Back to Navigation

Cryptage de courriels

Transcription du cryptage de courriel, sa description et son fonctionnement.

Animateurs :   PB : Phil Brown, DW : David Whelan

PB : Ici Phil Brown en compagnie de David Whelan. Aujourd’hui, nous allons discuter du cryptage de courriels. 

DW : Les avocats parlent du cryptage de courriels depuis que le courriel est devenu leur principale façon de communiquer avec leurs clients et les autres. En 1999, la ABA a présenté une politique de courriels, qu’on pourrait qualifier d’opinion sur l’éthique, pour déterminer si les avocats devaient crypter leurs courriels, et ils ont décidé en 1999 que ce n’était pas une nécessité. 

Je pense que cette décision provient du fait que le cryptage des courriels était tellement compliqué. C’est parce que vous pouvez utiliser n’importe quel logiciel pour envoyer un courriel, mais pour utiliser le cryptage, votre client ou le destinataire (exemple, le juge) doit être capable de décrypter ce courriel. Pour ce faire, le destinataire doit souvent installer un logiciel sur son système, alors qu’il ne comprend pas forcément comment l’utiliser.  

PB : Et c’est ce qui a toujours un peu été le maillon faible du cryptage des courriels – c’est au destinataire de tenter de comprendre comment décrypter ce courriel. 

DW : C’est exact. Comme bases de sécurité du courriel, nous demandons à tout le monde d’avoir des mots de passe difficiles à deviner, et vous devez donc avoir de tels mots de passe pour vos comptes de messagerie. Effectivement, si vous avez un serveur de messagerie qui est en ligne sur Internet, et pratiquement chaque serveur de messagerie le sera, peu importe si vous utiliser Gmail, Bell, Rogers, votre ISP ou si vous utilisez Hosted Exchange, si quelqu’un d’autre peut l’intercepter d’Internet avec un nom d’utilisateur et un mot de passe, alors, il faut un mot de passe difficile à deviner avec votre nom d’utilisateur. Cela devrait être essentiel, car c’est le niveau de base de la sécurité que vous avez sur votre système de messagerie. 

PB : Nous avons d’abord discuté des mots de passe difficiles à deviner, mais certains éléments de base seraient d’utiliser des caractères comme les espaces, la ponctuation, une combinaison de lettres majuscules et des nombres, et même, des phrases. L’idée est que ça devrait être plus complexe que tout juste votre numéro de téléphone par exemple.   

DW : Oui bien sûr. La prochaine mesure que vous pouvez prendre si vous voulez crypter une partie du contenu de ce que vous envoyez est d’envoyer un fichier crypté. Par exemple, je veux envoyer à Phil un courriel en disant c’est vraiment un document formidable, mais je ne veux pas que tout le monde le voie. Je pourrais alors y joindre un fichier en format PDF qui a été crypté, et il pourra décrypter le fichier PDF à la réception. Donc le courriel lui-même n’est pas crypté, mais le fichier en pièce jointe l’est. C’est une façon de procéder. 

Et ça s’est produit. Ça s’appelle crypter un courriel, mais ce n’est pas réellement un courriel crypté. Ce que vous faites, c’est envoyer un courriel ou télécharger un fichier sur un serveur, crypter le fichier sur ce serveur, et ensuite, envoyer un courriel à la personne à qui vous voulez l’envoyer. Cette personne peut alors télécharger directement ce fichier et si ce n’est pas tout à fait un courriel crypté, ça permet aux gens d’envoyer de l’information cryptée d’un endroit à un autre.

Je pense que cela a été le choix des praticiens autonomes ou des petits cabinets, certainement, ou du moins pas des grandes sociétés qui elles pourraient incorporer le cryptage à leur environnement de messagerie. 

PB : Nous avons parlé d’un récent sondage de LexisNexis qui disait essentiellement que très peu d’avocats utilisent le cryptage de courriels. 

DW : C’est exact, oui, je pense que c’est encore le cas. C’est encore difficile pour la plupart des gens de comprendre comment configurer le cryptage à chaque bout. Alors même si l’avocat peut le comprendre, le problème est comment amener le client à le faire. Le défi, je pense, c’est lorsque vous avez cette possibilité, appelée cryptage ou clé de sécurité publique ou privée, et que ça signifie qu’il existe un élément d’information que vous devez avoir à votre bout et un élément d’information que la personne doit avoir à l’autre bout.

