Le voyage d’un e-mail non crypté
Donc, lorsque vous envoyez un e-mail non crypté, à quel point êtes-vous vulnérable, de toute façon? Nous avons déjà écrit sur le parcours d’un e-mail crypté, de la rédaction d’un brouillon dans votre client de messagerie à l’atterrissage dans la boîte de réception de votre destinataire. Bien que le chemin soit un peu différent selon le type de cryptage que vous utilisez, une chose est certaine : l’utilisation du cryptage des e-mails côté client permet de verrouiller toutes les différentes opportunités qu’un pirate informatique a d’accéder à vos données.
Le nombre d’arrêts effectués par votre e—mail après son départ de votre boîte de réception peut vous surprendre, alors épluchons les couches et voyons ce qui se passe lorsque vous envoyez un e-mail non crypté – et, du point de vue d’un pirate ou d’un cyberespace, combien d’endroits vous pouvez intercepter cet e-mail et voler le contenu.
E-mail non crypté: Qu’est-Ce qui peut mal tourner
« Le parcours d’un e-mail non crypté est vraiment l’inverse du parcours d’un e-mail crypté. À chaque petite étape du processus, vous avez des vecteurs d’attaque qui pourraient tout simplement ne pas poser de problème si vous aviez envoyé un e-mail crypté « , explique Will Ackerly, cofondateur et directeur de la technologie de Virtru.
Il est facile de considérer le courrier électronique comme un trajet direct du point A (l’ordinateur de l’expéditeur) au point B (le ou les ordinateurs du destinataire). Mais même avant qu’un e—mail non crypté ne quitte votre boîte de réception, il constitue une menace pour la sécurité et la confidentialité de vos données – et une fois qu’il quitte, il passe par quelques arrêts avant d’atteindre sa destination finale.
« Il y a trois sauts par e-mail sur le chemin d’un destinataire », explique Ackerly. « À chaque saut, il peut y avoir ou non une connexion cryptée, et le seul dont vous pouvez être sûr est ce premier saut (si vous utilisez un client de messagerie Web comme Gmail, qui utilise SSL / TLS pour crypter les e-mails.) «
1. Premier arrêt : votre serveur de messagerie. « Si j’envoie un e-mail avec Gmail, il y a une connexion de ma part avec Google », explique Ackerly. « C’est le premier saut, et vous pouvez dire si cette connexion est cryptée. Tout ce que vous avez à faire est de chercher dans votre barre d’adresse ce verrou vert. »
2. Arrêt deux : le serveur de messagerie de votre destinataire. Ensuite, Google communique avec, par exemple, Yahoo (si j’envoie un e-mail à un utilisateur de Yahoo) « , explique Ackerly. « C’est le deuxième saut. » Et c’est le deuxième endroit où votre e-mail peut être intercepté, si le client de messagerie de votre destinataire n’utilise pas le cryptage des e-mails.
» Ce deuxième saut est celui où les utilisateurs finaux n’ont aucune visibilité sur le processus », explique Ackerly. « Il est presque impossible de savoir si la connexion entre votre fournisseur de messagerie et le fournisseur de messagerie de votre destinataire est cryptée ou non. Google peut faire tout ce qu’il veut pour crypter Gmail, mais si le fournisseur de votre destinataire ne prend pas en charge une connexion cryptée, Google n’a d’autre choix que de la divulguer en texte clair. Et c’est l’état d’e-mail par défaut, en fait. Il n’est pas protégé et lisible pour quiconque saisit ce message. »
3. Arrêt trois : l’ordinateur de votre destinataire. « Enfin, l’e-mail va de Yahoo à votre destinataire, et c’est le troisième saut », explique Ackerly, « et c’est un autre endroit où votre e-mail peut être compromis. »Une fois que votre destinataire ouvre l’e-mail, il peut le transmettre à qui bon lui semble, créant ainsi une chaîne de points vulnérables.
