À la fin de l’année dernière, Google a annoncé la disponibilité de la version bêta de l’outil de sécurité « ;Client Side Encryption ;» (ou plus simplement chiffrement côté client) abrégé CSE pour certains services de sa suite d’outils de Workspace comme Drive, Docs, Slides, Sheets et Meet. Depuis hier, cet outil de sécurité a été étendu à d’autres services de Workspace, notamment à Gmail et Calendar afin de permettre à encore plus d’organisations de devenir les arbitres de leurs propres données et les seules parties qui décident qui y a accès, a martelé la firme. Mais cet outil pourra-t-il véritablement convaincre les utilisateurs avertis sur le fait que la firme ne pourra plus avoir accès au contenu des e-mails envoyés avec CSE activé ;?Selon Google, Workspace utilise déjà les dernières normes cryptographiques pour chiffrer toutes les données au repos et en transit entre ses installations pour tous les services. De plus, Gmail utilise TLS (Transport Layer Security) pour communiquer avec d’autres fournisseurs de services de messagerie. Avec CSE couplé à Gmail, l’entreprise annonce que le contenu des emails, y compris les images en ligne et les fichiers joints ne seront plus accessibles à des tiers y compris Google elle-même. Bien évidemment, la première préoccupation qui vient à l’esprit est de savoir comment est implémenté ce chiffrement pour que même Google ne puisse pas avoir accès aux contenus des messages envoyés dans la mesure où il ne s’agit pas d’un chiffrement de bout en bout. Pour répondre à cette préoccupation, Google explique qu’avec le chiffrement côté client de Google Workspace, le chiffrement du contenu est géré dans le navigateur du client avant que les données ne soient transmises ou stockées dans le stockage basé sur le cloud de Google. De cette façon, les serveurs de Google ne peuvent pas accéder à vos clés de chiffrement et déchiffrer vos données. Pour ce faire, une nouvelle option permet d’utiliser vos propres clés de chiffrement pour chiffrer les données de votre organisation, telles que les fichiers et les e-mails, en plus d’utiliser le chiffrement par défaut fourni par Google Workspace. Après avoir configuré CSE, vous pouvez choisir les utilisateurs qui peuvent créer du contenu chiffré côté client et le partager ou l’envoyer en interne ou en externe.
Il faut souligner que CSE n’est disponible que pour les clients Entreprise, Education standard et Education Plus. Il va sans dire que les clients de Google Workspace Essentials, Business Starter, Business Standard, Business Plus, Enterprise Essentials, Education Fundamentals, Frontline, et Nonprofits, ainsi que les anciens clients de G Suite Basic et Business et ceux disposant d’un compte Google personnel ne pourront pas utiliser ce nouvel outil de confidentialité. Pour les clients Entreprise, Education standard et Education Plus qui souhaitent utiliser CSE, les administrateurs auront besoin de passer par plusieurs étapes comme la configuration du service de clé externe, l’ajout du service de clé, l’attribution du service de clé afin de connecter Workspace au fournisseur d’identité. Une fois ces étapes suivies, ces derniers pourront maintenant configurer l’API de Gmail et configurer Gmail CSE pour les utilisateurs. Avec ce chiffrement, la firme explique que les utilisateurs peuvent désormais « ;envoyer et recevoir des e-mails ou créer des événements de réunion avec des collègues internes et des parties externes, sachant que leurs données sensibles (y compris les images en ligne et les pièces jointes) ont été chiffrées avant d’atteindre les serveurs de Google ;». Avec CSE, souligne Google, « ;la capacité de chiffrement de Workspace passe à un niveau supérieur en garantissant que les clients ont le contrôle exclusif de leurs clés de chiffrement, et donc un contrôle total sur tous les accès à leurs données ;».
Toutefois, il faut noter qu’en activant CSE pour Gmail, plusieurs fonctionnalités y compris celles ci-dessous ne seront pas disponibles. Voici quelques-unes des fonctionnalités de Gmail qui ne sont pas disponibles avec les fichiers chiffrés côté client.
- Mode confidentiel
- Envoi à des groupes en tant que destinataires
- Recherche dans le corps du message (les utilisateurs peuvent toujours effectuer une recherche par destinataire et par objet)
- Signatures
- Imprimer
- Utilisation des applications mobiles Gmail
De plus, la délégation de messagerie (boîtes de réception partagées) n’est pas disponible avec Gmail CSE.
En outre, l’entreprise précise que les en-têtes de mail, y compris l’objet, les horodatages et les listes de destinataires ne sont pas chiffrés côté client. Pour rassurer les sceptiques, Google cite certaines entreprises comme le Groupe Le Monde ou encore Verizon qui utilisent CSE pour garantir la confidentialité et l’intégrité de leurs données sensibles. Russell Leader, Director Collaboration and Mobility chez Verizon déclare même qu’ils ont « ;travaillé aux côtés de Google pour développer de nouvelles solutions de chiffrement et sont ravis d’explorer leur utilisation ;».
Si ce nouvel outil fait la joie de plusieurs, il n’en est pas le cas pour certains. En effet, si cela avait été un chiffrement de bout en bout qui implique que les données sont chiffrées automatiquement sur l’appareil du client et déchiffrées sur celui du destinataire, cela aurait ravi les plus sceptiques. Mais nous n’en sommes pas encore là. Ce qui signifie que les clés privées sont accessibles par les administrateurs de l’entreprise qui déploie la fonctionnalité. Et pour Sly, un intervenant sur toile, « ;le courrier électronique ne doit jamais être utilisé pour des communications sécurisées. Il n’est pas sécurisé par conception et ne peut pas être sécurisé ;». Drex de son côté ajoute que ce serait « ;naïf de croire que Google ne pourra pas avoir accès au contenu de vos mails après avoir activé CSE, car dès qu’une ordonnance de justice sera sur la table, Google fera sortir tout le contenu des mails, avec sans CSE activé ;». Partagez-vous cet avis ;?
Source : Google
Et vous ?
Quels commentaires faites-vous de ce nouvel outil intégré à Gmail ;? Pensez-vous que CSE pour Gmail peut véritablement empêcher Google d’accéder aux contenus des emails ;?Voir aussi
L’UE déclare la guerre au chiffrement de bout en bout et exige l’accès aux messages privés sur n’importe quelle plateforme ProtonMail offre maintenant la cryptographie à courbe elliptique 
