Le manque de sécurité des protocoles de courriers électroniques (« Sécurité informatique : les courriels d’aujourd’hui sont les lettres d’hier »), les risques liés à la réception de courriels (« Sécurité informatique : Je t’aime »), et les dangers relatifs à l'ouverture de pièces jointes (« Sécurité informatique : faut-il faire confiance aux URL ? ») ont fait l'objet de nombreux articles dans les éditions précédents du Bulletin. Toutefois, avez-vous déjà pensé aux risques auxquels vous exposez vos données lorsque vous envoyez un courriel ?
Les protocoles de courriers électroniques n'ont jamais eu pour but de protéger ou de préserver la confidentialité des données. Les logiciels de chiffrement, tels que PGP (Pretty Good Privacy) ou GnuPG (ou GPG, pour GNU Privacy Guard), fonctionnent mal et impliquent que votre destinataire dispose des moyens nécessaires pour lire votre courriel chiffré. Les messageries instantanées telles que Threema ou Signal sont plus efficaces et garantissent une confidentialité totale lors de communications pair-à-pair (notez que Telegram n'active pas automatiquement le chiffrement de bout-en-bout), même s'il reste un petit risque que certains pays (par exemple, les États-Unis concernant Signal et la Suisse concernant Threema) usent de leur pouvoir afin d'intercepter vos communications. Toutefois, les services de messagerie électronique ne fournissent pas de telles garanties. Étant donné que, par défaut, ils ne sont pas chiffrés, votre fournisseur de services de messagerie électronique peut accéder aux courriels stockés dans son système (il s'agit en fait du modèle de fonctionnement de gmail : comme le service est gratuit, vos données font office de paiement). Si, par ailleurs, votre messagerie électronique n'utilise pas de protocoles tels que HTTPS, IMAPS ou POPS, cela signifie que votre courriel en transit n'est pas chiffré non plus. Les échanges de courriels entre adresses électroniques du CERN et les courriels transitant par le réseau du Laboratoire peuvent être considérés comme raisonnablement sûrs. Le service de messagerie électronique, actuellement hébergé sur le domaine du CERN, sera transféré à l'avenir sur un service cloud contractuellement tenu au respect de la confidentialité. Les courriels se trouvant dans votre boîte aux lettres électronique sont donc bien protégés. Par ailleurs, la messagerie électronique utilise les protocoles HTTPS, IMAPS et POPS par défaut.
Par conséquent, au CERN, la sécurité et la confidentialité de vos données sont garanties. Attention, ces garanties disparaissent si votre destinataire redirige votre courriel vers une adresse électronique externe ou si vous envoyez votre courriel à un e-group contenant des adresses électroniques externes. Par conséquent, si vous recevez régulièrement des courriels confidentiels, veillez à ne pas les rediriger automatiquement vers une adresse électronique externe (vous pouvez vérifier vos paramètres en cliquant sur le lien suivant : https://account.cern.ch/account/Management/MyAccounts.aspx), en particulier si vous êtes membre du personnel du CERN. En outre, si votre service reçoit des courriels confidentiels, assurez-vous que la liste de distribution du département ne contient que des adresses du CERN et aucune adresse externe. Il est toujours préférable d'utiliser le service CERNBox pour transférer ou communiquer des informations confidentielles. Le service CERNBox est hébergé au CERN, le contenu des transferts est chiffré et toutes les données sont protégées physiquement par le Centre de données du CERN à Meyrin (« Évitez les fuites de courrier »). Restez sur vos gardes et aidez-nous à protéger l’Organisation : ne compromettez pas la confidentialité de vos données en redirigeant vos courriels.
______
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, consultez notre rapport mensuel en anglais. Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.