l’Almanet doLys Gnu/Linux – Open Source – Entreprises › Forums › L’almanet doLys Open Source › Mon optimisation pour sécuriser notre boîte mail
Mots-clés : chiffrement, email, mail, sécuriser boite mail, thunderbird
- This topic has 9 réponses, 5 participants, and was last updated il y a 2 years et 7 months by nam1962.
-
AuteurArticles
-
janvier 1, 2018 à 11:05 am #4069nam1962Keymaster
Sécuriser nos boites et comptes mails : trucs, astuces et méthode
La sécurisation d’une boîte e-mail est un sujet important et pourtant, vous comme moi trouvons cela fastidieux ! 😀
A tort ! Passez les trois tests de la première section de ce tuto : vous serez édifiés ! 😛
Après avoir aidé plusieurs amis ou entreprises qui se sont fait pirater ou voler leurs boites mails, j’ai une petite idée de ce qui permet de protéger nos mails en restant simples.
Aucune méthode n’est infaillible, mais avec ces conseils vous serez convenablement sereins : mieux vaut passer 15 minutes à s’assurer de la sécurité de nos emails que plusieurs jours à courir derrière quand on s’est fait pirater !
Je vous propose 5 étapes :
- les tests de l’intégrité de l’adresse mail
- le choix du fournisseur de boites mail
- l’organisation des adresses mail
- la méthode de gestion de ses mails, par webmail ou client mail
- la gestion des mots de passe
Nous commençons par tester notre adresse e-mail
- Premier test : cliquez sur ce lien –> mon adresse mail a-t’elle été l’objet de piratage ?
- Vous pouvez aussi utiliser Firefox Monitor
Ce test est très simple (à propos, son auteur utilise des ressources open source), il va, en gros, vous indiquer si un site sur lequel vous êtes enregistré s’est fait voler les adresses mail et mots de passe de ses visiteurs.
Il va aussi vous indiquer quel site est coupable !Ce test peut-être fait avec une adresse mail ou avec un pseudo, n’hésitez pas à tester les deux !
Ne nous affolons pas : dans beaucoup de cas, le vol de données est imparfait, car si le pirate a volé l’adresse mail, il n’a pas forcément volé le mot de passe ou, celui-ci étant chiffré, il ne l’a pas forcément en clair.
Et surtout, il n’a volé que le mot de passe que vous utilisiez sur le site en question.Par contre ce genre de vol explique une grande partie du spam : les hackers revendent les listes d’e-mail aux spammers !
- Second test, toujours chez haveibeenpwned : –> mon mot de passe est-il connu sur le darknet ?
( Cybernews propose là aussi un test )
Là aussi, l’inquiétude doit être relativisée : il s’agit peut-être du mot de passe de quelqu’un d’autre.
Cela dit, dans tous les cas, si ces test montrent que l’adresse, le pseudo ou le mail sont dans les listes, changez immédiatement de mot de passe (et éventuellement d’adresse mail si elle est trop repérée)
[Edit février – juin 2021] Si vous avez un compte gmail, hotmail ou yahoo (vous verrez en bas pourquoi ne pas en avoir) vérifiez aussi avec l’outil cybernews. (Ne souscrivez à rien chez eux : leurs outils ne sont pas spécialement intéressants, seule l’info sur le statut de votre compte par rapport à la liste de quelques milliards d’adresse compromises qu’ils ont obtenue est utile.)
- Troisième test : cliquez sur ce lien –> mon adresse e-mail est-elle considérée comme saine ?
Là aussi nous avons un test très simple : vous recopiez l’adresse fournie par le site et vous lui envoyez un email depuis le compte mail à tester, puis vous cliquez sur la case « vérifiez votre score ».
Vous obtiendrez une analyse complète et pourrez par exemple comprendre pourquoi vos mails atterrissent dans la boite spam de certains interlocuteurs !
Dans de nombreux cas, ce n’est pas votre compte mail lui-même qui a un problème, mais le domaine (monnom@domaine.com).
Si votre domaine est mal vu : soit changez de fournisseur, soit demandez à votre fournisseur (qui peut être le service informatique de votre société) de régler le souci.
Nous allons ensuite voir à qui nous confions la gestion de nos boites mails !
Nous entrons dans un sujet crucial où pourtant le plus grand laisser-aller règne.
