Discussion :

[Anthony]

Google lance le chiffrement côté client pour Gmail en version bêta, pour les utilisateurs Google Workspace Entreprise Plus, Education Plus et Education Standard

Google a annoncé que les entreprises peuvent désormais demander à tester le chiffrement côté client pour Gmail sur le Web.

Désormais disponible en version bêta pour une sélection d'utilisateurs de Workspace, cette fonctionnalité a été promise il y a quelque temps. Selon Google, la nouvelle option de chiffrement signifie que "les données sensibles contenues dans le corps de l'e-mail et les pièces jointes sont indéchiffrables par les serveurs de Google", mais certains seront déçus que cette fonction de sécurité et de confidentialité ne soit pas disponible pour tous.

Le chiffrement côté client est déjà disponible pour un certain nombre de produits Google, notamment Drive, Docs et Meet, et la seule véritable surprise ici est le temps qu'il a fallu à la société pour accorder le même traitement à Gmail.

Google explique :

Nous élargissons l'accès des clients au chiffrement côté client dans Gmail sur le Web. Les clients de Google Workspace Enterprise Plus, Education Plus et Education Standard peuvent s'inscrire à la version bêta jusqu'au 20 janvier 2022. [sic -- Google veut clairement dire 2023].

L'utilisation du chiffrement côté client dans Gmail garantit que les données sensibles contenues dans le corps de l'e-mail et les pièces jointes sont indéchiffrables par les serveurs de Google. Les clients conservent le contrôle des clés de chiffrement et du service d'identité pour accéder à ces clés.

La société précise que le chiffrement côté client est désactivé par défaut et doit être activé par les administrateurs. Les utilisateurs peuvent ensuite choisir de chiffrer les e-mails et les pièces jointes message par message.

Google partage les informations suivantes sur les personnes qui vont pouvoir profiter des nouvelles options de chiffrement :

• Disponible pour les clients de Google Workspace Enterprise Plus, Education Plus et Education Standard.
• Non disponible pour les clients de Google Workspace Essentials, Business Starter, Business Standard, Business Plus, Enterprise Essentials, Education Fundamentals, Frontline, et Nonprofits, ainsi que pour les anciens clients de G Suite Basic et Business.
• Non disponible pour les utilisateurs disposant d'un compte Google personnel

Si vous souhaitez participer à la version bêta du chiffrement côté client, rendez-vous sur le formulaire de demande pour lancer le processus. Google indique qu'il "acceptera les demandes de participation à la version bêta et autorisera les clients" au cours des prochaines semaines.

Source : Google

Et vous ?

Qu'en pensez-vous ?
Avez-vous déjà eu l'occasion de tester cette nouvelle fonctionnalité de Gmail ?

Voir aussi :

L'UE déclare la guerre au chiffrement de bout en bout et exige l'accès aux messages privés sur n'importe quelle plateforme

ProtonMail offre maintenant la cryptographie à courbe elliptique

[weed]

Qu'en pensez-vous ?

Si la sécurité des données est importante et que les utilisateurs sont Européens, autant utilisé un prestataire de mail européens et ainsi être certain que les règles RGPD soient bien respectées.
J'ai pu lire à droite et à gauche que les règles RGPD chez Google n'étaient pas toujours bien respectées. On n'a pas l'assurance

Si les utilisateurs sont des particuliers, il y a pléthores de solution (notamment les services des chattons, ...) .
Si les utilisateurs sont des entreprises, il y a notamment la solution suisse Infomaniak qui offre une véritable alternative avec toute une suite d'application qui peut très bien bien répondre aux besoins.

Mieux ne va pas se prendre la tête avec Google si l'on veut de la sécurité et vie privée qui est une des sociétés les plus riches du monde, offrant une multitude services ultra-varié permettant un profilage ultra-précis.
De mon point de vue, cela n'a aucun sens à utilisé Google, même pour une entreprise, si la vie privée est importante et qu'il existe des alternatives européennes.

