Bruno Kerouanton

En faisant ma veille, je viens de tomber sur ce billet… Il compare les cinq fournisseurs d’accès Internet principaux en France, et leur donne une note basée sur un certain nombre de critères relatifs à la sécurité… Il ne faut pas s’étonner après lecture des résultats que Gmail soit plus populaire (même si cela pose de très nombreux autres problèmes de sécurité, mais passons…)

Quoi qu’il en soit, ne pas avoir la possibilité d’utiliser SSL/TLS pour les échanges de mails, ni même pour l’authentification, chez aucun de ces fournisseurs, c’est assez déconcertant. Je sais bien que le chiffrement est consommateur en puissance de calcul et que les cartes d’accélération SSL coûtent cher (mais enfin, avec CUDA on ne pourrait pas faire quelque chose ?), mais je trouve cela dommage, d’autant plus que les fournisseurs de messagerie gratuits, du genre Gmail, proposent cela sans souci.

Il est clair que les Gmail, Yahoo et consorts posent également d’autres soucis, et que je suis bien conscients que ce n’est pas la panacée. Mais je me demande néanmoins si ces derniers ne seraient pas tout simplement bons en sécurité…

D’une part il y a peu d’informations émanant des employés de ces entreprises, les contrats de travail incluant des clauses de confidentialité « béton », j’en veux pour preuve un ami qui y a travaillé et qui m’a confirmé que l’omerta était de mise. Peu de risques donc, de se retrouver avec un stagiaire ou un fournisseur qui parte avec des informations cruciales et les diffuse sur le net ou ailleurs.

D’autre part, ils semblent s’offrir de belles pointures en sécurité. Que ce soit leurs offres d’emploi, ou les personnes qui y travaillent, je n’ai pas le moindre doute sur les compétences en sécurité des systèmes d’information des collaborateur-trice-s salariés de ces entreprises. D’ailleurs, un copain de longue date vient juste de se faire embaucher chez Amazon Web Services, après de (très) nombreuses années d’études dans le domaine de la sécurité, et thèses de doctorat à l’appui… Non, ils font attention à leurs embauches.

Certes, il reste d’autres risques. Pour les paranoïaques, celui du big-brother qui renvoie tout à la CIA. Pour les inquiets de la vie privée, celui de la géolocalisation et du data-mining intensif effectué par ces géants sur chacun de nos messages, de nos expéditeurs, de nos habitudes de surf… Et je ne peux que partager leur inquiétude. Cela étant, j’ai bien l’impression que nous sommes partis dans cette démarche depuis quelques années déjà, et qu’il sera difficile de l’éviter.

Conclusion : Si vous voulez sérieusement vous préoccuper de votre sécurité, configurez vous-même votre serveur de messagerie et maintenez-le 24h/24… ou laissez les spécialistes du Cloud (cf ma dernière présentation) s’en charger à votre place.