L'espionnage industriel
trouve dans l'e-mail un outil de choix, d'autant que l'on constate
que les messages électroniques
restent encore généralement non cryptés, même
lorsqu'ils véhiculent des données sensibles. Pourtant,
on ne rappellera jamais assez qu'un e-mail est beaucoup plus facile
à intercepter qu'un courrier traditionnel, et qu'également
- et cela est tout aussi grave - un pirate peut usurper l'adresse
de l'un de vos correspondants dans le but de vous sous-tirer des informations
stratégiques. Dans bien des cas, lorsque l'entreprise n'a pas
mis en place de solution de cryptage globale (et dans ce domaine où
les chantiers ne sont certes pas de tout repos, et bien que cela puisse
surprendre, beaucoup de travail reste à accomplir), il est
nécessaire de prendre les choses en main. A savoir se
rabattre sur une solution individualisée, gérée
depuis votre ordinateur.
La clé de
la tranquilité
Pour expédier un message sécurisé, il faudra
la plupart du temps recourir à un système de clés
asymétriques fonctionnant par paire. La vêtre -
la clé privée - doit rester secrète, tandis
que celle de vos correspondants - la clé publique -
est clairement exposée sur le site d'un tiers de confiance.
La clé publique dont disposent vos correspondants leur permet
de coder leurs messages sensibles, de manière à les
rendres illisibles en cas d'interception, et seule votre clé
privée permet de les déchiffrer.
Ces clés (mathématiquement
liées mais dont on ne peut déduire l'une à
partir de l'autre) peuvent être achetées ou engendrées
par le biais d'un utilitaire - chaque solution ayant ses avantages.
Si vous produisez vous-même votre clé, elle vous coûtera
moins cher, voire rien du tout - à condition d'utiliser
un logiciel libre comme GPG. Avec un double problème :
la manoeuvre est réservée aux informaticiens chevronnés,
et elle impose par la suite une grande discipline dans la gestion
des clés, puisqu'elles ne sont pas émises par un organisme
tiers compétent pour cela.
Le logiciel de cryptage
Il vous appartiendra par conséquent de les faire transiter
de façon sûre, afin que vous puissiez faire confiance
à vos correspondants, et vice versa. C'est vous qui devrez
expédier votre clé publique à votre correspondant
de façon sécurisée, et lui donner la garantie
qu'elle vient bien de vous (non-répudiation). Acheter une
clé à un tiers de confiance, c'est donc opter pour
la simplicité et la sécurité, mais aussi pour
le moindre effort.
Une fois cette clé produite,
il faut encore opter pour un logiciel de cryptage. Plusieurs grands
noms cohabitent, parmi lesquels on peut citer PGP, ainsi que toutes
les solutions basées sur la technologie S/MIME. Cette dernière
étant le standard de fait, bien qu'elle souffre encore de
problèmes d'interopérabilité. Une solution
libre existe également pour toutes les plate-formes -
GPG -
assez difficile à paramétrer toutefois.
Les solutions externalisées
Plus simple ? C'est possible : il est envisageable de
se passer d"un système de gestion de clés. Plusieurs
solutions - dites 'externalisées' - proposent de
sécuriser votre correspondance de bout en bout de façon
tout à fait transparente. Les plus simples réalisent
toute la transaction sur le Web dans un environnement sécurisé :
le mail sensible est rédigé sur leur site avec un
navigateur, et le correspondant vient y récupérer
son courrier après en avoir été alerté.
Il faudra souvent débourser
plus de 100 € chaque année pour profiter de ces
services. Ferris Reserch évalue le chiffre d'affaires du
marché des solutions externalisées à 30 millions
de dollars par an. Les grands noms du secteur sont Critical Path,
Sixmail, Ziplip, Commtouch et Mail. A noter : certains éditeurs
travaillent à l'intégration de ces solutions directement
dans le logiciel de messagerie.
Précautions
élémentaires
Pour
ne pas réduire vos efforts à néant, il est
nécessaire de respecter deux règles de bon sens avec
précaution. La première : ne jamais laisser à
un pirate l'occasion de vous
dérober votre clé privée. Plutôt que
de la stocker sur votre disque dur, préférez la garder
sur un périphérique externe - du type disquette,
token USB ou CD gravé. Faites également attention
à régler votre logiciel de cryptage pour qu'il vous
demande un mot de passe avant d'expédier un message :
votre poste ne pourra pas être utilisé en votre absence.
Deuxième précaution :
vérifiez bien que votre correspondant est la personne que vous
croyez. Rien ne dit que le nom que vous avez pu voir sur le site d'un
tiers de confiance corresponde bien à votre contact. Une personne
malintensionnée peut s'être inscrite à son nom,
et vous joindre en vous renvoyant vers sa clé publique, publiée
sur le site du tiers de confiance. Une prise de contact physique,
un coup de téléphone à votre correspondant -
dans son enteprise - devrait pouvoir écarter ce danger,
et vous ouvrir la voie d'une correspondance vraiment sûre.
[Nicolas Six, JDNet]