Avez-vous déjà eu l'occasion de tester cette nouvelle fonctionnalité de Gmail ?

J'ai un compte GMail perso, donc non. Et j'essaie de l'utiliser de moins en moins justement.

[avion-f16]

Sauf que l'utilisateur lambda va tout simplement utiliser Google même pour générer et stocker ses clés, ce qui est en contradiction avec l'objectif de rendre la lecture de nos mails par Google impossible.
Google a prévu l'API pour générer la clé côté serveur : https://developers.google.com/gmail/...eypairs/create

S'ils le voulaient, ils pourraient tout à fait faire la génération dans le navigateur, chiffrer la clé privée toujours dans le navigateur avec une "passphrase" choisie par l'utilisateur, avant de l'héberger sur ses serveurs.
Pour lire le courriel, la clé privée chiffrée serait récupérée par le navigateur, déchiffrée côté navigateur et le mail serait aussi déchiffré côté navigateur.

Bref, comment encore détourner des mots comme "privacy" ou "end-to-end encryption" à des fins marketing pour capter l'utilisateur ignorant et lui vendre une fausse sensation de vie privée / sécurité (un peu comme tous ces VPN commerciaux).
L'utilisateur lambda verra encore moins l'intérêt de PGP, et pourtant, c'est bien ça qu'il lui faut s'il veut envoyer/recevoir des mails avec plus de vie privée.

Comme l'a dit weed, mieux vaut continuer à s'éloigner de cette entreprise.

[Olivier Famien]

Google annonce la disponibilité publique du chiffrement côté client de Gmail
et promet de ne plus pouvoir accéder aux contenus des emails avec cet outil activé

À la fin de l’année dernière, Google a annoncé la disponibilité de la version bêta de l’outil de sécurité « Client Side Encryption » (ou plus simplement chiffrement côté client) abrégé CSE pour certains services de sa suite d’outils de Workspace comme Drive, Docs, Slides, Sheets et Meet. Depuis hier, cet outil de sécurité a été étendu à d’autres services de Workspace, notamment à Gmail et Calendar afin de permettre à encore plus d’organisations de devenir les arbitres de leurs propres données et les seules parties qui décident qui y a accès, a martelé la firme. Mais cet outil pourra-t-il véritablement convaincre les utilisateurs avertis sur le fait que la firme ne pourra plus avoir accès au contenu des e-mails envoyés avec CSE activé ?

Selon Google, Workspace utilise déjà les dernières normes cryptographiques pour chiffrer toutes les données au repos et en transit entre ses installations pour tous les services. De plus, Gmail utilise TLS (Transport Layer Security) pour communiquer avec d’autres fournisseurs de services de messagerie. Avec CSE couplé à Gmail, l’entreprise annonce que le contenu des emails, y compris les images en ligne et les fichiers joints ne seront plus accessibles à des tiers y compris Google elle-même. Bien évidemment, la première préoccupation qui vient à l’esprit est de savoir comment est implémenté ce chiffrement pour que même Google ne puisse pas avoir accès aux contenus des messages envoyés dans la mesure où il ne s’agit pas d’un chiffrement de bout en bout. Pour répondre à cette préoccupation, Google explique qu’avec le chiffrement côté client de Google Workspace, le chiffrement du contenu est géré dans le navigateur du client avant que les données ne soient transmises ou stockées dans le stockage basé sur le cloud de Google. De cette façon, les serveurs de Google ne peuvent pas accéder à vos clés de chiffrement et déchiffrer vos données. Pour ce faire, une nouvelle option permet d’utiliser vos propres clés de chiffrement pour chiffrer les données de votre organisation, telles que les fichiers et les e-mails, en plus d’utiliser le chiffrement par défaut fourni par Google Workspace. Après avoir configuré CSE, vous pouvez choisir les utilisateurs qui peuvent créer du contenu chiffré côté client et le partager ou l’envoyer en interne ou en externe.