« C’est la vie d’un e-mail non crypté », explique Ackerly. « Il peut, comme avec Gmail, être crypté d’un saut à l’autre, mais dans les autres sauts, il peut exister dans un état non protégé. Et si l’une de ces quatre entités liées par ces trois sauts commet une erreur, vos données peuvent être compromises. »
Avec tant d’endroits potentiels, vos e-mails non cryptés peuvent être contrecarrés, que ce soit par des pirates informatiques qui veulent voler vos données, des cybermenaces après votre propriété intellectuelle ou simplement quelqu’un qui espionne, la perspective de ne pas protéger vos e-mails et pièces jointes semble assez effrayante.
Et pour toutes les entreprises qui correspondaient avec Sony Pictures au moment de leur piratage en 2014, cette peur est devenue un peu trop réelle.
La Destination de Votre e-Mail Pourrait Être Votre Principal Point De Faiblesse
« Je pense que quelque chose n’était vraiment pas intuitif jusqu’au piratage de Sony, c’est que la plus grande menace pour la sécurité des e-mails d’entreprise est ce qui arrive à l’e-mail du destinataire », explique Ackerly. » Cela inclut à la fois l’ordinateur du destinataire et l’entreprise destinataire, si vous envoyez un e-mail à un autre système d’entreprise. »
Les habitudes laxistes de Sony en matière de confidentialité et de sécurité qui ont mené au tristement célèbre piratage n’ont pas seulement mis Sony en danger — Snapchat s’est également retrouvé dans le collimateur des pirates, en raison d’avoir échangé des e-mails non cryptés avec Sony.
« Le piratage de Sony a vraiment mis en lumière la vulnérabilité de la destination de votre e-mail. Le PDG de Snapchat envoyait des e-mails à un conseiller de Sony, et lorsque les serveurs de messagerie de Sony ont été piratés, tous ceux avec qui ils avaient échangé des e-mails non cryptés ont été menacés « , explique Ackerly. « Et cela comprenait SnapChat. »
Certains de ces e-mails comprenaient des conversations privées entre Snapchat et le PDG de Sony Entertainment, Michael Lynton, qui est également membre du conseil d’administration de Snapchat, détaillant les ambitions commerciales de Snapchat. Les plans d’expansion sur de nouveaux marchés, les acquisitions secrètes et les idées de nouvelles fonctionnalités ont tous été divulgués à la suite du piratage de Sony.
« Cette violation massive ne s’est pas produite parce que personne chez SnapChat ne faisait du bon travail », explique Ackerly. « C’est parce qu’avec les e-mails non cryptés, il y a juste beaucoup de risques inhérents. Il y a plusieurs parties qui ont la garde de l’e-mail que vous envoyez. Vous comptez sur eux pour faire preuve de diligence raisonnable afin de protéger leur contenu. S’ils gâchent, vous êtes pris au filet. »
La vulnérabilité de l’ordinateur de votre destinataire, ainsi que de son serveur de messagerie (qu’il soit hébergé sur site, dans le cloud ou dans le cadre d’un service comme Gmail ou Yahoo) pourrait être la chute de la sécurité de votre messagerie, mais votre propre appareil n’est pas non plus à l’abri.
Comment Votre Propre Ordinateur constitue une Menace Pour La Sécurité de Votre messagerie
L’une des principales préoccupations des entreprises lors de la migration de leur solution de messagerie sur site (Exchange, par exemple) vers le cloud est la sécurité. Et Outlook, Apple Mail et d’autres clients de bureau sont toujours des solutions très populaires pour les entreprises. N’y a-t-il pas quelque chose de intrinsèquement moins sûr dans l’hébergement de vos e-mails dans le cloud?
Pas nécessairement. D’une part, la migration vers Gmail (via Google Apps for Work — maintenant connue sous le nom de G Suite) en tant que solution de messagerie d’entreprise signifie que vous bénéficiez d’au moins un peu de protection via le cryptage des e-mails, car Google intègre le cryptage SSL / TLS dans son produit de messagerie. Il s’agit peut-être d’une solution incomplète par rapport au cryptage côté client — et elle ne fonctionnera pas dans le contexte de certains régimes de réglementation et de conformité, comme HIPAA ou CJIS — mais c’est certainement mieux que rien du tout.