Si vous avez une clé privée que vous contrôlez, alors, les renseignements de la clé publique doivent être accessibles à la personne qui décryptera ce courriel, et pour ce faire, cela signifie habituellement que le même logiciel est installé aux deux bouts. Donc, il y a longtemps, il y avait Pretty Good Privacy (PGP), qu’on installait sur son ordinateur. L’autre personne pouvait aussi l’installer, et alors vous pouviez envoyer des courriels, les crypter et les décrypter de cette façon, mais c’était vraiment très laborieux.

PB : PGP a fait un bon bout de chemin, mais je me souviens d’avoir utilisé PGP en 2000. Vous créiez votre courriel comme un texte, le copiiez et colliez, appliquiez votre clé de cryptage privée, puis vous colliez le résultat dans le courriel et  vous l’envoyiez à d’autres personnes. Ces personnes devaient alors avoir votre clé de cryptage publique à la destination, copier et coller ce courriel dans le programme, et essentiellement appliquer la clé pour décrypter tout ce que vous aviez écrit, ce qui n’était pas vraiment fantastique lorsque je les envoyais. Mais, c’était la façon dont cela fonctionnait au début. Et nous avons fait du chemin depuis, car il y a nombre de différents programmes aujourd’hui qui font le cryptage de courriels. 

DW : Oui et je pense que la difficulté à utiliser le cryptage était l’obstacle principal, qui fait que peu d’avocats utilisent le cryptage aujourd’hui, à moins d’automatiser le processus de façon à le rendre invisible à la personne qui envoie le courriel et à la personne qui le reçoit, ça restera un obstacle. Veux-tu discuter un peu de Virtru, l’un des outils dont on commence à entendre parler? 

PB : Oui, Virtru est gratuit pour les particuliers (V, I, R, T, R, U). Encore une fois, nous ne suggérons pas aux gens d’utiliser un programme en particulier et nous n’en recommandons aucun. C’est uniquement un programme que j’ai découvert et c’est une application pour iPhone - je ne crois pas qu’il y ait une application Android pour ça, mais vous pouvez également l’utiliser sur un ordinateur. L’idée, c’est que vous pouvez déterminer combien de temps ce courriel sera visible, c’est-à-dire, si vous voulez qu’il disparaisse après 10 minutes, pour que les gens ne puissent plus le lire après ce délai; il disparaitra du serveur où il est hébergé. Vous pouvez également déterminer si vous voulez le rappeler et vous pouvez aussi le protéger pour que personne ne puisse le transmettre à quelqu’un d’autre.  

Il y a un certain nombre d’options qui ne sont pas offertes avec une messagerie standard. Et comme je vous le dis, il y a une application pour iPhone et une version pour ordinateur. J’ai utilisé l’application pour iPhone il y a une semaine et je peux dire qu’à plusieurs reprises, il y a eu des problèmes de connexion au serveur. C’est encore assez nouveau, il me semble, pour ce programme particulier, et les utilisateurs peuvent donner leurs commentaires pour indiquer ce qui fonctionne ou ne fonctionne pas. 

DW : Une des choses intéressantes avec Virtru – je ne l’ai testé qu’avec Gmail jusqu’à présent, parce que c’est de cela que nous parlons et je pense que nous allons voir que les gens qui utilisent les applications de Google ou Gmail vont profiter de plusieurs modifications à venir, parce qu’il s’agit d’un grand groupe d’utilisateurs, et donc si quelqu’un veut développer un logiciel, il le ferait pour Gmail.
J’aime bien pouvoir aller dans mon compte Gmail et envoyer un courriel qui n’est pas crypté, et si je veux envoyer un courriel crypté, il y a un petit bouton en haut que je peux activer. Ainsi, je n’envoie pas toujours des courriels cryptés lorsque j’utilise mon système – je peux choisir quels courriels doivent être cryptés et lesquels ne doivent pas l’être. C’est un avantage vraiment intéressant.   

PB : Et assez simple pour la personne à l’autre bout pour décrypter ce courriel.   

DW : C’est exact, oui, j’aime la façon de procéder si le compte de messagerie que vous utilisez n’est pas configuré avec Virtru, vous avez un lien vous disant « Créez un compte », et juste en cliquant sur un lien, vous configurez un nom d’utilisateur et un mot de passe. Ainsi, vous pouvez décrypter le courriel reçu. En raison de la façon dont fonctionne le système, vous le cryptez de votre côté, et ainsi, vous êtes l’unique personne à avoir les clés pour crypter le courriel. 