Il faut souligner que CSE n’est disponible que pour les clients Entreprise, Education standard et Education Plus. Il va sans dire que les clients de Google Workspace Essentials, Business Starter, Business Standard, Business Plus, Enterprise Essentials, Education Fundamentals, Frontline, et Nonprofits, ainsi que les anciens clients de G Suite Basic et Business et ceux disposant d’un compte Google personnel ne pourront pas utiliser ce nouvel outil de confidentialité. Pour les clients Entreprise, Education standard et Education Plus qui souhaitent utiliser CSE, les administrateurs auront besoin de passer par plusieurs étapes comme la configuration du service de clé externe, l’ajout du service de clé, l’attribution du service de clé afin de connecter Workspace au fournisseur d’identité. Une fois ces étapes suivies, ces derniers pourront maintenant configurer l’API de Gmail et configurer Gmail CSE pour les utilisateurs. Avec ce chiffrement, la firme explique que les utilisateurs peuvent désormais « envoyer et recevoir des e-mails ou créer des événements de réunion avec des collègues internes et des parties externes, sachant que leurs données sensibles (y compris les images en ligne et les pièces jointes) ont été chiffrées avant d’atteindre les serveurs de Google ». Avec CSE, souligne Google, « la capacité de chiffrement de Workspace passe à un niveau supérieur en garantissant que les clients ont le contrôle exclusif de leurs clés de chiffrement, et donc un contrôle total sur tous les accès à leurs données ».

Toutefois, il faut noter qu’en activant CSE pour Gmail, plusieurs fonctionnalités y compris celles ci-dessous ne seront pas disponibles. Voici quelques-unes des fonctionnalités de Gmail qui ne sont pas disponibles avec les fichiers chiffrés côté client.

• Mode confidentiel
• Envoi à des groupes en tant que destinataires
• Recherche dans le corps du message (les utilisateurs peuvent toujours effectuer une recherche par destinataire et par objet)
• Signatures
• Imprimer
• Utilisation des applications mobiles Gmail

De plus, la délégation de messagerie (boîtes de réception partagées) n’est pas disponible avec Gmail CSE.

En outre, l’entreprise précise que les en-têtes de mail, y compris l’objet, les horodatages et les listes de destinataires ne sont pas chiffrés côté client. Pour rassurer les sceptiques, Google cite certaines entreprises comme le Groupe Le Monde ou encore Verizon qui utilisent CSE pour garantir la confidentialité et l’intégrité de leurs données sensibles. Russell Leader, Director Collaboration and Mobility chez Verizon déclare même qu’ils ont « travaillé aux côtés de Google pour développer de nouvelles solutions de chiffrement et sont ravis d’explorer leur utilisation ».

Si ce nouvel outil fait la joie de plusieurs, il n’en est pas le cas pour certains. En effet, si cela avait été un chiffrement de bout en bout qui implique que les données sont chiffrées automatiquement sur l’appareil du client et déchiffrées sur celui du destinataire, cela aurait ravi les plus sceptiques. Mais nous n’en sommes pas encore là. Ce qui signifie que les clés privées sont accessibles par les administrateurs de l’entreprise qui déploie la fonctionnalité. Et pour Sly, un intervenant sur toile, « le courrier électronique ne doit jamais être utilisé pour des communications sécurisées. Il n’est pas sécurisé par conception et ne peut pas être sécurisé ». Drex de son côté ajoute que ce serait « naïf de croire que Google ne pourra pas avoir accès au contenu de vos mails après avoir activé CSE, car dès qu’une ordonnance de justice sera sur la table, Google fera sortir tout le contenu des mails, avec sans CSE activé ». Partagez-vous cet avis ?

Source : Google

Et vous ?

Quels commentaires faites-vous de ce nouvel outil intégré à Gmail ?

