Carte postale ou LRAR ?

Sécurité des domaines de courriel

Pourquoi ce téléservice expérimental

Quand il envoie ou reçoit un courriel, un internaute ne sait pas comment transitent les messages précisément. Parfois, cela le conduit à apporter trop de crédit à un message, alors que l'identité de l'émetteur n'est absolument pas assurée. De fil en aiguille, se tissent les bases d'usurpations d'identité et de fraudes diverses.

Inversement considérer des courriels comme des cartes postales (faciles à imiter, falsifier, intercepter, etc.) a un coût collectif important, en ruinant la confiance dans le premier des outils de communication numérique.

La confiance à accorder dans les systèmes de courriers électroniques dépend en fait des moyens effectivement mis en œuvre par les gestionnaires techniques des domaines. Authenticité, confidentialité, intégrité, les standards techniques existent depuis plusieurs années et permettent de rendre un courriel semblable et même plus engageant qu'une LRAR (lettre recommandée avec accusé de réception). Un courriel transmis selon les protocoles à l'état de l'art est pratiquement « non répudiable » : l'auteur ne peut en changer un mot sans qu'on ne puisse le détecter.

Comme la consommation électrique des équipements domestiques, ces détails sont invisibles pour l'utilisateur final. L'ambition de ce téléservice expérimental est semblable aux étiquettes énergie et vise à apporter de la transparence sur les mesures de sécurité effectivement déployées car leur empilement n'est pas toujours assuré.

Le principe est simple : fournissez un nom de domaine, le serveur va analyser une demi-douzaine de critères et fournir une évaluation de synthèse. En complément, son rapport détaille les informations techniques de bas niveau. L'utilisateur peut transmettre la fiche d'analyse aux équipes informatiques de l'organisation ou ses fournisseurs pour permettre une mise à niveau.

Pour les fournisseurs

Ce téléservice peut également servir d'étalonnage pour les fournisseurs des ministères économiques et financiers dans le cadre du cahier des clauses simplifiées de cybersécurité (arrêté du 18 septembre 2018 - Legifrance).

Service du Haut Fonctionnaire de Défense et de Sécurité des ministères économiques et financiers, 120 rue de Bercy, 75012 Paris. Mentions légales