Confieriez-vous vos contrats confidentiels ou vos lettres d’amour à un inconnu contre un vague reçu ?
Eh bien, c’est ce que la majorité des internautes fait (et je l’ai fait, donc je puis en rigoler sans cruauté !)
Tous les gros fournisseurs d’adresses gratuites sont cet inconnu.
Ils présentent deux problèmes :
1. ils lisent nos mails (pour nous balancer de la pub, histoire de se rémunérer, ou pour d’autres raisons moins avouables)
2. ils sont la cible permanente des hackers.Un exemple : Yahoo qui a vu des centaines de millions d’utilisateurs se faire pirater.
Je vous suggère deux solutions :
Solutions mail gratuites (mais forcément limitées d’une manière ou d’une autre)
Pour vos boites mails génériques ou sans besoin particulier de confidentialité, les prestataires dont c’est le métier, si possible avec mentalité open source.
- Free avec son offre mail gratuite historique (astuce : online.fr est un alias permanent)
- Infomaniak, hébergeur suisse qui a une offre mail gratuite
Solutions email payantes (mais pas trop et là c’est vous qui avez les clefs !)
Le métier des prestataires payants est de nous héberger et d’assurer notre sécurité et non de nous fourguer de la pub ou de revendre notre adresse.
- Si vous avez un site, bien sur utilisez votre hébergeur.
Je suis toujours étonné par les entreprises qui ont un site à leur nom : macheproh.com et par ailleurs une adresse mail @**mail.com plutôt que @macheproh.com - Si vous n’avez pas de site, de nombreux hébergeurs proposent des offres mail qui commencent à moins de 2€/mois (le prix de 4 timbres…)
- J’utilise, entre autres , PlanetHoster qui n’a pas d’offre pur mail, mais outre les mails, j’y ai mes sites, mon cloud, etc.. (comme il m’aime bien, si vous cliquez sur ce lien, il vous offrira un rabais de 10% avec le code : PHA-PLANETDOLYS )
C’est parfaitement abordable (ils ont même un plan gratuit) et c’est une excellente solution pour au moins votre adresse principale. Présentation de PlanetHoster.
En plus cela fait plus sérieux ! A moins de choisir un nom de domaine farfelu, évidemment.
Au moment de décider d’un nom de domaine, pensez juste : « et si je dois chercher un boulot avec ce domaine ? », ça vous évitera de choisir troulala.net ou bimbadaboum.com 😀
Puis nous allons organiser nos adresses mail
« Pourquoi met-il ça au pluriel ? je n’ai qu’une adresse, c’est plus pratique, non mais ! » vous dites-vous !
Là je vous contredit ! Il faut plusieurs adresses !
C’est une base de la sécurité (et ce n’est pas plus compliqué, vous verrez).
Si vous êtes un particulier, l’optimal est :
- Une adresse chez votre hébergeur pour tout votre courrier important ou officiel
- Une adresse chez un prestataire gratuit mais sérieux pour vos achats et communications banales
- Une adresse gratuite pour vos communications poubelle (inscriptions test sur le net, trucs légers, etc 😉 )
Comme ça vous ségréguez vos risques (et si un prestataire est en panne, vous survivez aisément.)
Si vous êtes une entreprise, pensez à offrir à vos collaborateurs deux adresses mail
- Une pour les communications externes
- Une pour les communications internes
Et ceci, même si vous utilisez un intranet ou des outils collaboratifs comme Slack, Github, Trello ou autre.
Vous verrez, cela simplifie la vie et… que ce soit pour un particulier ou une entreprise, cela permet une piste d’audit qui fait comprendre facilement d’où vient un risque sur les mails.
Astuce : sur toute adresse mail, triez en amont avec +
L’utilisation de l’adresse e-mail + est utile.
En admettant que votre adresse e-mail soit moi@bidule.com, il vous suffit s’insérer un + avant le @, suivi de l’identifiant que vous décidez.
Exemple : moi+boulot@bidule.com
Vous recevrez toujours vos email à l’adresse d’origine (moi@bidule.com) mais vous verrez l’identifiant et pourrez savoir que c’est à classer dans comme mail « boulot« .
À quoi ça sert ?
Eh bien, ça sert à trier votre courrier et aussi à repérer les coquins qui revendent votre adresse e-mail.
