Le M3AAWG (groupe de travail portant sur la messagerie, les logiciels malveillants et la lutte contre l’abus par voie mobile) a publié aujourd’hui ce document pour encourager l’adoption de TLS opportuniste, ainsi que d’autres mesures basiques de cryptage. Il s’agit de pratiques essentielles au niveau mondial pour toutes les entreprises ayant leur propre serveur de messagerie.
L’Internet Architect Board, un comité de l’organisation IETF qui participe à l’élaboration des normes, a publié un communiqué en novembre. Celui-ci appelle les opérateurs à " utiliser le cryptage là où il n’est pas encore utilisé ". Une position de plus en plus partagée dans le secteur, comme l’illustre la discussion vidéo de M3AAWG sur le cryptage des e-mails, à laquelle participaient des ingénieurs des messagerie Facebook et Google. Prenant acte du fait que les technologies de cryptage exigent souvent un investissement considérable en termes de temps et d’organisation, le document de M3AAWG suggère trois mesures de base permettant aux entreprises de protéger relativement vite un volume significatif de courriels.

Les recommandations s’appliquent aux entreprises travaillant avec des services de messagerie, et notamment aux fournisseurs de services de messagerie, aux opérateurs de réseaux, aux fournisseurs de services Internet et aux fournisseurs de messagerie. Elles devraient aussi être mises en œuvre dans les grandes sociétés et dans les petites et moyennes entreprises qui gèrent souvent leur propre serveur de messagerie.

" Internet exige un effort de coopération et aucun opérateur ne peut sécuriser complètement les e-mails de ses utilisateurs, même avec les politiques les plus strictes. La seule manière de protéger les utilisateurs finaux contre la surveillance généralisée et la cybercriminalité aujourd’hui consiste à ce que les opérateurs et les entreprises du monde entier prennent conscience de l’envergure du problème et à adoptent les mesures nécessaires pour sécuriser les messages lors de leur acheminement vers leur destination finale. Les recommandations de M3AAWG concernant TLS opportuniste mettent l’accent sur des technologies que les opérateurs peuvent mettre en œuvre dès maintenant. Il s’agit d’une première mesure pour protéger les courriels qui transitent par leurs serveurs et pour préserver la confiance des utilisateurs dans la sécurité d’Internet ", déclare Chris Roosenraad, président du conseil d’administration de M3AAWG.

Le problème jusqu’ici était que les e-mails transitaient par Internet sans codage. Les bonnes pratiques présentées dans " TLS for Mail : M3AAWG Initial Recommendations " (https://www.m3aawg.org/sites/maawg/files/news/M3AAWG_TLS_Initial_Recommendations-2014-12.pdf) préconisent l’utilisation d’un codage à trois niveaux :

Activer l’option de cryptage opportuniste dans TLS pour tous les serveurs de messagerie — ainsi, le système essaiera automatiquement de crypter le canal de communications lors de la réception d’e-mails provenant d’autres systèmes ou de l’envoi de courriels. TLS génère une clé ad hoc et n’exige pas d’échange pré-organisé de clé, ce qui simplifie le processus de cryptage.
Crypter le trafic e-mail sur les réseaux internes des fournisseurs de services
Utiliser le cryptage pour protéger les mots de passe des utilisateurs
Le Groupe de travail portant sur la messagerie, les logiciels malveillants et la lutte contre l’abus par voie mobile développe également une série de bonnes pratiques qui fourniront des informations détaillées sur la mise en oeuvre de TLS opportuniste et aborderont d’autres questions pertinentes. Les coprésidents du SIG ont annoncé les recommandations qui ont été publiées aujourd’hui et expliquent la feuille de route du groupe dans une vidéo incluse dans la playlist Pervasive monitoring sur la chaîne YouTube de M3AAWG : www.youtube.com/maawg.

À propos du M3AAWG (Groupe de travail portant sur la messagerie, les logiciels malveillants et la lutte contre l’abus par voie mobile)

Le Groupe de travail portant sur la messagerie, les logiciels malveillants et la lutte contre l’abus par voie mobile (M3AAWG) rassemble les acteurs du secteur pour lutter ensemble contre les bots, les logiciels malveillants, les spams, les virus, les attaques par déni de service et d’autres interventions malveillantes en ligne. Le M3AAWG (www.M3AAWG.org) représente plus d’un milliard de boîtes de réception de certains des plus grands opérateurs de réseaux du monde. Le groupe s’appuie sur le sérieux et l’expérience de ses membres à travers le monde, pour s’attaquer aux abus sur les réseaux existants et dans les nouveaux services émergents en exploitant la technologie, la collaboration et les politiques publiques. Il se consacre également à la sensibilisation des décideurs mondiaux aux questions techniques et opérationnelles liées à l’abus en ligne et à la messagerie. Basé à San Francisco, en Californie, le M3AAWG est axé sur les besoins du marché et soutenu par des opérateurs de réseaux et des fournisseurs de messagerie de premier plan.

Conseil d’administration duM3AAWG : AT&T (NYSE : T) ; CenturyLink (NYSE : CTL) ; Cloudmark, Inc. ; Comcast (NASDAQ : CMCSA) ; Constant Contact (NASDAQ : CTCT) ; Cox Communications ; Damballa, Inc. ; Facebook ; Google ; LinkedIn ; Mailchimp ; Orange (NYSE : ORA) (EURONEXT : ORA) ; PayPal ; Return Path ; Time Warner Cable ; Verizon Communications et Yahoo ! Inc.

Membresà part entière deM3AAWG : 1&1 Internet AG ; Adobe Systems Inc. ; AOL ; BAE Systems Detica ; Campaign Monitor Pty. ; Cisco Systems, Inc. ; CloudFlare ; Dyn ; iContact/Vocus ; Internet Initiative Japan (IIJ) (NASDAQ : IIJI) ; Level3 ; Litmus ; McAfee Inc. ; Microsoft Corp. ; Mimecast ; Nominum, Inc. ; Oracle Marketing Cloud ; Proofpoint ; Scality ; Spamhaus ; Sprint ; Symantec et Twitter.

Une liste complète des membres est disponible à l’adresse http://www.m3aawg.org/about/roster.