La sécurité et la délivrabilité des e-mails des principales villes de France

Seulement 58% des messageries électroniques de nos communes sont réellement françaises, très peu entièrement sécurisées ou parfaitement alignées pour la délivrabilité.

Afin de dresser la situation de la sécurité et la délivrabilité des e-mails des principales villes, nous avons réalisé une étude début juin 2024 sur les configurations des 50 principales villes de France. Pour cela, nous avons analysé les éléments en rapport avec la sécurité du flux de messagerie et des domaines : DNSSEC, hébergement et redondance des serveurs de messagerie, conformité du protocole TLS des serveurs de messagerie, certificats utilisés, DANE, MTA-STS ; ainsi que ceux concernant la délivrabilité des e-mails comme : SPF, DKIM, DMARC, BIMI. Vous trouverez ci-dessous les statistiques et retours de nos analyses.

Hébergement et sécurité du flux de messagerie

Premier constat, 30% des mairies auditées utilisent Microsoft 365. Parmi elles, 50% ont fait attention à ce que l’hébergement soit en France, pour le reste c’est en Irlande et aux Pays-Bas. Dans tous les cas, les données de ces communes sont soumises aux CloudAct et PatriotAct américains.

Souveraineté des messageries électroniques des 50 principales villes de France

Plus généralement, 58% des communes se sont assurées de la souveraineté de l’hébergement de leurs e-mails, leur messagerie est hébergée en France, soit chez des hébergeurs français, soit en local chez eux. 38% hébergent en France ou en Europe, toutefois, elles dépendent de sociétés dont le siège est américain. Cela est le cas, comme nous l’avons vu, pour Microsoft, mais d’autres font appel à Amazon, Cisco ou Forcepoint. Deux villes utilisent des services américains hébergés aux USA.

Concernant la redondance du service de messagerie, nous constatons que seulement 5 n’ont aucune redondance, sachant que l’une d’elles a la volonté de le faire, mais semble rencontrer un souci de disponibilité du serveur secondaire. Donc 90% des principales communes de France sont attentives à la haute disponibilité de leur messagerie électronique ce qui est plutôt une bonne nouvelle !

Concernant la sécurité du flux de messagerie, il existe plusieurs protocoles. Évidemment, le serveur doit accepter les communications chiffrées en TLS, ce qui n’est pas le cas pour une des communes auditées. En revanche un grand nombre, huit précisément, ne porte pas d’importance au certificat SSL utilisé : soit il est expiré, soit il est autosigné ou généré par une autorité non publique.

Tout comme pour le Web, il convient d’utiliser DNSSEC pour éviter toute tentative de MITM (man-in-the-middle) sur le DNS, pouvant avoir comme conséquence, par exemple, le défacement du site web ou le détournement de flux de messagerie. Seulement 14% des communes auditées ont activé DNSSEC sur leur zone DNS. C’est d’autant plus dommage qu’aujourd’hui cela est démocratisé et très simple à mettre en place (quelquefois un simple clic chez le gestionnaire DNS).

Deux autres protocoles ont pour but de protéger les communications SMTP et d’éviter les tentatives d’attaques : DANE et MTA-STS. Ces normes ont été développées pour garantir les connexions entre les serveurs de messagerie. Elles améliorent la sécurité globale SMTP et protègent contre les attaques de l’intercepteur. Malheureusement, elles sont assez peu paramétrées : une seule ville a configuré MTA-STS, mais sans succès, car le pointeur de validation n’existe plus (elle a été prévenue). 8% ont le protocole DANE actif, seulement 2 communes en profitent réellement avec à la fois DANE et DNSSEC actifs.

Conclusion, des efforts doivent être faits encore par les communes pour assurer une bonne sécurité et disponibilité de leur service de messagerie. Félicitations aux communes de Montpellier et d’Aubervilliers : les seules communes de notre tableau à respecter en grande partie l’ensemble des points de sécurité analysés, et à combiner à la fois DNSSEC, DANE, à avoir des certificats valides, à utiliser les protocoles TLS suffisamment sécurisés et à assurer une très haute disponibilité de la messagerie électronique.

