir un certificat attestant que vous êtes vous, tel que certifié par ceux qui ont établi le certificat - cela peut vous coûter de l'argent ou du temps.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X