Gmail révolutionne le chiffrement des emails - Ah bon ?
Vous connaissez cette nouvelle blague au sujet des ingénieurs de chez Google ?
Et bien ils ont inventé un nouveau type de chiffrement “end-to-end” (de bout en bout), sauf que ce n’est pas vraiment “end-to-end”. Bienvenue dans le monde merveilleux du marketing tech, où les mots n’ont plus le même sens que dans le dictionnaire.
C’est ainsi qu’aujourd’hui, Google nous sort une “révolution” pour le chiffrement des emails dans Gmail qui n’est pas un poisson d’avril et qui mérite qu’on y regarde de plus près…
Et oui car nombreuses sont les sociétés qui ont confié l’ensemble de leurs messageries à Google… En tant qu’admin sys, imaginez devoir expliquer à votre PDG pourquoi l’email contenant la stratégie d’acquisition à 10 millions d’euros a fuité vers vos concurrents… Pas très fun comme situation, du coup, ce chiffrement dans Gmail, c’est plutôt une bonne idée non ?
D’abord commençons par un petit cours d’histoire accéléré. Le chiffrement des emails existe depuis la préhistoire numérique… PGP a été créé en 1991, S/MIME est apparu en 1995, c’est à dire encore à l’époque où on se connectait avec des modems à 56k biiip shhhhh bipppp krlrkrkrk…. Et nous voilà 30 ans plus tard, avec un chiffrement des emails qui est aussi populaire que Windows Vista.
Pourquoi ? Bah fallait pas voter Macron. Euh, non, c’est pas ça. C’est parce que c’est une usine à gaz monumentale bon dieu !!! Selon une étude de Google, moins de 5% des emails professionnels sont actuellement chiffrés. V’la la cata ! Surtout que configurer S/MIME, c’est comme monter un meuble Conforama sans notice, les mains attachées dans le dos et les yeux bandés. C’est plus facile qu’avec la notice mais c’est chiant.
Google a donc décidé de s’attaquer à ce problème avec sa nouvelle approche amazing !! Terminée la complexité, bonjour la simplicité : un simple bouton “additional encryption” dans l’interface de composition du mail et hop, votre email est chiffré.
Et pour les destinataires qui utilisent aussi Gmail, c’est transparent : ils reçoivent directement le message avec un joli bandeau bleu indiquant “New encrypted message”. Et pour les autres (les utilisateurs d’Outlook, de Yahoo ou autres), ils reçoivent un lien leur permettant d’accéder à une version restreinte de Gmail où ils peuvent lire et répondre au message après s’être authentifiés. En gros, c’est Google qui leur dit : “Viens dans mon salon sécurisé pour lire ce message, c’est cozy et chaleureux mais essuie tes pieds avant d’entrer.”
Le déploiement a déjà commencé, d’abord en beta pour les emails au sein d’une même organisation, puis pour tous les utilisateurs Gmail, et finalement pour toutes les boîtes mail. Ainsi, d’ici la fin de l’année, n’importe qui pourra envoyer des emails chiffrés à n’importe qui. C’est donc une véritable démocratisation du chiffrement, et ça c’est super cool !!
Fin de l’article ??? Naaaaan ! Attendez une minute, bande d’impatients ! Car quand on regarde sous le capot, on se rend compte que Google joue “un peu” avec les mots. Ils appellent ça “end-to-end encryption” (E2EE), mais les puristes de la sécurité sont en train d’hurler au scandale (et pas “d’hurler aux sandales”, c’est pas encore les vacances). En réalité, ce qu’a mis en place Google s’appelle du “client-side encryption” (CSE). La différence n’est pas juste sémantique, elle est fondamentale !
Dans un vrai système E2EE comme Signal ou WhatsApp, les clés de chiffrement sont générées et restent uniquement sur les appareils des utilisateurs finaux. Personne d’autre, pas même le fournisseur du service, ne peut déchiffrer les messages. C’est le Saint Graal de la sécurité des communications et c’est bien pour ça que les Etats veulent des backdoor dans tous ces services !
Mais avec le CSE de Google, les clés sont générées ET stockées dans un service cloud de gestion des clés. Les administrateurs peuvent donc y accéder, révoquer des accès, surveiller ce que les utilisateurs chiffrent. Donc c’est un genre de un coffre-fort ultra-sécurisé protégeant vos données les plus sensibles, mais où le mec qui l’a installé a gardé un double de la clé “au cas où”, et pourrait même regarder ce que vous y stockez s’il s’emmerde.
