dimanche 10 novembre 2013

Envoyez des mails avec votre téléphone en toute sécurité !

Il y a quelques mois je vous présentais dans l’article Signer et encrypter un document sur un téléphone une solution permettant de signer et encrypter un mail. Cette solution était plus une preuve de concept qu’un vrai produit.
Cette fois la solution que je vous présente est un vrai produit, et ce produit peut être utilisé gratuitement dans le cadre d’une démonstration. C’est la solution « Regimail » de la société « Regify »

« Regimail » permet d’encrypter aisément les mails entre utilisateurs sans la contrainte du déploiement et de la maintenance d’une infrastructure à clefs publiques (PKI). C’est sa force !

Du point de vue de l’utilisateur l’expérience est la suivante : vous devez tout d’abord créer un compte « Regimail » sur le portail de démonstration de « Regify » : https://portal.regify.com


Vous recevez un mail contenant un lien d’activation sur lequel vous allez saisir le code d’activation qui vous est envoyé par SMS dans notre cas. Un mot de passe est généré automatiquement.


Une fois le compte créé, vous pouvez télécharger l’application mobile « Regimail » dans l’environnement de votre choix. Dans notre cas nous choisissons d’utiliser un téléphone « Android ».


Après avoir configuré votre application « mobile » en saisissant votre nom d’utilisateur et votre mot de passe vous pouvez envoyer un mail


Lors de l’envoi du mail, l’application « Regimail » propose de choisir le client mail à utiliser (si plusieurs clients sont installés sur votre téléphone) pour l’envoi de ce mail. Dans notre cas nous choisissons « Gmail » associé à l’adresse philippe.biton@gmail.com


L’email est affiché avant l’envoi.



Un mail de notification est ensuite envoyé automatiquement à l’émetteur pour confirmer l’envoi du message. Lorsque le message sera lu par le destinataire alors l’émetteur recevra également une notification de lecture.


La procédure que Basile Drancers doit suivre pour pouvoir lire le contenu du mail est parfaitement décrite dans le mail envoyé. Le processus est très facile à utiliser.

 

Si Basile Drancers utilises Microsoft Outlook, qu’il dispose d’un compte « Regimail » et qu’il a déjà installé le plug-in « Outlook » alors il n’a plus qu’à double-cliquer sur le fichier « .rgf » pour lancer l’application « Regimail » et visualiser le contenu du mail.



Voici une vue des paramètres de votre client mail « Android ». On peut noter que dans notre cas le fournisseur de services est « Regify » et qu’il existe de nombreux autres fournisseurs proposant leurs propres spécificités.


Du point de vue de l’expert en sécurité, voici l’argumentaire de «Regify» :
L’architecture de la solution « Regimail » est à 2 niveaux distincts et indépendants: le fournisseur de service de clearing et le fournisseur de la solution « Regimail ».
Le chiffrement du message est fait avec AES 256
Les échanges entre les clients et les fournisseurs sont basés sur RSA (1024 bits) et SSL
Les échanges entre les fournisseurs sont basés sur un VPN privé
Ni le fournisseur du service de clearing, ni le fournisseur de la solution « Regimail » ne sont à aucun moment en possession de l’email
Le fournisseur de la solution « Regimail » ne peut accèder ni au « hash » du fichier « .rgf », ni à la clef symétrique AES 256. Il n’a donc pas accès au contenu du message
Le fournisseur du service de clearing remplit le rôle de gardien des clefs et des « hashs ». Ce service n’a aucune connaissance ni des utilisateurs, ni des contenus
En résumé, d’un côté, le fournisseur du service de clearing ne connaît ni l’expéditeur d’un mail, ni le destinataire et il n’a jamais accès à son contenu. D’un autre côté, le fournisseur de la solution « Regimail » n’a pas accès à la clef qui a servie à chiffrer le message.

Bien entendu, pour des raisons légales, un tiers autorisé à intercepter légalement une communication «Regify» doit être en possession du message respectif. Assisté par le fournisseur concerné, ce tiers peut accéder aux infirmations telles que le message pour lequel le fournisseur du service de clearing fournira la clef de déchiffrement respective après une demande spéciale et exceptionnelle.

A première vue il semblerait qu'un point pouvant être améliorer dans cette solution soit la phase d’authentification. Mais je comprends que « Regify » laisse le soin à ses fournisseurs de gérer l’authentification. Il est donc nécessaire, davantage pour une entreprise que pour un particulier, de bien choisir son fournisseur « Regify » avec le bon nombre de facteurs d’authentification.

Aucun commentaire:

Enregistrer un commentaire

Partager avec...