Google a annoncé un prochain renforcement de la sécurité de sa messagerie Gmail, notamment en alertant les usagers lorsque des mails sont non sûrs, ayant transités en clair.
Le problème vient de plusieurs fournisseurs de messagerie peu regardant sur la sécurité, qui autorisent les utilisateurs à passer par le HTTP, le trafic étant alors en clair et les interceptions possibles. Pour les mails et la sécurité, Google (tout comme Yahoo et Microsoft) propose depuis pas mal de temps un accès 100% HTTPS à Gmail.
Dans une récente étude effectuée en partenariat avec l’université du Michigan, Google informe qu’entre décembre 2013 et octobre 2015, le nombre de messages envoyés vers des comptes Gmail depuis d’autres fournisseurs de messagerie sur une connexion non protégée via HTTPS a considérablement augmenté. Leur part de marché est ainsi passée de 33% à 61% sur cette période.
En parallèle, la part des messages sortants envoyés depuis Gmail, et protégés via le protocole TLS (Transport Layer Security), vers des destinataires qui utilisent d’autres messageries, a également augmenté de 60 à 80%. Google explique alors être en train de plancher sur un dispositif alertant les utilisateurs de Gmail lorsqu’ils reçoivent un mail envoyé depuis un service non sécurisé, qui devrait voir le jour dans quelques mois.
« En vue d’informer nos utilisateurs des menaces potentielles, nous sommes en train de développer un utilitaire dans Gmail qui permettra d’afficher un avertissement quand ils recevront un message via une connexion non chiffrée. Ces mises en garde commenceront à apparaître dans les prochains mois », explique dans un article la firme de Mountain View consacré à la sécurité des mails.
Cela pourrait aider à limiter les mails de phishing au passage, en alertant les gens sur les risques potentiels. Ainsi, cela pourrait permettre de sensibiliser les utilisateurs par rapport aux risques liés aux communications en ligne non sécurisées. A noter que la fameuse alerte Gmail ne se déclenchera pas si le mail n’est pas chiffré, étant donné que cela n’est pas commun actuellement, mais ne se manifestera uniquement lorsque le courrier électronique n’est pas passé par un protocole de communication sécurisé.
Dommage tout de même que le SMTP de Gmail ne soit pas sécurisé en exigeant une authentification…