Le jour ou vous recevez une pub pour un élixir universel avec l’identifiant moi+fournisseur@bidule.com, vous pouvez tranquillement aller demander à « fournisseur » comment il respecte RGPD 😉
Vérifiez cependant que le fournisseur permette ce type d’adresse en faisant un test.
Quoique ce soit une norme, tout le monde ne l’applique pas…On ne voit pas systématiquement les dossiers « plus » ainsi créés, avec Thunderbird, il suffit de s’y abonner , avec un webmail comme Roundcube ou Horde, il faut activer le dossier.
Si vous systématisez cette politique, vous pourrez en plus deviner que tout mail sans identifiant est un spam…
Dans le même genre, comme, ainsi que je vous l’ai dit plus haut, j’utilise @online.fr pour tous mes mails sur ma boite Free, je sais qu’un mail à moi@free.fr sera un spam !Avec quel outil gérer nos mails ?
Il y a deux outils possibles :
Le webmail (ou gestion des emails en ligne) à laquelle on accède via notre navigateur.
Je déconseille cette option :
- elle est fastidieuse (surtout si on a plusieurs boites mail, or il faut plusieurs boites mail comme nous l’avons vu)
- elle est plus risquée : mème si l’on sécurise son navigateur comme je sécurise Firefox, les hacker sont de plus en plus sophistiqués et peuvent créer de fausses pages webmail auxquelles tout le monde peut se faire prendre
- elle conduit (par flemmingite) à ne pas nettoyer nos historiques sur le navigateur, ce qui présente un risque supplémentaire
Le client mail, logiciel spécialisé dans la gestion des mails
Je préfère nettement cette solution, c’est bien mieux pour sécuriser et gérer les mails, il y a en particulier un client mail optimal que je décris en détail sur ce lien : Thunderbird
- on isole les mails du reste de la navigation sur le net
- on préserve le mot de passe qui est stocké dans le logiciel
- on gère sans soucis de multiples adresses mail
- on peut sauvegarder régulièrement ses mails (comme cela, même si le fournisseur tombe en panne on garde nos mails)
- on peut chiffrer nos mails
Le chiffrement des mails : un outil précieux pour la correspondance précieuse
Nous avons vu comment gérer nos différents types de courrier en créant une boite ad hoc.
Nous avons vu comment sécuriser les bases et choisir un prestataire de confiance.
Cela dit, un mail est un texte en clair, pour la correspondance critique il est judicieux de le chiffrer.
Si une faille subsiste, l’indiscret qui aurait réussi à intercepter notre correspondance en sera pour ses frais.
Pour chiffrer les emails dans Thunderbird, vous pouvez suivre ces étapes :
- Ouvrez Thunderbird et allez dans la fenêtre des paramètres. Cliquez sur le bouton du menu à trois lignes horizontales et sélectionnez « Paramètres du compte ». Assurez-vous de sélectionner le compte de messagerie avec lequel vous souhaitez travailler.
- Dans la fenêtre des paramètres, cliquez sur « Chiffrement de bout en bout » dans le volet de gauche, puis cliquez sur « Ajouter une clé ». Cela vous permettra de créer une clé GPG pour utiliser le chiffrement dans Thunderbird.
- Importez la clé publique du destinataire à qui vous souhaitez envoyer le courrier chiffré. Cliquez sur « Chiffrement de bout en bout » pour le compte de messagerie en question, puis cliquez sur « Gestionnaire OpenPGP ». Dans la fenêtre qui s’ouvre, cliquez sur « Fichier » > « Importer des clés publiques à partir du fichier » et importez la clé publique du destinataire.
- Rédigez un email pour le destinataire. Dans la fenêtre de composition, vous devriez voir un menu déroulant « OpenPGP ». Cliquez sur ce menu déroulant et sélectionnez « Chiffrer » pour chiffrer l’email. Alternativement, si vous tapez l’adresse email d’un destinataire avec une clé publique associée stockée, vous verrez un bouton « Chiffrer » en bas à droite de la fenêtre de composition. Cliquez sur ce bouton pour chiffrer l’email.
- Lorsque le destinataire reçoit l’email et a la clé privée correspondante, il peut déchiffrer et lire l’email.
Ou bien, vous pouvez utiliser le chiffrement OpenPGP pour les emails dans Thunderbird en suivant ces étapes :
- Vérifiez votre version de Thunderbird. Assurez-vous que vous utilisez Thunderbird v.78 ou une version ultérieure. Pour vérifier le numéro de version, allez dans la barre de menu de Thunderbird, sélectionnez « Aide » > « À propos de Thunderbird ».
