Malgré la popularité des médias sociaux, pour la communication qui compte vraiment, l’e-mail règne en maître. Essentielle au bon fonctionnement des entreprises du monde entier, elle est appréciée pour sa fiabilité. Google est l’un des plus grands fournisseurs de messagerie au monde, à la fois avec son produit Gmail destiné aux consommateurs et avec G Suite pour les clients professionnels [Jeffrey Paul] est un utilisateur de ce dernier, et a été surpris de constater que les URL des e-mails entrants étaient modifiées par le service lorsqu’il est récupéré via le protocole IMAP (Internet Message Access Protocol) utilisé par les lecteurs de messagerie externes.

Ce changement semble empêcher les utilisateurs IMAP de voir l’e-mail d’origine sans se connecter à l’interface Web, il rompt la vérification des signatures cryptographiques et cela a été une surprise.

Questions de sécurité

Un e-mail de test envoyé pour vérifier les modifications apportées par les serveurs de Google. En haut, l’e-mail d’origine, en bas, ce qui a été reçu.

Pour un sous-ensemble d’utilisateurs, il semble que Google modifie les URL dans le corps des e-mails pour passer par leur propre service de vérification des liens et de redirection. Cela implique en fait de modifier le corps de l’e-mail avant qu’il n’atteigne l’utilisateur. Cela signifie que même ceux qui utilisent des clients externes pour récupérer des e-mails via IMAP sont concernés, sans aucun moyen d’accéder à l’e-mail brut d’origine qui leur a été envoyé.

Les implications en matière de sécurité sont suffisamment graves pour que beaucoup doutent de l’histoire initiale, soupçonnant que l’édition ne se produisait que dans l’application Gmail ou via le client Web. Cependant, une source prétendant travailler pour Google a confirmé que la nouvelle fonctionnalité était en cours de déploiement auprès des clients G Suite, et peut être désactivé si vous le souhaitez. En contactant Google pour obtenir des commentaires, nous avons été dirigés vers leur page d’aide sur le sujet.

L’objectif déclaré est d’empêcher le phishing, le service de redirection de Google comprenant un vérificateur de liens pour avertir les utilisateurs qui se rendent sur des sites potentiellement dangereux. Pour beaucoup cependant, cette explication ne passe pas. Forcer les utilisateurs à se diriger vers un serveur Google pour afficher l’URL d’origine qui leur a été envoyée est une violation flagrante de la vie privée et un problème de sécurité pour démarrer. Cela permet au géant de la recherche d’étendre davantage ses vrilles de suivi des clics dans des conversations par courrier électronique même privées. Pour certains, les implications sont pires. Les messages signés cryptographiquement, tels que ceux utilisant PGP ou GPG, sont interrompus par l’outil; comme le contenu du corps de l’e-mail est modifié dans le processus, le message n’est plus extrait par rapport à la signature d’origine. Bien sûr, c’est l’intérêt de signer vos messages – il devient beaucoup plus facile de détecter de telles altérations entre ce qui a été envoyé et ce qui a été reçu.

Divulgation inadéquate

Naturellement, beaucoup d’entre eux se sont dit que l’entreprise mettrait en œuvre une telle mesure sans consultation ni avertissement à l’avance. Le contenu d’un e-mail est sacro-saint, à bien des égards, et sa falsification sous quelque forme que ce soit sera toujours condamnée par la sécurité. Si la fonctionnalité est un choix pour l’utilisateur et peut être désactivée à volonté, c’est un outil utile pour ceux qui le souhaitent. Mais cette découverte a été une surprise pour beaucoup, ce qui fait qu’il est difficile de croire qu’elle a été correctement divulguée avant son déploiement. La question développée dans la capture d’écran de la FAQ ci-dessus indique que cela fait partie du test A / B de Google et n’est pas appliqué à tous les comptes. Les fonctionnalités testées sur votre compte de messagerie doivent être divulguées, mais elles ne le sont pas.

Protéger des utilisateurs innocents contre les attaques de phishing est un objectif louable, et nous pouvons imaginer que de nombreux propriétaires d’entreprise activent une telle fonctionnalité pour éviter les attaques de phishing. C’est un autre cas où la confidentialité est volontairement échangée contre l’idée de sécurité. Bien que le tollé soit limité en raison de la nature spécifique de la mise en œuvre jusqu’à présent, nous nous attendrions à une nouvelle désertion des services de messagerie de Google par les experts en technologie si de telles pratiques devaient se propager au produit Gmail grand public. Indépendamment de ce qui se passe ensuite, il est important de se rappeler que l’e-mail que vous avez lu n’est peut-être pas celui qui vous a été envoyé, et agissez en conséquence.

LAISSER UN COMMENTAIRE

Rédigez votre commentaire !
Entrez votre nom ici