Article précédent
Usage de l’authentification dans le domaine bancaireArticle de référence | Réf : H5330 v1
Auteur(s) : Patrick MAIGRON
Date de publication : 10 oct. 2003
Article suivant
Le spamCet article fait partie de l’offre
Sécurité des systèmes d'information (83 articles en ce moment)
Cette offre vous donne accès à :
Une base complète et actualisée d'articles validés par des comités scientifiques
Un service Questions aux experts et des outils pratiques
Des Quiz interactifs pour valider la compréhension et ancrer les connaissances
Quitter la lecture facile
1.1 Problèmes de sécurité liés à la messagerie électronique
La messagerie électronique repose sur l’utilisation d’un ensemble de protocoles normalisés par l’IETF (Internet Engineering Task Force), dont les plus importants sont :
SMTP (Simple Mail Transfer Protocol) pour l’échange des messages électroniques entre serveurs de messagerie ;
POP (Post Office Protocol) et IMAP (Internet Mail Access Protocol) pour la lecture des messages stockés sur un serveur à partir d’un agent de messagerie.
Le positionnement de ces différents protocoles est illustré sur la figure 1 a .
Dans leur version classique, ces protocoles véhiculent les messages électroniques en clair, ce qui pose le problème de l’écoute passive des messages en transit, aussi bien sur le réseau Internet que dans le réseau d’entreprise. D’autre part, il est également possible d’usurper une identité lors de l’émission d’un message, soit en se connectant manuellement à un serveur SMTP, soit même en configurant convenablement un agent de messagerie. Enfin, les messages peuvent être modifiés durant leur transit, de manière accidentelle ou intentionnelle par un utilisateur malveillant.
Il est possible de sécuriser les échanges au niveau des protocoles SMTP, POP ou IMAP au moyen de techniques de type SSL (Secure Sockets Layer) ou TLS (Transport Layer Security). Dans ce cas, les serveurs et les clients de messagerie peuvent s’authentifier mutuellement et l’échange des messages entre eux peut être chiffré. De nombreuses implémentations de ces protocoles intègrent désormais une couche logicielle SSL/TLS.
Cependant, ces extensions SSL/TLS visent à assurer la sécurité au niveau des protocoles de transfert des messages (SMTP, POP, IMAP) et sur des échanges de proche en proche (entre deux serveurs de messagerie ou entre un client et un serveur). PGP et S/MIME ont tous deux été conçus pour offrir des services de sécurité au niveau du dialogue entre les utilisateurs de la messagerie électronique eux-mêmes et sur des échanges de bout en bout. Ils utilisent des mécanismes de signature numérique et de chiffrement afin d’assurer l’authentification de l’émetteur, la non-répudiation de l’émetteur, l’intégrité et la confidentialité des échanges. Leur positionnement...
Vous êtes abonné à cette offre ?
Connectez-vous !
Vous souhaitez découvrir cette offre ?
Cet article est inclus dans l'offre :
SÉCURITÉ DES SYSTÈMES D'INFORMATION
(1) - ATKINS (D.), STALLINGS (W.), ZIMMERMANN (P.) - PGP Message Exchange Formats - . RFC 1991, IETF (août 1996).
(2) - CALLAS (J.), DONNERHACKE (L.), FINNEY (H.), THAYER (R.) - OpenPGP Message Format - . RFC 2440, IETF (nov. 1998).
(3) - DUSSE (S.), HOFFMAN (P.), RAMSDELL (B.), LUNDBLADE (L.), REPKA (L.) - S/MIME Version 2 Message Specification - . RFC 2311, IETF (mars 1998).
(4) - DUSSE (S.), HOFFMAN (P.), RAMSDELL (B.), WEINSTEIN (J.) - S/MIME Version 2 Certificate Handling - . RFC 2312, IETF (mars 1998).
(5) - RAMSDELL (B.) (éd.) - S/MIME Version 3 Certificate Handling - . RFC 2632, IETF (juin 1999).
(6) - RAMSDELL (B.) (éd.) - S/MIME Version 3 Message Specification - . RFC 2633, IETF (juin 1999).
...
PGP Corporation http://www.pgp.com
The International PGP Home Page http://www.pgpi.org
The GNU Privacy Guard http://www.gnupg.org
GPA - The GNU Privacy Assistant http://www.gnupg.org/related_software/gpa
PGP Key Servers http://www.pgp.net
OpenPGP Public Key Server http://www.keyserver.net
The comp.security.pgp FAQ http://www.pgp.net/pgp-faq
OpenPGP en français http://www.openpgp.fr.st
RSA Security, S/MIME Central https://www.rsa.com/fr-fr
VeriSign, Digital IDs for Secure E-mail http://www.verisign.com/products/class1
Thawte France https://www.fr.thawte.com
Certplus http://www.certplus.com
IETF, S/MIME Mail Security Working Group http://www.ietf.org/html.charters/smime-charter.html
HAUT DE PAGEDÉTAIL DE L'ABONNEMENT :
TOUS LES ARTICLES DE VOTRE RESSOURCE DOCUMENTAIRE
Accès aux :
Articles et leurs mises à jour
Nouveautés
Archives
Articles interactifs
Formats :
HTML illimité
Versions PDF
Site responsive (mobile)
Info parution :
Toutes les nouveautés de vos ressources documentaires par email
DES ARTICLES INTERACTIFS
Articles enrichis de quiz :
Expérience de lecture améliorée
Quiz attractifs, stimulants et variés
Compréhension et ancrage mémoriel assurés
DES SERVICES ET OUTILS PRATIQUES
Votre site est 100% responsive, compatible PC, mobiles et tablettes.
FORMULES
| Formule monoposte | Autres formules | |
|---|---|---|
| Ressources documentaires | ||
| Consultation HTML des articles | Illimitée | Illimitée |
| Quiz d'entraînement | Illimités | Illimités |
| Téléchargement des versions PDF | 5 / jour | Selon devis |
| Accès aux archives | Oui | Oui |
| Info parution | Oui | Oui |
| Services inclus | ||
| Questions aux experts (1) | 4 / an | Jusqu'à 12 par an |
| Articles Découverte | 5 / an | Jusqu'à 7 par an |
| Dictionnaire technique multilingue | Oui | Oui |
|
(1) Non disponible pour les lycées, les établissements d’enseignement supérieur et autres organismes de formation. |
||
| DEMANDER UN DEVIS | ||
Information
Quiz d'entraînement bientôt disponible