- Ajoutez votre compte de messagerie dans Thunderbird. Allez dans « Édition » > « Paramètres du compte » > « Actions du compte » > « Ajouter un compte de messagerie » pour ajouter votre adresse email dans Thunderbird.
- Générez ou importez une paire de clés GPG. Si vous n’avez pas de paire de clés OpenPGP, vous pouvez en générer une dans Thunderbird. Si vous avez déjà une paire de clés gérée par GnuPG, vous pouvez l’importer dans Thunderbird.
- Partagez votre propre clé publique avec le destinataire. Faites un clic droit sur votre propre clé dans le gestionnaire de clés OpenPGP de Thunderbird et sélectionnez « Envoyer la (les) clé(s) publique(s) par email » pour envoyer votre clé publique en pièce jointe au destinataire.
- Activez le chiffrement OpenPGP dans Thunderbird. Allez dans « Paramètres du compte » > « Chiffrement de bout en bout » et sélectionnez votre clé pour votre compte de messagerie. Vous pouvez également activer des options comme l’exigence de chiffrement et l’ajout d’une signature numérique par défaut.
- Rédigez un nouveau message et sélectionnez les options de chiffrement et de signature souhaitées dans le menu déroulant « Sécurité ». Cliquez sur « Envoyer » pour envoyer l’email avec les paramètres de chiffrement et de signature choisis. Notez que si vous n’avez pas la clé publique du destinataire, vous ne pourrez pas lui envoyer de courrier chiffré.
En suivant ces étapes, vous pouvez chiffrer les emails dans Thunderbird pour garantir la confidentialité et la sécurité lors de la communication avec d’autres.
Maintenant, nous allons sécuriser et simplifier la gestion de nos mots de passe.
Comme vous avez vu, les adresses mail peuvent-être subtilisées.
Un vol de mot de passe et hop ! Un indésirable peut prendre la main sur nos comptes.
Carrément facile si on tombe sur un benêt qui utilise un mot de passe idiot comme 123456, sinon, le hacker va tenter des techniques de type brute force ou de type dictionnaire ou encore ingénierie sociale : mots courants, mots trouvés dans les communications de la cible, par exemple les gens qui ont un chien qui s’appelle Médor et qui pensent que le nom du chien va garder leur email 😛
Pour sécuriser nos comptes mail, nous allons donc prendre quelques précautions.
- les mots de passe des comptes mail doivent absolument être différents des mots de passe utilisés sur des sites !
- les gestionnaires de mots de passe sont une fausse bonne idée (surtout si ils sont stocké sur le cloud) : on concentre le risque à un endroit unique ! (Et les hackers le savent, donc ils ciblent ces services de gestion)
Ce qui est surtout important avec les technos actuelles est la longueur du mot de passe.
J’utilise désormais MasterPassword et son extension pour Firefox (disponible aussi pour Chromium)
– Avantage : totalement indépendant de votre accès (ordi/tablette/téléphone) et zéro stockage
– Inconvénient : (mineur car très simple) c’est juste dispo en anglais.J’utilise aussi Buttercup (en hébergeant les fichiers sur mon ordinateur, ou chez mon hébergeur)
Avant de terminer : quelques conseils pour l’interface chaise/clavier
Ce qu’il y a entre la chaise et le clavier est un important facteur de sécurité… or c’est nous !
Les hackers sont de plus en plus tortueux et ils cherchent aussi à abuser l’utilisateur : après tout, plutôt que du brute force, il est plus facile de demander poliment à l’utilisateur son mot de passe !
Ne rigolez pas, je décris sur ce lien un exemple de phishing : la conception même montre que le pirate a réfléchi et construit patiemment le piège ! (bon, je ne suis pas tombé dedans ce coup là 😉 )
Et le même type de piège peut-être tendu en simulant votre banque ou votre fournisseur d’électricité…
Donc, prêtez l’attention nécessaire (sans devenir parano, hein !) à tout mail inhabituel. Sécurisez votre navigateur, bien sûr.
Enfin, faîtes attention à votre OS : je suis sous Linux et du coup, je peux me permettre d’ouvrir des mails pour les étudier, sans risque de voir mon ordi torpillé. Je vous conseille, vous aussi d’avoir un ordinateur sous Linux
- Pour un particulier ça me semble évident.