Le courriel est alors envoyé crypté, et peu importe où vous l’envoyez, que ce soit à un serveur Exchange ou Google ou autre, il est crypté de cette façon et il n’est pas en ligne, même si quelqu’un accède à ce serveur de façon non autorisée. Cette autre personne doit le décrypter pour le voir; c’est réellement une façon sécurisée de le transmettre.   

De plus, je me demandais si ce n’était pas un peu trop sécuritaire, parce que si j’utilise Gmail, j’utilise déjà une connexion sécurisée, n’est-ce pas? C’est l’adresse https://mail.google.com, alors c’est une connexion sécurisée. Mais, une fois qu’il est envoyé, il n’est plus crypté, et je perds ça, donc le cryptage permet de protéger le courriel tout au long de son acheminement.   

PB : Donc avec Gmail, vous pouvez récupérer le courriel après l’avoir envoyé; bien que cela ne fonctionne probablement pas toujours.

DW : Oui, par exemple si j’ai envoyé un courriel à un utilisateur qui n’utilise pas Gmail, je peux avoir un problème à le récupérer.

PB : Et vous ne pouvez pas empêcher les gens de transmettre le courriel et des choses comme ça.

DW : C’est exact, oui. Je pense que ce qui est intéressant, c’est que Google a déjà annoncé qu’il a un produit qui s’appelle « End-to-End », parce que dans le nouveau langage pour les ordinateurs et les périphériques, on appelle ça un terminal. Nous allons maintenant discuter de la façon d’envoyer un courriel crypté, d’un bout à l’autre, car le produit de Google est actuellement en phase d’évaluation publique. Ainsi, quiconque peut faire un commentaire là-dessus. C’est basé sur le standard internet Open PGP. Et je pense qu’une fois que ce sera implanté, nous pourrons voir ces idées appliquées à l’ensemble des produits de Google et probablement à d’autres produits.

PB : Outlook et Hushmail sont d’autres acteurs dans le monde du cryptage.

DW : C’est exact, oui. Hushmail est inhabituel parce qu’il s’agit d’une application, un système de messagerie et un outil de cryptage, tout-en-un. Encore une fois, pour revenir à vos débuts avec PGP, alors que vous deviez créer le texte et ensuite le collez par-dessus, Hushmail stocke le tout dans un même environnement. Outlook a la capacité de crypter dans le système, mais, encore une fois, vous devez y joindre un serveur Exchange qui supportera ce cryptage. Si j’utilise Outlook que j’ai pu acheter avec ma suite de Microsoft Office, mais que je l’utilise avec Bell, je ne serais pas nécessairement capable d’avoir un courriel crypté de cette façon.   

PB : C’est exact, et certains de ces programmes vous donnent dès le départ l’impression d’être paranoïaque, parce qu’ils affichent uniquement le courriel au destinataire une ligne à la fois par exemple. C'est presque comme si vous aviez un stylo-espion à encre invisible que vous utilisiez pour décoder lentement ce courriel, que vous ne voyiez pas entièrement en une seule fois. Mais nous avons fait beaucoup de chemin depuis ce temps. 

DW : Oui, et je pense que nous voulons réellement que ça fonctionne, et certainement, avec les discussions autour de la NSA et de Snowden, tout le monde réfléchit beaucoup plus sérieusement au cryptage, je pense, plus que jamais. Dans la mesure où vous recevez un courriel, et que vous n’avez qu’à presser une touche pour crypter ou décrypter un courriel, je pense que c’est le niveau approprié pour qu’il soit utilisé par tout le monde, et certainement par les avocats, et aussi par leurs clients.   

PB : Donc, les avocats et les parajuristes devraient savoir que le courriel est un outil de communication qui est certainement vulnérable, d’un point de vue de la sécurité. Ils peuvent faire certaines choses différemment, comme ne pas utiliser les courriels avec un client, mais ils doivent savoir que le cryptage existe – vous pouvez l’utiliser maintenant, et il va certainement devenir plus pointu et plus commun, je pense, à l’avenir.  

DW : Oui, je pense que c’est certain.

PB : Voilà pour notre tour d’horizon sur le cryptage de courriel. Merci David.

DW : Merci Phil.

Explication des termes et concepts