Emails : sécurité et identification
Envoyer et recevoir des emails est quelque chose que quasi tout le monde fait chaque jour. Des informations importantes peuvent transiter dans ces messages. On peut avoir des données sensibles (comme des identifiants de connexion vers un service), mais aussi des demandes qui impliquent des actions importantes (exemple : "Pourrais-tu supprimer cette page du site stp ?").
Comment sécuriser le fait d'envoyer des identifiants ? Comment s'assurer que la demande de modification d'un site émane bien d'une personne légitime ? Comment s'assurer que le message qui a été initialement rédigé n'a pas été modifié en cours de route par des personnes malveillantes ou des services peu scrupuleux ?
Voici donc quelques outils que j'utilise quotidiennement, pour moi mais aussi dans mon boulot.
SPF
Mes noms de domaines sont configurés de telle sorte que seuls certains serveurs sont considérés comme légitimes pour envoyer des messages. Pour se faire, j'utilise la norme de vérification Sender Policy Framework (SPF) qui s'appuie sur une configuration DNS. Si un email est expédié en @deblan.fr depuis des serveurs que je n'ai pas désignés légitimes, alors ils devront être rejetés systématiquement.
DKIM
Sur mon principal serveur de mail, j'ai mis en place un système qui, indépendamment de la manière de rédiger un message, signera l'email et permettra au serveur qui le réceptionnera de s'assurer que c'est bien mon serveur qui l'a expédié. DKIM s'appuie sur configuration spécifique du serveur de mail et le DNS.
OpenPGP et certificat
Lorsque je rédige un email, je signe systématiquement le message avec une clé PGP ou bien un certificat. Cela permet de s'assurer, dès la réception du message, que l'email n'a pas été modifié en cours de route. L'utilisation de mes certificats demande aucun mot de passe. Si une personne envoi un mail en utilisant ma machine (bon courage), la personne qui va réceptionner l'email pourrait avoir un doute. Ainsi, quand il s'agit d'informations importantes, j'utilise la clé PGP qui demande un mot de passe avant de signer le mail. On est à présent certain que c'est moi qui a écrit le message.
Enfin, quand je veux envoyer des données sensibles, je vais chiffrer les messages avec la clé publique (PGP) de mon interlocuteur (si toutefois il en a une). Je peux donc chiffrer mon message que lui seul pourra déchiffrer. Aucun intermédiaire sera en mesure le lire le contenu du mail.
Cet article a été rédigé par Simon Vieille, développeur français animé par la culture du libre et du hacking.
Il intervient à Tinternet & Cie, une association d’éducation numérique populaire. Depuis septembre 2022, il est lead developer à Trinaps, un opérateur télécom local et indépendant.
![[TIP] Générateur SPF](https://www.deblan.io/media/cache/post_preview_filter/uploads/post/2007-2021/a8cbce0859e7181e02d0add48faf9059.jpeg)
[TIP] Générateur SPF
SPF est une des solutions techniques qui permet d'identifier un serveur comme légitime pour …
Détecter les vulnérabilités dans les dépendances de son projet
La gestion des dépendances dans un projet est quelque chose de complexe. Il y a autant de ge…
Sharepoint Office365 sur Linux : automatiser l'authentification (v2)
En septembre 2018, je publiais un article pour automatiser l'authentification sur Sharepoint…