Google introduit le cryptage côté client pour Gmail - mais pas pour vous.
Le projet de chiffrement de bout en bout de Gmail semblait mort en 2017. Aujourd'hui, il est de retour, mais uniquement pour les clients grands comptes.
TL;DR : Google affirme que le cryptage de bout en bout est important pour la sécurité. Mais les utilisateurs normaux ne verront pas une telle fonctionnalité dans leur compte Gmail. Pour sécuriser vos e-mails dès maintenant, nous vous recommandons de vous inscrire à une boîte aux lettres Tutanota entièrement chiffrée. Mieux encore, utilisez une alternative à Gmail qui crypte automatiquement l’ensemble de votre boîte aux lettres et de vos contacts - et respecte votre vie privée.
Le chiffrement dans Gmail
En 2014, il semblait que Gmail voulait apporter le chiffrement de bout en bout à tous les utilisateurs, pourtant, la société n’a jamais donné suite à cette promesse, faite peu après les fuites de Snowden sur la surveillance de la NSA.
Le projet de chiffrement de bout en bout de Gmail semblait alors mort en 2017. Aujourd’hui, il est de retour, mais cette fois-ci uniquement pour les clients des grands comptes.
Google vient d’annoncer proposer le chiffrement côté client pour son service de messagerie Gmail pour un test bêta. Cependant, uniquement pour les clients des comptes clés après une demande, et pour l’instant uniquement en version bêta.
”Avec le chiffrement côté client de Google Workspace (CSE), le chiffrement du contenu est géré dans le navigateur du client avant que toute donnée ne soit transmise ou stockée dans le stockage dans le cloud de Drive."
"De cette façon, les serveurs de Google ne peuvent pas accéder à vos clés de cryptage et décrypter vos données. Après avoir configuré CSE, vous pouvez choisir quels utilisateurs peuvent créer du contenu crypté côté client et le partager en interne ou en externe”, explique Google.
Google expliqueici comment vous pouvez demander l’activation du chiffrement sur votre compte si vous êtes client de Google Workspace Enterprise Plus, Education Plus et Education Standard.
La fonctionnalité ne fonctionne actuellement que dans le navigateur, mais le support des applications est prévu, a indiqué la société.
Notamment, Google appelle cette fonctionnalité non pas “chiffrement de bout en bout”, mais “chiffrement côté client”. Les e-mails ne sont pas chiffrés dans un format à connaissance zéro, mais les entreprises peuvent récupérer les e-mails envoyés par leur système, même s’ils ont été chiffrés.
Le cryptage gagne du terrain
Cette nouvelle initiative de Google s’inscrit dans le prolongement de la tendance à accorder de l’importance au cryptage et à la protection de la vie privée, qui a été initiée par des services entièrement cryptés tels que Signal et Tutanota il y a plus de dix ans.
Récemment, Apple a également annoncé qu’elle commencerait à proposer un chiffrement de bout en bout pour les sauvegardes iCloud.
Après dix ans de croissance réussie du nombre d’utilisateurs d’applications telles que Tutanota, Signal et autres, Big Tech ressent la pression. Les utilisateurs ne veulent plus donner leurs données en échange de services “gratuits”.
Au contraire, ils comprennent que leurs données sont le nouvel or et qu’elles doivent être protégées comme n’importe quel autre bien précieux : avec un cryptage de bout en bout approprié.
Chez Tutanota, nous saluons l’initiative de Google et d’Apple, car elle rendra le web tel que nous le connaissons plus sûr. Cependant, des fonctionnalités importantes comme le cryptage ne doivent pas être limitées à quelques élus !
Au contraire : Tout le monde mérite le cryptage !
Indépendamment de la décision de ces entreprises, nous sommes ravis de voir qu’un nombre croissant de personnes comprennent la nécessité et l’importance de la vie privée. Nous avons déjà dit en 2017 que l’ère de la vie privée avait commencé, et on nous a donné raison depuis.
Les gens du monde entier ne sont plus d’accord pour alimenter le capitalisme de surveillance de Big Tech.
Big Tech protégera-t-elle tout le monde ?
La question qui demeure après la dernière décision de Google d’offrir un cryptage adéquat à ses clients professionnels est la suivante :
Google offrira-t-il un cryptage de bout en bout à tout le monde ?
Compte tenu du modèle économique de Google, qui consiste à récolter des données personnelles et à vendre des publicités ciblées aux entreprises, il est très peu probable qu’il le fasse.
Les personnes présentes sur Reddit sont également convaincues que Google ne proposera pas un véritable cryptage à tout le monde.
Mais heureusement, les gens sont assez intelligents pour choisir des alternatives.
De nouveaux outils ont rendu la protection des données privées des gens très facile. Des services de messagerie électronique comme Tutanota et des applications de chat comme Signal ne sont que quelques-uns des outils qui intègrent le cryptage de manière transparente dans leurs services, de sorte que les utilisateurs n’ont pas à réfléchir au fonctionnement du cryptage.
Et le mieux dans tout ça : Avec ces applications, le cryptage est accessible à tous, et pas seulement à quelques élus.