Pensez-vous que CSE pour Gmail peut véritablement empêcher Google d’accéder aux contenus des emails ?

Voir aussi

L’UE déclare la guerre au chiffrement de bout en bout et exige l’accès aux messages privés sur n’importe quelle plateforme

ProtonMail offre maintenant la cryptographie à courbe elliptique

[Aiekick]

il peut dire ce qu'il veut, on ne le crois pas. encore une manoeuvre pour faire venir les gens

[Mathis Lucas]

Gmail ajoute le chiffrement de bout en bout pour les organisations. Mais il y a un hic : les clés sont gérées de manière centralisée par les administrateurs
ils peuvent donc espionner les communications

Google ajoute un système de chiffrement de bout en bout pour les utilisateurs professionnels de Gmail. Cette nouvelle fonctionnalité marque un nouveau pas vers une meilleure sécurité pour les organisations qui utilisent Gmail. Seulement, il ne s'agit pas stricto sensu d'un chiffrement de bout en bout. Avec cette fonctionnalité, le processus de chiffrement et de déchiffrement a bien lieu sur les appareils des utilisateurs finaux. Mais les clés sont gérées de manière centralisée par leur organisation, ce qui signifie que les administrateurs peuvent espionner le contenu des messages. Cela ne répond pas strictement à la définition du chiffrement de bout en bout.

Google présente une alternative au protocole S/MIME dans Gmail

La nouvelle fonction de Gmail est présentée comme une alternative au protocole Secure/Multipurpose Internet Mail Extensions (S/MIME) sur lequel s'appuient de nombreuses organisations pour envoyer des courriels chiffrés. Il peut en effet s'avérer un casse-tête pour les organisations. S/MIME est une norme si complexe et si pénible que seules les organisations les plus courageuses et les mieux dotées en ressources ont tendance à la mettre en œuvre.

La mise en œuvre de S/MIME exige que chaque expéditeur et chaque destinataire disposent d'un certificat X.509 délivré par une autorité de certification. L'obtention, la distribution et la gestion de ces certificats de manière sécurisée nécessitent généralement du temps, de l'argent et de la coordination.

Ce qui peut nuire à l'agilité et la flexibilité des organisations. La norme est surtout adoptée par les organisations qui sont soumises à une réglementation en matière de sécurité et de protection de la vie privée. Selon Google, la fonction de chiffrement de Gmail fait abstraction de cette complexité. Au lieu de cela, l'utilisateur rédige un courrier électronique à l'intention d'un destinataire, clique sur un bouton qui active la fonctionnalité et appuie sur « Envoyer ».

Selon Google, après le déploiement de la fonction, les utilisateurs professionnels pourront envoyer des courriers électroniques entièrement chiffrés à n'importe quel utilisateur sur n'importe quel service ou plateforme de messagerie, y compris le client de courriel Microsoft Outlook. Le navigateur de l'expéditeur chiffre le message et l'envoie au destinataire. Le message n'est déchiffré que lorsqu'il arrive dans le navigateur du destinataire et que celui-ci s'authentifie.

« Cette capacité, qui nécessite un minimum d'efforts de la part des équipes informatiques et des utilisateurs finaux, fait abstraction de la complexité informatique traditionnelle et de l'expérience utilisateur médiocre des solutions existantes, tout en préservant la souveraineté des données, la confidentialité et les contrôles de sécurité », a déclaré Google. Dans un billet publié le 1er avril, Google a annoncé que la fonctionnalité sera déployée en plusieurs étapes.

Une version bêta de la fonction sera déployée pour les utilisateurs professionnels de Gmail dans la même organisation. Dans les semaines à venir, les utilisateurs pourront envoyer des courriels chiffrés à n'importe quelle boîte de réception Gmail et, plus tard dans l'année, à n'importe quelle boîte de réception.

