Qu’est-ce que MTA-STS et comment protège-t-il vos e-mails?

Hibou Gourou

Le courrier électronique est le principal responsable de la plupart des cyberattaques. Il s'agit d'un point d'accès facile pour les logiciels malveillants, les logiciels publicitaires, le spam et le phishing, et offre des opportunités infinies aux acteurs de la menace pour obtenir vos informations personnelles.

Pour atténuer ces menaces, des mesures de sécurité strictes doivent être mises en place pour les comptes de messagerie individuels et professionnels.

Sécurité et cryptage des e-mails

Malgré la popularité des autres modes de communication, la messagerie électronique reste la plus grande forme de données en transit pour tout individu ou organisation. Sécuriser le contenu de vos e-mails est une nécessité vitale.

La sécurité des e-mails implique l'inspection et le cryptage de tout le trafic d'e-mails entrant et sortant. Le chiffrement joue un rôle essentiel dans la préservation de la confidentialité du contenu des e-mails en garantissant des connexions SMTP (Simple Mail Transfer Protocol) sécurisées.

Jusqu'à récemment, le chiffrement n'était qu'une exigence facultative pour SMTP.

Comment fonctionne le cryptage des e-mails?

Le cryptage des e-mails est un processus d'ajout d'un chiffrement ou d'un morceau de code au contenu de votre message, le rendant indéchiffrable. En convertissant les données des e-mails en code, le contenu est protégé contre toute exposition non autorisée. En termes simples, votre e-mail est brouillé.

Pour plus de sécurité, le processus de cryptage utilise des clés publiques et privées où les clés cryptées sont échangées pour verrouiller et déverrouiller les e-mails codés. L'expéditeur crypte l'e-mail à l'aide de la cryptographie à clé publique et, par la suite, le destinataire utilise une clé privée pour déchiffrer le message reçu.

Le chiffrement est appliqué à l'ensemble du parcours d'un e-mail, du début à la fin. En tant que meilleure pratique, tous les e-mails entrants et sortants doivent être chiffrés, pas seulement ceux contenant des informations sensibles. Cela empêche les acteurs de la menace de gagner un point d'entrée dans votre système.

Un contexte et des problèmes avec SMTP

Lorsque le protocole SMTP est apparu en 1982, le cryptage des e-mails n'était pas une pratique courante et, par défaut, les e-mails étaient envoyés et reçus en texte brut. Pour introduire la sécurité au niveau du transport, la commande STARTTLS a été ajoutée à la fin des années 1990, qui offrait l'option de chiffrement via le protocole TLS (Transport Layer Security) .

Aussi prometteuse que puisse paraître la mise à niveau de TLS, elle a laissé intactes deux failles de sécurité:

  1. L'option de cryptage était juste cela: facultatif . Les e-mails non sécurisés étaient encore monnaie courante, provoquant un pic de cyber-attaques.
  2. Même avec le STARTTLS en place, il n'y avait aucun moyen d'authentifier l'identité du serveur de l'expéditeur car les serveurs SMTP ne valident pas les certificats.

L'arrivée de MTA-STS

En 2019, Google a finalement pris les devants et a annoncé l'adoption de la nouvelle norme MTA-STS (Mail Transfer Agent / Strict Transport Security) ( RFC8461 ).

Cela donne aux fournisseurs de services de messagerie la possibilité d'imposer TLS pour sécuriser les connexions SMTP et offre également la possibilité de refuser la livraison des e-mails aux hôtes MX qui n'offrent pas TLS avec un certificat de serveur fiable.

MTA-STS s'occupe enfin de tous les problèmes précédents avec SMTP en appliquant le cryptage entre les serveurs SMTP communicants. Mais comment ça marche réellement? Découvrons-le!

Comment fonctionne MTA-STS?

MTA-STS se met au travail en demandant à un serveur SMTP de communiquer uniquement avec un autre serveur SMTP à deux conditions:

  1. Le serveur SMTP doit être chiffré.
  2. Le nom de domaine sur le certificat du serveur correspond au domaine de la stratégie et les certificats sont à jour.

