Gmail, Yahoo et Outlook adoptent de nouveaux protocoles d'e-mails pour lutter contre les pirates

Les trois fournisseurs viennent de mettre en place les protocoles MTA-STS et TLS Reporting qui ajoutent des mécanismes de chiffrement, d’authentification et d’analyse au transport SMTP. Objectif: empêcher les attaques par usurpation et interception.

L’info

Les services de messagerie Gmail, Yahoo et Outlook sont les premiers à avoir activé les nouveaux protocoles de sécurité MTA-STS (Mail Transfer Agent Strict Transport Security) et TLS Reporting (Transport Layer Security Reporting), que l’IETF a finalisé en septembre 2018.

Ce que cela implique

MTA-STS crée un nouveau mode de transfert SMTP entre les serveurs e-mail qui, dès lors que cette technologie est mise en place, les oblige à s’authentifier mutuellement et à chiffrer les flux d’e-mails avec le protocole TLS.
MTA-STS s’appuie, pour cela, sur des certificats électroniques. TLS Reporting, de son côté, permet à un serveur e-mail d’interroger ses congénères pour savoir si l’envoi de messages s’est bien passé ou non.

Ces deux nouveaux protocoles permettent aux fournisseurs de services de lutter contre les attaques dites « Man in the middle ». Par défaut, en effet, le transfert de messages par SMTP est en clair. Il est donc assez facile d’usurper l’identité d’un serveur et d’intercepter des messages. Ces attaques seront nettement plus difficiles à mettre en œuvre avec l’utilisation systématique de MTA-STS et TLS Reporting.
D’autres fournisseurs devraient rapidement intégrer ces nouveaux protocoles, dont Microsoft et Yahoo. Pour savoir si votre fournisseur les a activés, il suffit, par exemple, de renseigner son nom de domaine sur le site hardenize.com.    

Sources :