Comment fonctionne la nouvelle fonction de chiffrement de Gmail

Le fonctionnement est simple. Selon le billet de blogue de Google, les courriels sont chiffrés en quelques clics dans Gmail, quel que soit le destinataire ; les utilisateurs finaux n'ont pas besoin d'échanger des certificats ou d'utiliser des logiciels personnalisés. Les courriels sont protégés par des clés de chiffrement contrôlées par le client et non accessibles aux serveurs de Google, ce qui permet d'améliorer la confidentialité et la sécurité des données.

Pour envoyer un nouveau courriel chiffré, les utilisateurs de Gmail n'ont qu'à activer l'option « Chiffrement supplémentaire » lors de la rédaction du message. Le message sera automatiquement déchiffré si le destinataire est un utilisateur de Gmail disposant d'un compte personnel ou d'un compte d'entreprise. L'équipe informatique n'a plus besoin de s'occuper de la configuration complexe de S/MIME ou de la gestion des certificats. Google note :

• lorsque le destinataire est un utilisateur de Gmail (entreprise ou particulier), Gmail envoie un courriel chiffré de bout en bout. Le courriel est automatiquement déchiffré dans la boîte de réception du destinataire, qui peut alors utiliser Gmail de manière habituelle ;
  
• si le destinataire n'est pas un utilisateur Gmail, Gmail lui envoie une invitation à consulter le courriel chiffré de bout en bout dans une version restreinte de Gmail. Le destinataire peut alors utiliser un compte Google Workspace invité pour consulter le courriel et y répondre en toute sécurité ;
  
• lorsque le destinataire a déjà configuré S/MIME, il n'y a pas de réel changement. Gmail envoie un courriel chiffré de bout en bout via S/MIME (comme il le fait aujourd'hui).

Si un utilisateur de Gmail envoie un message chiffré de bout en bout à une personne utilisant, par exemple, Outlook, celle-ci recevra un courrier électronique lui demandant si elle souhaite voir un message chiffré. Dans ce cas, le courriel initial reçu par le destinataire, indiquant « Voulez-vous voir ceci ? », ressemble à un lien de collaboration Docs/Sheets/Pages, ce qui peut susciter des inquiétudes en matière d'hameçonnage. Google en a tenu compte.

Pour cette raison, un avertissement placé au-dessus du lien invite les destinataires à ne cliquer que s'ils font entièrement confiance à l'expéditeur. Mais cela ne répond pas pleinement aux inquiétudes en matière de sécurité. Les destinataires peuvent également faire face à des cas d'usurpation d'identité. De l'aveu même de Google, l'ensemble du processus est comparable au partage d'un document Workspace avec une personne extérieure à l'organisation.

Comme les administrateurs informatiques peuvent exiger des destinataires qu'ils utilisent un accès restreint à Gmail pour consulter les messages chiffrés, ils peuvent contrôler l'accès des destinataires à l'aide de règles et s'assurer que les données ne sont pas stockées sur des serveurs tiers.

Un chiffrement de bout en bout ? Quelques limites sont à souligner

Le billet de blogue explique que cette nouvelle fonctionnalité s'appuie sur le chiffrement côté client (client-side encryption - CSE), un contrôle technique de Workspace, qui aide les entreprises à protéger leurs courriers électroniques, documents, événements de l'agenda et réunions sensibles à l'aide de clés de chiffrement dont elles ont le contrôle exclusif et qui sont stockées en dehors de l'infrastructure de Google, à l'endroit de leur choix.

Les données sont chiffrées sur le client avant d'être transmises ou stockées dans le cloud de Google, ce qui les rend indéchiffrables pour Google et d'autres entités tierces et permet de répondre aux exigences réglementaires, telles que la souveraineté des données, l'HIPAA et les contrôles à l'exportation.