- Pour une entreprise, avoir au moins une partie du parc sous Linux est également logique.
Particulier ou professionnels auront les même résultats : sécurité accrue, coût nettement moindre !
Voilà ! Nous pouvons maintenant respirer, et gérer nos mails sans appréhension !
Bonus : la sécurité de votre parc d’ordinateurs
N’hésitez pas à poser des questions sur ce tuto, grâce à vous il pourra s’améliorer.
Si vous avez des questions concernant votre entreprise, je serai ravi d’y répondre à titre professionnel.
[Bonus] Si vous voulez voir les infos disponibles (en particulier adresses mail) de votre domaine : https://github.com/laramies/theHarvester
[Bonus 2] – Pour ceux qui veulent de l’open source chiffré (mais un peu fastidieux) voici quelques solutions.
Un jeune site que j'aime bien, la ferrari du T-shirt ...bio en plus : GoudronBlanc
juin 10, 2019 à 1:45 pm #11501Zimba85ParticipantBonjour Nam juste au passage une suggestion, une boite mail gratuite et cryptée. Qu’en penses-tu ? Perso je l’ai installée et ça à l’air de bien fonctionner
Le lien protonmail
il s’agit de Protonmail. Amitiés.juin 10, 2019 à 3:15 pm #11503nam1962KeymasterHello Zimba,
si tu as une utilisation très limitée, ce peut-être une solution, maintenant, ça devient vite payant et là, avoir son propre hébergement est nettement plus sain et moins coûteux 😉Un jeune site que j'aime bien, la ferrari du T-shirt ...bio en plus : GoudronBlanc
janvier 24, 2020 à 3:58 pm #11639bicounet18ParticipantBonjour,
et merci pour ce super article.
Question : Comment utiliser de l’adresse e-mail + avec thunderbird ?.janvier 30, 2020 à 8:48 pm #11643PascaltechParticipantBonjour,
Qu’est-ce qui vous dit que ces sites de test de boîte e-mail ne sont pas des site de hameçonnage ?janvier 30, 2020 à 11:26 pm #11645jibelModeratorPas de panique, lors des réglages des courrielleurs, il ne devait pas y avoir des ennuis d’hameçonnage… 😉
janvier 31, 2020 à 5:50 pm #11648nam1962KeymasterLa question est bonne, cela dit, ces sites sont utilisés et recommandés par nombre d’hébergeurs et d’experts en sécurité.
Un jeune site que j'aime bien, la ferrari du T-shirt ...bio en plus : GoudronBlanc
janvier 31, 2020 à 9:51 pm #11653jibelModeratorQuelle organisation de la plus belle panic … Ce qui n’existait pas il y a un 20tainens d’années 😉
Si on se réfère a ton tuto, il faudrait l’appliquer …. 😉septembre 6, 2021 à 12:19 am #12240jibelModeratorSalut a tous,
Ok Nam, j’ai juste un petit soucis avec une dernière installe d’un OS. impossible d’avoir une alerte sonore des arrivés de mails.Pourtant dans chacun de mes OSs T.B. est OK avec les réglages..
A chaque arrivés de mails j’entends l’alerte sonore de mon choix..Et malheureusement avec cet OS T.B. est OK sauf avec les alertes sonores…Y-en a ! Oui mais quand je clique sur « parcourir » rien se lance a ou se trouve les fichiers Wav ? ou se trouve la soluce? merci les gars a plus 😉mai 6, 2022 à 8:44 am #12368nam1962KeymasterVous avez du remarquer que La Poste avait été injoignable via Thunderbird.
J’avoue que leurs explications me laissent perplexe (et surtout la durée de l’incident).https://www.journaldugeek.com/2022/05/05/voici-pourquoi-vous-ne-recevez-plus-vos-mails-laposte-net/
Avoir raté à ce point le virage du numérique et laisser échapper un métier qui est l’évolution directe de leur image et de leur mission de service public… est confondant.
Je les laisse encore dans mon tuto, mais toute évolution de leur neutralité les en ferait sortir.
Un jeune site que j'aime bien, la ferrari du T-shirt ...bio en plus : GoudronBlanc
-
AuteurArticles
- Vous devez être connecté pour répondre à ce sujet.