Il y a aussi le problème de votre ordinateur. Si vous utilisez un client de messagerie de bureau, que se passe-t-il si, par exemple, votre ordinateur portable est volé?
» Si vous utilisez le webmail, en particulier Gmail, vous bénéficiez d’une petite protection. Vous êtes en fait assez en sécurité en ce qui concerne la création de données sensibles sur votre ordinateur « , explique Ackerly. » Si votre ordinateur est volé et que vous utilisez un client de messagerie de bureau comme Apple Mail, tous ces messages électroniques — pas seulement ceux que vous avez envoyés, mais aussi ceux que vous avez reçus — sont vulnérables au vol. Ils ne sont en aucun cas protégés ou cryptés. »
À cet égard, l’utilisation d’un service de messagerie Web comme Gmail, qui stocke vos données à distance sur des serveurs de haute sécurité, a en fait beaucoup de sens. « De plus, les programmes de messagerie de bureau téléchargent souvent l’intégralité de votre boîte de réception, ce qui peut constituer une grande partie de votre vie privée ou de votre vie professionnelle / professionnelle, sur votre appareil. »
À moins que votre ordinateur ne soit crypté, cela peut entraîner des violations coûteuses. « Il y a eu des exemples où un seul médecin publie les données d’un ordinateur sur Internet, généralement par erreur, et cela entraîne des millions et des millions de dollars de pénalités pour violation de la HIPAA et d’autres coûts. Cela peut également se produire avec les e-mails de bureau « , explique Ackerly. » Mais avec des clients de messagerie Web comme Gmail, lorsque vous créez un brouillon ou envoyez un e-mail, vous ne créez pas de copie sur votre ordinateur qui peut ensuite être perdue ou divulguée. Il y a encore beaucoup de copies qui peuvent être violées — une fois que vous avez créé un brouillon, ce contenu persiste maintenant sur un serveur principal — mais vous n’aurez pas nécessairement une copie sur votre appareil qui peut être divulguée ou perdue. »
La Menace d’erreur de l’utilisateur (Et l’importance de la protection contre la perte de données)
Mais le piratage, la surveillance / espionnage et le vol d’ordinateurs portables ne sont pas les seules raisons pour lesquelles il est dangereux d’envoyer des e-mails non cryptés. Souvent, le plus grand ennemi de la confidentialité et de la sécurité des e-mails de votre organisation est votre organisation elle-même.
» L’une des plus grandes menaces réelles de la sécurité de la messagerie d’entreprise est simplement l’erreur de l’utilisateur « , explique Ackerly. « Nous parlons beaucoup de ‘l’acteur conscient », qu’il s’agisse d’un initié malveillant ou d’un pirate informatique extérieur, qui représente une menace, mais une tonne d’incidents de sécurité sont dus à des erreurs. »
Cette erreur pourrait être de taper l’adresse de la mauvaise personne dans la ligne « À ». Il peut s’agir de transmettre un e-mail sans se rendre compte qu’il y a des données sensibles enfouies au bas de la chaîne, en dessous de l’e-mail concerné que vous souhaitez transmettre. La capacité de détecter cela et d’y réagir est cruciale pour prévenir les incidents majeurs de sécurité des e-mails dans l’entreprise.
» Cela témoigne de l’importance de la protection contre la perte de données (DLP) et de la raison pour laquelle Virtru inclut la DLP dans sa solution de cryptage des e-mails « , explique Ackerly. « L’administrateur de l’e-mail peut dire à l’avance: « Ce sont les mots qui nous poseront un problème de sécurité si nous les incluons dans l’e-mail. »Au-delà de l’évidence, comme les mots « top secret » ou « pour vos yeux seulement », il existe également des modèles que le logiciel recherche dans votre e-mail avant de l’envoyer. »
Par exemple, si votre e-mail contient un numéro tapé dans le modèle de numéro de sécurité sociale (xxx-xx-xxxx), ou un numéro à 16 chiffres qui ressemble à un numéro de carte de crédit, Virtru le mettra en évidence lorsque vous appuyez sur « Envoyer », puis vous demandera si vous souhaitez envoyer le message sous forme d’e-mail crypté.