Quant à savoir s'il s'agit d'un véritable chiffrement de bout en bout, ce n'est probablement pas le cas, du moins si l'on se réfère aux définitions les plus strictes couramment utilisées. Pour les puristes, le chiffrement de bout en bout signifie que seuls l'expéditeur et le destinataire disposent des moyens nécessaires pour chiffrer et déchiffrer le message. Ce n'est pas le cas ici, puisque la gestion des clés est centralisée au sein de l'organisation.

En d'autres termes, le processus de chiffrement et de déchiffrement a lieu sur les appareils des utilisateurs finaux, et non sur le serveur de l'organisation ou ailleurs. C'est la partie que Google qualifie de chiffrement de bout en bout. Les clés, cependant, sont gérées par l'organisation. Traduction : les administrateurs disposant d'un accès complet peuvent à tout moment espionner les communications. Ce qui limite les protections offertes par la fonction.

Selon les experts, la fonction peut être utile aux organisations qui doivent se conformer à de lourdes réglementations imposant un chiffrement de bout en bout, mais elle ne convient absolument pas aux consommateurs ou à toute personne souhaitant exercer un contrôle exclusif sur les messages qu'elle envoie.

Source : Google

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la nouvelle fonction de chiffrement des courriels de Gmail ?
Google affirme qu'il s'agit d'un système de chiffrement de bout en bout. Qu'en pensez-vous ?
Utilisez-vous Gmail ? Si oui, cette nouvelle fonctionnalité de Gmail vous sera-t-elle utile ? Pourquoi ?

Voir aussi

Google lance le chiffrement côté client pour Gmail en version bêta pour les utilisateurs Google Workspace Entreprise Plus, Education Plus et Education Standard

Google annonce la disponibilité publique du chiffrement côté client de Gmail et promet de ne plus pouvoir accéder aux contenus des emails avec cet outil activé

Mozilla lance Thundermail, un rival de Gmail et d'Office 365, bien qu'ambitieuse sur le papier, cette alternative open source pourrait révéler des faiblesses en conditions réelles

[Anselme45]

Et alors, les clés de cryptage pour protéger les données de son PC sont bien stockées en clair sur les serveurs de Microsoft...

Alors pourquoi Google se gênerait?

[lecorr]

Dans une entreprise, le client est l'entreprise, pas l'individu... Imaginez que, salarié, vous échangez des informations avec un tiers non autorisé.... Comment l'entreprise pourrait elle le prouver? Vous avez démissionné, comment l'entreprise peut-elle récupérer vos échanges emails à propos de ce que vous gériez?
Vous n'êtes pas censés échanger des informations personnelles dans votre boîte pro.
Pour exemple, ayant travaillé dans une banque privée d'une grande société de cosmétiques, j'avais l'autorisation d'utiliser internet, et je pouvais ouvrir gmail... Mais mon interface était boguée, quand j'en ai parlé, on m'a répondu : "c'est normal, notre 'anti-virus' décrypte la communication à la recherche de virus, où de fuite de données'. Parce que la clé de cryptage est fournie par l'organisation, ils peuvent lire ce qui est échangé...
Si, je ne veux pas qu'ils lisent mes mails perso (ce qu'ils ne faisaient pas, bien sûr), je n'ai qu'à pas ouvrir mon gmail perso...

[fodger75]

Suis-je le seul à ne pas être étonné ? On parle des GAFAM là ...

[talb1985]

Suis-je le seul à ne pas être étonné ? On parle des GAFAM là ...

Remarqué absurde du jour

[talb1985]

Et alors, les clés de cryptage pour protéger les données de son PC sont bien stockées en clair sur les serveurs de Microsoft...

Alors pourquoi Google se gênerait?

Elles sont dans votre TPM

[OrthodoxWindows]

il peut dire ce qu'il veut, on ne le crois pas. encore une manoeuvre pour faire venir les gens

Gmail ajoute le chiffrement de bout en bout pour les organisations. Mais il y a un hic : les clés sont gérées de manière centralisée par les administrateurs ils peuvent donc espionner les communications

Tu avait totalement raison.