Délivrabilité des e-mails

En ce qui concerne la délivrabilité des e-mails, plusieurs protocoles permettent de garantir la légitimité et l’authenticité des serveurs expéditeurs. Cela permet à la fois de faciliter et définir la politique des sécurités des e-mails, et d’autre part, d’accroître et de suivre la bonne délivrabilité des e-mails. Ces protocoles SPF, DKIM, DMARC et BIMI sont plus ou moins bien respectés par les entreprises et les collectivités locales.

Attention, les gros opérateurs comme Google et Yahoo notamment, imposent désormais le respect de ces systèmes d’authentifications au-delà d’un certain seuil de messages envoyés !

Toutes les communes analysées ont installé SPF, toutefois 2 ont configuré un SPF en position « ?all », donc sans aucun intérêt, puisque toutes les IP sont alors autorisées ! Dans 64% des cas, les SPF sont en « -all » et 32% en « ~all » donc moins stricts.

Concernant DKIM, nous avons remarqué uniquement une ville sans aucun sélecteur DKIM et une avec une erreur DKIM (2 fois le même sélecteur avec des clés différentes) !

Pour DMARC, voici les résultats des politiques installées : 8% n’ont aucun champ DMARC, 66% sont à « none », 22% sont en « quarantaine » et 4%sont en « reject ». En considérant que les politiques doivent être soit en « reject » soit en « quarantaine » suivant la préférence choisie, avec un SPF et un DKIM valides, seules 12 villes sur 50 sont à jour de leur politique de délivrabilité.

Éléments intéressants également, l’alignement, DMARC impose un alignement SPF ou DKIM (cf. la définition DMARC pour bien comprendre l’importance de l’alignement). Parmi les 32 mairies en politique « none » le taux d’erreur d’alignement moyen est de 15.4%, alors que pour les communes faisant attention à leur politique DMARC, le taux d’erreur d’alignement tombe à 4.2% avec d’assez grosses disparités. Pour ce qui est de BIMI, aucune des collectivités auditées ne l’a mis en place.

Nous avons aussi comparé les scores de l’outil en ligne du Service du Haut Fonctionnaire de Défense et de Sécurité des ministères économiques et financiers, dont voici les résultats par catégorie : A : 12% (très bien configuré), B: 32% (bien configuré) , C : 52% (moyen), D : 4% (mal configuré).

Classification des messageries électroniques des principales villes de France

Les villes qui se démarquent par une bonne note, une parfaite configuration de SPF, DKIM, DMARC et un taux d’alignement raisonnable sont : Montpellier, Le Havre, Aubervilliers, Mulhouse et Rouen.

En conclusion, certaines communes ont fourni des efforts sur la configuration de leur messagerie électronique, nous les félicitons ! En revanche, la plupart des principales communes françaises ont encore des efforts à réaliser pour assurer un service de messagerie de qualité, sécurisé et avec une bonne délivrabilité.

Nous avons effectué ce travail uniquement sur les plus grosses communes, or les plus petites ont souvent moins de moyens et sont donc certainement vulnérables... Notre objectif est de sensibiliser les communes et toutes les collectivités locales en conduisant 3 actions principales :

  1. Penser souveraineté (il est dommage de voir que 38% des plus grosses communes françaises soient soumises au Cloud Act américain), 
  2. Activer DNSSEC sur ses DNS (cela ne prend généralement que quelques secondes et sécurise l’ensemble du domaine),
  3. Mettre en place une configuration restrictive sur DMARC : reject ou quarantaine (avec les incidences que cela implique sur SPF et DKIM).

La sécurité de la messagerie est un enjeu majeur des collectivités locales souvent premières cibles des pirates informatiques. Cette analyse a pour seul objectif de les faire prendre conscience de ces enjeux. Les actions les plus importantes n’étant pas les plus consommatrices en temps ou en argent, il est dommage de s’en priver.