Le service de messagerie électronique de Google, Gmail, est-il suffisamment sûr pour les entreprises ? Pour la plupart, la réponse est “oui”, mais il y a des domaines dans lesquels Gmail n’est pas adapté aux entreprises. Les paramètres par défaut de Gmail offrent une sécurité assez solide. Les données que les utilisateurs voient sont protégées par la norme industrielle – le cryptage 128 bits. Google transmet les données aux utilisateurs via la norme Transport Layer Security 1.1, qui est également une norme du secteur. Côté utilisateur, les données cryptées sont authentifiées à l’aide de la fonction de hachage cryptographique SHA1 et décryptées à l’aide d’une clé ECDHE_RSA.

Si cela semble déroutant, c’est uniquement parce que vous parlez de cryptographie, c’est-à-dire de cryptage. Et la cryptographie est assez déroutante pour ceux qui ne sont pas constamment confrontés à des problèmes mathématiques. Pour simplifier, Google envoie des informations cryptées dont vous seul avez la clé.

Un outil pour des tâches professionnelles

Pour la plupart d’entre vous, Gmail est donc suffisamment sûr pour les tâches professionnelles, à condition que des mots de passe forts soient utilisés sur des ordinateurs protégés, et surtout en utilisant l’authentification à deux facteurs de Google.

Plus inquiétant encore, Google effectue des contrôles automatiques et non humains sur le contenu des comptes et des messages Gmail afin d’afficher une publicité plus appropriée à l’utilisateur. Théoriquement, un agresseur pourrait en apprendre beaucoup sur le travail de sa victime simplement en regardant les annonces comportementales affichées à la victime ou les résultats de la recherche personnalisée. Donc si votre travail est si confidentiel que vous ne voulez pas que les autres le sachent, vous ne devez pas utiliser Gmail pour cela.

Les atouts

Techniquement, il est possible d’intercepter le trafic Gmail via un ordinateur infecté et de faux certificats numériques, et à en juger par les rapports annuels de transparence de Google, il ne fait aucun doute non plus que Google respecte les règles lorsqu’il est confronté à des demandes des tribunaux et d’autres gouvernements.

Vous devez donc évaluer avec soin la façon dont vous communiquez avec Gmail et décider par vous-même si le service est suffisamment sûr pour votre entreprise et votre travail. Si vous êtes un dissident ou un militant, ou si vous vivez dans un État de surveillance et travaillez contre les intérêts de votre gouvernement, vous ne voulez probablement pas utiliser Gmail. Les gouvernements peuvent demander à Google de divulguer des informations sur Gmail, et dans certains cas, Google ne peut rien faire d’autre que de traiter la demande. Les gouvernements ont également l’argent et les ressources nécessaires pour craquer le cryptage Gmail ou obtenir de faux certificats (comme mentionné ci-dessus). Cela vous donnerait la possibilité de vous faire passer pour Google et de mener une attaque de type “man-in-the-middle”, pour ainsi dire.

De nombreux experts se demandent si des pirates informatiques soutenus par l’Iran ont attaqué la société de certification néerlandaise Diginotar l’année dernière, permettant ainsi au pays d’espionner ses propres citoyens. Bien sûr, personne ne sait si c’est vrai, mais les attaques contre Diginotar et Comodo ces dernières années ont montré que ce danger existe bel et bien. Même si aucun État n’était responsable de ces attaques et d’autres, quelqu’un était derrière elles. Et l’attaque contre une société de certificats signifie que quelqu’un se fait passer pour un autre sur Internet, ce qui conduit un utilisateur à transmettre à son insu des données via un service qui n’est pas ce qu’il prétend être.

En gardant tout cela à l’esprit, les utilisateurs qui ne veulent pas que le gouvernement ou toute autre personne soit au courant de leur travail ne doivent pas utiliser Gmail, qu’il s’agisse de droits de l’homme ou de quelque chose d’illégal pour quelque raison que ce soit. D’une manière générale, si vous travaillez régulièrement avec des données confidentielles ou des informations précieuses, vous ne voudrez peut-être pas utiliser Gmail ou d’autres systèmes de courrier en ligne/en nuage parce que des informations précieuses sont demandées – par des cybercriminels, des petits escrocs et des pirates informatiques du gouvernement.

Bien entendu, personne ne souhaite que son compte Gmail soit piraté ou que ses communications soient mises sur écoute, quelle que soit la raison. Et il y en a certainement certains qui veulent utiliser Gmail dans leur entreprise. Voici donc quelques conseils :

Des solutions adaptées

Vous ne devez accéder à votre compte Gmail qu’à partir d’un PC bien protégé sur lequel est installée une solution de sécurité fiable. Encore une fois, il est très important que vous utilisiez l’authentification à deux facteurs de Google, qui aide à protéger votre compte contre les pirates. En outre, déconnectez-vous toujours lorsque vous quittez votre ordinateur, même si vous ne le laissez que peu de temps. Et, bien sûr, gardez toujours votre navigateur, votre système d’exploitation et tout autre programme installé à jour avec les derniers correctifs et évitez les réseaux non sécurisés, en particulier les réseaux Wi-Fi publics non cryptés.