Historique du projet de chiffrement de bout en bout de Gmail
En 2017, Google a remis en silence à “la communauté open source” le projet E2EMail qui avait été lancé pour permettre un chiffrement de bout en bout facile dans Gmail via une extension de navigateur. Depuis lors, le projet GitHub est littéralement mort.
Trois ans plus tôt, Google avait annoncé qu’il mettait au point un plugin Chrome de chiffrement de bout en bout pour chiffrer automatiquement les e-mails entre utilisateurs de Gmail.
La promesse d’ajouter un outil de chiffrement des e-mails à Gmail était un coup marketing
En 2017, il est devenu évident que la promesse d’un chiffrement facile des e-mails dans Gmail à des millions d’utilisateurs n’était qu’un coup marketing après les révélations de Snowden en 2013. Alors que le projet E2EMail aurait été un outil formidable pour que des millions de personnes puissent adapter automatiquement le chiffrement de bout en bout, il a été enterré par Google lorsqu’ils ne voyaient plus ses avantages marketing.
”Le véritable message est qu’ils ne développent plus activement ce projet de Google”, a déclaré Matthew Green, expert en cryptographie, à Wired. “C’est certainement un peu décevant, compte tenu du battage médiatique que Google a généré autour de ce projet à un moment donné, de voir qu’ils ne le poursuivent pas en tant que fonctionnalité principale de Gmail”, dit Green.
Rendre le cryptage des e-mails facile est difficile
Google a officiellement déclaré qu’il n’avait pas abandonné son projet de cryptage. Toutefois, il a expliqué que la mise au point d’un système de cryptage facile des e-mails est beaucoup plus difficile que l’on pourrait le penser.
Il est difficile de rendre les e-mails cryptés interopérables avec différents clients et de concevoir l’échange de clés de manière conviviale. Des problèmes qui sont déjà connus de tout utilisateur de PGP, et qui n’ont pas disparu lorsque Google a voulu ajouter un plugin basé sur PGP à Chrome.
Néanmoins, la fin d’un projet qui aurait permis aux utilisateurs de Gmail du monde entier de recevoir des courriels chiffrés de bout en bout montre où sont les véritables intérêts de Google : Il ne s’agit pas de protéger les données privées de ses utilisateurs, mais de les récolter à son propre profit.
Pas de cryptage automatique des e-mails dans Gmail
Google laisse à l’utilisateur le soin de décider comment crypter un e-mail. Cependant, l’ajout d’une option de cryptage des e-mails dans Gmail reste aussi compliqué que pour tout autre service de messagerie : Les utilisateurs doivent activer la prise en charge de PGP dans leurs clients de messagerie, générer et gérer leurs propres clés et s’assurer que ces clés sont conservées en sécurité sur leurs appareils. Même dans ce cas, le cryptage des e-mails mobiles est pratiquement impossible.
Google souhaite laisser à l’utilisateur la décision finale d’utiliser ou non le cryptage, mais l’expert en cryptographie Matthew Green critique sévèrement cette décision sur Twitter, la qualifiant de “décision intéressée”:
Google en 2007 : HTTPS ? Cela devrait être le choix de l’utilisateur.
Google en 2017 : Le cryptage de bout en bout ? Cela devrait vraiment être le choix de l’utilisateur.
Plus les gens utilisent le cryptage des e-mails, mieux c’est.
Chez Tutanota, nous croyons en notre droit à la vie privée et nous nous battons nous-mêmes pour le défendre avec le cryptage automatique des e-mails. Si Gmail avait adopté le cryptage automatique de bout en bout pour tous, cela aurait fait une énorme différence dans le niveau actuel de sécurité en ligne. L’Internet aurait été beaucoup plus sûr pour des millions d’utilisateurs et la surveillance de masse illégale en ligne aurait été impossible.
Malheureusement, la décision de Google d’abandonner E2EMail en 2017 a montré que nous ne devrions pas faire confiance aux grandes organisations avec nos informations privées.
Comme Google n’a pas tenu sa promesse aux utilisateurs une fois auparavant, la probabilité que la nouvelle démarche visant à apporter le chiffrement de bout en bout à Gmail reste limitée aux clients professionnels payants est plutôt élevée.
Il était peut-être illusoire, dès le départ, de croire qu’une entreprise aussi axée sur l’exploitation des données des utilisateurs et l’affichage de publicités ciblées se mettrait soudainement à protéger le droit à la vie privée de ses utilisateurs en intégrant un chiffrement de bout en bout dans Gmail.
Si nous voulons vraiment protéger notre vie privée, nous devons prendre les choses en main. Et c’est exactement ce que nous avons fait chez Tutanota ces deux dernières années : Construire une messagerie électronique cryptée de bout en bout, facile à utiliser et gratuite pour tous. Dans Tutanota, l’ensemble de votre boîte aux lettres est crypté de sorte que personne - pas même nos développeurs - ne peut lire vos courriels personnels.
Si vous voulez reprendre complètement votre vie privée, lisez nos recommandations sur la façon de laisser Google derrière vous et découvrez ce qui fait de Tutanota une véritable alternative à Gmail.