Vous l’aurez compris, cette nuance a des implications pratiques importantes. D’abord, le système nécessite un service externe de gestion des clés (pas géré par Google). Pour cela, Google a établi des partenariats avec plusieurs fournisseurs, mais ça représente un coût supplémentaire. Ensuite, les administrateurs ont un contrôle total… ils peuvent voir qui chiffre quoi, révoquer des accès, définir des politiques. Et pour parfaire l’imperfection du tout, certaines fonctionnalités de Google ne sont pas disponibles avec CSE activé. Par exemple, tout ce qui est suggestions intelligentes, l’analyse des pièces jointes, et certaines fonctions de recherche sont désactivées. De plus, le contenu chiffré n’est pas analysé pour détecter le phishing ou les malwares alors qu’ils ont les clés… Dommage, ça fait une faille potentielle de plus dans votre sécurité.
Alors, pour qui cette solution est-elle vraiment conçue au final ? Et bien sans surprise, c’est une solution pensée pour les entreprises, pas vraiment pour les petits paranos que nous sommes. Pour les entreprises, c’est clair que c’est une petite révolution. Le contrôle administratif sur les communications chiffrées est total. On peut révoquer l’accès à certains contenus, appliquer des politiques de conformité, et tout ça sans la complexité kafkaïenne du S/MIME. Par contre, il faut avoir les poches bien remplies car la fonctionnalité nécessite Google Workspace Enterprise Plus (25$ par utilisateur et par mois), Education Standard ou Education Plus.
D’ailleurs, Microsoft propose le même truc depuis janvier 2025 avec Purview Message Encryption pour les clients M365 E5 (quel nom à la con !) pour 38$ par utilisateur et par mois. La solution de Microsoft fonctionne de manière quasi identique avec chiffrement transparent entre utilisateurs Outlook et liens sécurisés pour les utilisateurs d’autres plateformes. Bref, la course au chiffrement-pas-vraiment-chiffrement est lancée entre les géants.
Pour les administrateurs IT, c’est le paradis. Configuration simplifiée, possibilité de surveiller ce que les utilisateurs chiffrent, options pour définir CSE comme paramètre par défaut… Ils peuvent même utiliser des cartes à puce pour le chiffrement à clé matérielle dans Gmail si l’organisation a des besoins de sécurité particulièrement élevés.
Et pour les utilisateurs finaux, c’est la simplicité incarnée… un simple bouton et voilà, c’est chiffré. Ils peuvent envoyer à n’importe qui, même sans connaissances techniques.
Bref, c’est cool pour les pro mais pour les puristes de la vie privée, c’est la grande déception. Comme ce n’est pas du véritable E2EE et que le contrôle administratif implique une confiance dans l’organisation qui gère les boites, c’est mieux de s’orienter sur du ProtonMail (à partir de 8€ par mois) ou du Tutanota, qui restent des options de choix.
Il y a aussi quelques zones d’ombre à considérer dans cette implémentation du chiffrement made in Google… Par exemple, le lien envoyé aux utilisateurs non-Gmail pour accéder aux messages chiffrés ressemble furieusement aux invitations Docs/Sheets. Le genre de truc à faire le bonheur des phishers qui n’attendaient que ça. Google a bien sûr intégré des avertissements pour réduire ce risque, mais qui lit vraiment ces avertissements ?
Se posent aussi des questions de souveraineté des données. Qui contrôle réellement vos données si vous dépendez d’un service externe de gestion des clés ? Pour les organisations soumises à des réglementations comme le RGPD, c’est une question qui mérite réflexion.
Enfin, l’accessibilité des contenus chiffrés pose également problème pour la recherche et l’archivage mais ça c’est un problème classique de ce genre d’implémentation. A ce titre, Google Vault permet de conserver et d’exporter ces emails, mais il faut un utilitaire spécifique (le “decrypter”) pour les déchiffrer. Pratique, mais pas vraiment transparent pour les utilisateurs habitués à pouvoir rechercher n’importe quel contenu en quelques clics.
En fin de compte Google a trouvé un compromis intéressant entre la sécurité et l’utilisabilité mais non, ce n’est pas le E2EE parfait que les cypherpunks attendent depuis 30 ans. Alors oui, ça fera hurler les puristes mais pour la première fois, on a une solution qui pourrait enfin démocratiser l’email chiffré au-delà des cercles tech habituels.
Vous cherchez un hébergement web professionnel pour propulser votre entreprise ? Ne cherchez plus.
Avec l'Offre Unique de o2switch, offrez à votre TPE/PME l'hébergement qu'elle mérite pour viser les sommets.
Boostez la vitesse de votre site et vos applications avec 12 CPU et 48 Go de RAM. Stockez sans compter grâce à l'espace disque illimité. Soyez serein avec des sauvegardes quotidiennes automatiques et un support technique toujours disponible. Tout ça sur des serveurs sécurisés, hébergés en France.
Pilotez votre activité en ligne du bout des doigts, sans connaissances techniques, via l'interface cPanel. Site web, outils, emails... tout est centralisé !
Le meilleur dans tout ça ? L'Offre Unique est à seulement 4,2 € HT/mois. C'est le moment d'offrir à votre entreprise l'hébergement qu'elle mérite pour décoller. Avec o2switch, dites adieu aux problèmes techniques et bonjour à la croissance !