En utilisant une combinaison de DNS et HTTPS pour publier une stratégie, MTA-STS indique à l'expéditeur comment procéder si un canal de communication chiffré ne peut pas être initié.

Il est facile de mettre en œuvre MTA-STS du côté du destinataire, mais pour l'expéditeur, un logiciel de serveur de messagerie de soutien tel que ProtonMail  Devrait être utilisé.

Connexes: ProtonMail: la sécurité de messagerie dont vous avez besoin avec les fonctionnalités que vous souhaitez

Quels types d'attaques le MTA-STS atténue-t-il?

Les menaces suivantes sont rencontrées de front si MTA-STS est appliqué à vos communications par courrier électronique:

Attaques Man-In-The-Middle (MITM): Cette attaque est effectuée lorsqu'un attaquant intervient au milieu d'une communication entre deux parties pour voler ou modifier des données. Dans le cas d'un e-mail, cela signifierait généralement deux serveurs SMTP communicants. En utilisant MTA-STS, ces attaques peuvent être facilement évitées.

Attaques de rétrogradation: un acteur menaçant force un canal réseau à passer à un mode de transmission de données non sécurisé. À titre d'exemple, cette attaque peut rediriger un visiteur de site Web d'une version HTTPS d'un site vers une version HTTP. MTA-STS aide à lutter contre ces attaques en empêchant tout accès non autorisé.

Attaques d'usurpation DNS: ces attaques rusées modifient les enregistrements DNS de la destination prévue d'un utilisateur et le trompent en leur faisant croire qu'ils visitent un site ou un domaine légitime. La mise en œuvre de MTA-STS aide grandement à atténuer ces attaques.

En relation: Qu'est-ce que l'empoisonnement du cache DNS?

Maintenant que nous sommes familiarisés avec le MTA-STS, il est temps d'entrer en contact avec une nouvelle norme de reporting pour SMTP connue sous le nom de reporting TLS.

Qu'est-ce que le rapport SMTP TLS (TLS-RPT)?

Tout comme MTA-STS, TLS-RPT est une norme de rapport qui détecte les problèmes de connectivité et les écarts entre les applications d'envoi. Une fois activé, il envoie des rapports quotidiens sur les problèmes de connexion rencontrés par les serveurs externes lors de l'envoi de vos e-mails.

Considérez-le comme un outil de dépannage où les rapports peuvent être utilisés pour évaluer et trier les problèmes potentiels et les problèmes de configuration.

Quels types de problèmes résout TLS-RPT?

Rapports de diagnostic: les rapports TLS offrent des rapports de diagnostic au format de fichier JSON contenant des détails complets sur les e-mails entrants confrontés à des problèmes de livraison. Il détecte également les e-mails qui ont rebondi ou n'ont pas été livrés en raison d'une attaque de rétrogradation, par exemple.

Visibilité améliorée: en activant TLS-RPT, vous pouvez améliorer la visibilité sur tous vos canaux de messagerie. Cela vous permet de garder un œil sur toutes les données qui se dirigent vers vous, y compris les messages ayant échoué.

Rapports quotidiens: Les rapports de diagnostic sont envoyés au moins une fois par jour pour couvrir et observer en profondeur les politiques MTA-STS. Les rapports comprennent également des statistiques de trafic ainsi que des informations détaillées sur les erreurs et les échecs de livraison.

Lorsque tout le reste échoue, le cryptage prévaut

En raison de la nature en constante évolution des cybermenaces, des mesures de sécurité et une cryptographie strictes sont indispensables pour une livraison sûre et sécurisée des e-mails.

Grâce aux différents fournisseurs de messagerie offrant de solides capacités de cryptage et aux normes MTA-STS, les transferts d'e-mails entièrement sécurisés ne sont plus une réalité exagérée.