Gmail était utilisé par 20 % de la population mondiale en 2018 - et les chiffres ont dû augmenter depuis. Pas étonnant que Google investisse dans la sécurité de ses produits.
Il faut reconnaître que chez Google, ils ont vraiment bons pour communiquer sur la sécurité de leurs produits. Le mode confidentiel a été conçu dans ce but. Selon l'entreprise, grâce à cette fonctionnalité, "vos utilisateurs peuvent protéger des informations sensibles contre le partage non autorisé ou accidentel. En effet, il n'est pas possible de transférer, copier, imprimer ou télécharger ces messages ni leurs pièces jointes."
Cette fonctionnalité vous permet de faire 3 choses principales :
- Donner une date d'expiration à un message.
- Révoquer l'accès aux messages à tout moment
- Exiger un code de vérification par SMS pour ouvrir les messages.
Tout cela semble intéressant sur le papier. Finalement obtenir le contrôle sur les e-mails qui pourraient contenir des informations sensibles, n'est-ce pas une fonctionnalité sympa ?
Sauf que, d’un point de vue pragmatique, le mode confidentiel n'est pas plus sûr qu'une communication ordinaire. En résumé : Il est utile pour réduire la probabilité de partager accidentellement des messages. Pas beaucoup plus.
Avant de comprendre pourquoi, voyons rapidement ensemble comment fonctionne le Mode. Si vous voulez passer directement à la conclusion, vous pouvez sauter les parties suivantes.
Comment fonctionne le mode confidentiel
Sur la documentation de Google, il est écrit : "Lorsqu'un message est envoyé en mode confidentiel, Gmail remplace le corps du message et les pièces jointes par un lien. Seuls l'objet et le lien sont envoyés, en utilisant le protocole SMTP.”
Concrètement, si votre destinataire utilise un client de messagerie tiers, il verra un lien à la place du message (voir image ci-dessous). S'il utilise Gmail, le message original sera incorporé dans le message confidentiel, ce qui le fera apparaître comme un e-mail normal.
Comment envoyer un e-mail confidentiel avec Gmail ?
Lorsque vous rédigez un e-mail, cliquez sur l'icône de cadenas en bas à droite.
Comme évoqué plus haut, il existe deux options : choisir une date d’expiration, ou exiger un code par SMS.
À titre d’exemple, un email confidentiel ressemble à ça :
Si vous sélectionnez l’option du code par SMS, indiquez le numéro de téléphone de votre destinataire.
Votre interlocuteur recevra cet email.
Votre destinataire doit cliquer sur “Envoyer le mot de passe” pour aller plus loin (si vous avez activé cette option).
Le destinataire recevra le code de validation, et devra le renseigner.
Et voilà ! Votre destinataire peut désormais lire votre email jusqu’à la date d’expiration que vous avez indiquée.
Les inconvénients du mode confidentiel
Ne fonctionne pas avec les pièces-jointes
Le mode confidentiel ne fonctionne qu’avec du texte ou des pièces-jointes sous forme d’image. Donc si vous souhaitez partager des documents confidentiels par exemple, ce mode n’est d’aucune utilité.
N’empêche pas les captures d’écran
Comme Google le souligne, "[Le mode confidentiel] ne peut pas empêcher les destinataires de faire des captures d'écran ou des photos de vos messages ou des pièces jointes." Cela signifie que si votre destinataire veut à tout prix partager les informations qu'il a reçues, il peut le faire.
Peut être utilisé à des fins malveillantes
Pire encore, alors que Google affirme que les utilisateurs ne peuvent pas transférer les e-mails, la réalité est autre. La couche de sécurité que Gmail ajoute est que seul le destinataire prévu peut ouvrir le lien menant à l'e-mail original. Pour y accéder, vous devez être connecté à votre compte Google en tant que destinataire légitime (voir image ci-dessous).
On pourrait penser que Google ont ajouté une étape supplémentaire de sécurité, mais tout ce que j’y vois, c’est une fantastique opportunité pour créer un email de phishing. Je n’en dirai pas plus, mais je parie que ce modèle d’attaque sera rapidement inclu dans les simulations de phishing que propose Cyrius…
Pour les entreprises : Les messages confidentiels peuvent toujours être stockés dans votre coffre-fort Google (si l'expéditeur est interne à votre organisation)
Le vrai problème du mode confidentiel est qu'il donne une illusion de confidentialité à vos utilisateurs, alors que vous pouvez toujours accéder au contenu de ce qu'ils ont envoyé. Concrètement, le mode confidentiel n’empêche pas l’employeur d’accéder au contenu des emails de leurs employés. Des limites doivent être fixées pour que vos employés sachent clairement ce qu'ils peuvent attendre de ces fonctionnalités.
Et bien sûr, vous devez faire confiance à Google pour la confidentialité de vos données
Pas de commentaires sur cette partie, l'utilisation de Gmail et des produits Google en général est conditionnée à la confiance que vous accordez aux GAFAM. Des fournisseurs de messagerie alternatifs sont disponibles, j'écrirai plus sur ce sujet dans le futur.
Conclusion
Les préoccupations sur la confidentialité et la sécurité des données sont de plus en plus importantes, ce qui est une bonne chose. Le mode confidentiel est une bonne première étape pour reprendre le contrôle de la manière dont vous partagez les informations, que ce soit en tant que particulier ou en tant qu'employé.
Il ne s'agit pas pour autant d'une solution miracle, et en réalité, il n'apporte qu'une contribution modeste à la sécurité réelle des données. Restons prudent quant aux capacités et aux limites réelles des fonctionnalités dites "confidentielles". Elles peuvent nous induire en erreur en nous faisant croire que nous sommes en sécurité, quand ce n’est pas forcément le cas.
En tant qu’entreprise, vous souhaitez que vos équipes soient conscientes des enjeux liés à la sécurité des données. Cyrius peut vous aider à :
- Créer une culture sécurité saine et partagée par tous
- Eduquer vos équipes aux meilleures pratiques du monde numérique
- Les entraîner avec des situations réelles
- Les pousser à créer et maintenir de meilleures habitudes en ligne