« Cela constitue l’extension Virtru analysant intelligemment votre contenu pour détecter ces risques de sécurité potentiels— mais tout cela se produit dans votre plugin – aucun tiers n’a réellement accès à votre contenu. », explique Ackerly. « La fonctionnalité est un peu comme une fonction de vérification orthographique, mais pour la perte de données. Le concept de recherche de données très sensibles, puis d’application de la politique, est une capacité que très peu d’entreprises ont actuellement, car les données sont stockées sur un serveur quelque part. Mais la capacité d’appliquer ces protections DLP est quelque chose que nous avons vu beaucoup d’entreprises commencer à demander. »
Avec DLP, vous ne comptez plus sur l’utilisateur pour savoir s’il doit ou non chiffrer, et vous empêchez de nombreux moments « oups » qui peuvent conduire à des violations de données.
Qu’advient-il des E-mails cryptés Envoyés Avec des systèmes de portail
Alors que les e-mails non cryptés traversent les trois étapes du parcours d’un e-mail sans protection, que se passe-t-il si vous utilisez un système de portail pour envoyer des e-mails cryptés? Vous obtenez toujours un type de protection limité, explique Ackerly. « Le portail stocke une version non cryptée de l’e-mail. Beaucoup d’entreprises appellent ces systèmes de portail « e-mail crypté », mais la réalité est qu’il n’est vraiment pas plus crypté qu’un e-mail crypté avec SSL / TLS (comme Gmail). »
Ce qui signifie que votre e-mail n’est pas sécurisé à chaque saut. « Ce fournisseur de messagerie conservera l’e-mail et n’autorisera que le contenu non crypté à passer par une connexion cryptée point à point au destinataire. Vraiment ce que vous achetez, il y a une garantie que le dernier saut est sur une connexion cryptée point à point. »
En outre, les entreprises renoncent à la propriété de leur propre contenu de courrier électronique lorsqu’elles choisissent une solution de portail. « Voici le compromis: vous abandonnez une autre version non cryptée de votre e-mail à un autre fournisseur. Au lieu que Google reçoive l’e-mail et l’envoie, vous le transmettez au fournisseur du portail « , explique Ackerly. « L’inconvénient est qu’ils peuvent voir le contenu — contrairement au cryptage des e-mails côté client, ces fournisseurs de portail ont accès aux données sous-jacentes. »
Pour une véritable protection à chaque arrêt de votre e-mail, ainsi que pour la pleine propriété de la confidentialité du contenu de votre organisation, vous avez besoin d’un service de cryptage des e-mails côté client comme Virtru.
Virtru: Cryptage côté client &DLP pour protéger Votre e-mail à chaque étape du processus
Il est clair que le parcours d’un e-mail, du brouillon à la boîte de réception de votre destinataire (et au-delà), est très différent selon que vous n’utilisez aucun cryptage, un cryptage limité (comme avec SSL / TLS ou les portails) ou un cryptage des e-mails côté client.
Virtru Pro fournit non seulement un cryptage des e-mails côté client et une protection contre la perte de données pour garder vos e-mails cryptés sécurisés et privés du début à la fin, mais il vous donne un contrôle granulaire sur votre boîte de réception. Avec le contrôle de transfert, vous pouvez vous assurer que votre destinataire prévu est le seul destinataire de l’e-mail que vous envoyez. Avec email recall, vous pouvez reprendre un message que vous avez peut-être envoyé par erreur. Vous pouvez également définir des dates d’expiration sur votre e-mail.
Virtru fonctionne de manière transparente avec le fournisseur de messagerie Web que vous utilisez déjà pour protéger vos messages et pièces jointes, le tout d’un simple clic. Prenez possession de vos données dès aujourd’hui et téléchargez Virtru pour envoyer des e-mails cryptés.