Gmail était utilisé par 20 % de la population mondiale en 2018 - et les chiffres ont dû augmenter depuis. Pas étonnant que Google investisse dans la sécurité de ses produits.
Il faut reconnaître que chez Google, ils ont vraiment bons pour communiquer sur la sécurité de leurs produits. Le mode confidentiel a été conçu dans ce but. Selon l'entreprise, grâce à cette fonctionnalité, "vos utilisateurs peuvent protéger des informations sensibles contre le partage non autorisé ou accidentel. En effet, il n'est pas possible de transférer, copier, imprimer ou télécharger ces messages ni leurs pièces jointes."
Cette fonctionnalité vous permet de faire 3 choses principales :
Tout cela semble intéressant sur le papier. Finalement obtenir le contrôle sur les e-mails qui pourraient contenir des informations sensibles, n'est-ce pas une fonctionnalité sympa ?
Sauf que, d’un point de vue pragmatique, le mode confidentiel n'est pas plus sûr qu'une communication ordinaire. En résumé : Il est utile pour réduire la probabilité de partager accidentellement des messages. Pas beaucoup plus.
Avant de comprendre pourquoi, voyons rapidement ensemble comment fonctionne le Mode. Si vous voulez passer directement à la conclusion, vous pouvez sauter les parties suivantes.
Sur la documentation de Google, il est écrit : "Lorsqu'un message est envoyé en mode confidentiel, Gmail remplace le corps du message et les pièces jointes par un lien. Seuls l'objet et le lien sont envoyés, en utilisant le protocole SMTP.”
Concrètement, si votre destinataire utilise un client de messagerie tiers, il verra un lien à la place du message (voir image ci-dessous). S'il utilise Gmail, le message original sera incorporé dans le message confidentiel, ce qui le fera apparaître comme un e-mail normal.
Lorsque vous rédigez un e-mail, cliquez sur l'icône de cadenas en bas à droite.
Comme évoqué plus haut, il existe deux options : choisir une date d’expiration, ou exiger un code par SMS.
À titre d’exemple, un email confidentiel ressemble à ça :
Si vous sélectionnez l’option du code par SMS, indiquez le numéro de téléphone de votre destinataire.
Votre interlocuteur recevra cet email.
Votre destinataire doit cliquer sur “Envoyer le mot de passe” pour aller plus loin (si vous avez activé cette option).
Le destinataire recevra le code de validation, et devra le renseigner.
Et voilà ! Votre destinataire peut désormais lire votre email jusqu’à la date d’expiration que vous avez indiquée.
Le mode confidentiel ne fonctionne qu’avec du texte ou des pièces-jointes sous forme d’image. Donc si vous souhaitez partager des documents confidentiels par exemple, ce mode n’est d’aucune utilité.
Comme Google le souligne, "[Le mode confidentiel] ne peut pas empêcher les destinataires de faire des captures d'écran ou des photos de vos messages ou des pièces jointes." Cela signifie que si votre destinataire veut à tout prix partager les informations qu'il a reçues, il peut le faire.
Pire encore, alors que Google affirme que les utilisateurs ne peuvent pas transférer les e-mails, la réalité est autre. La couche de sécurité que Gmail ajoute est que seul le destinataire prévu peut ouvrir le lien menant à l'e-mail original. Pour y accéder, vous devez être connecté à votre compte Google en tant que destinataire légitime (voir image ci-dessous).
On pourrait penser que Google ont ajouté une étape supplémentaire de sécurité, mais tout ce que j’y vois, c’est une fantastique opportunité pour créer un email de phishing. Je n’en dirai pas plus, mais je parie que ce modèle d’attaque sera rapidement inclu dans les simulations de phishing que propose Cyrius…
Le vrai problème du mode confidentiel est qu'il donne une illusion de confidentialité à vos utilisateurs, alors que vous pouvez toujours accéder au contenu de ce qu'ils ont envoyé. Concrètement, le mode confidentiel n’empêche pas l’employeur d’accéder au contenu des emails de leurs employés. Des limites doivent être fixées pour que vos employés sachent clairement ce qu'ils peuvent attendre de ces fonctionnalités.
Pas de commentaires sur cette partie, l'utilisation de Gmail et des produits Google en général est conditionnée à la confiance que vous accordez aux GAFAM. Des fournisseurs de messagerie alternatifs sont disponibles, j'écrirai plus sur ce sujet dans le futur.
Les préoccupations sur la confidentialité et la sécurité des données sont de plus en plus importantes, ce qui est une bonne chose. Le mode confidentiel est une bonne première étape pour reprendre le contrôle de la manière dont vous partagez les informations, que ce soit en tant que particulier ou en tant qu'employé.
Il ne s'agit pas pour autant d'une solution miracle, et en réalité, il n'apporte qu'une contribution modeste à la sécurité réelle des données. Restons prudent quant aux capacités et aux limites réelles des fonctionnalités dites "confidentielles". Elles peuvent nous induire en erreur en nous faisant croire que nous sommes en sécurité, quand ce n’est pas forcément le cas.
En tant qu’entreprise, vous souhaitez que vos équipes soient conscientes des enjeux liés à la sécurité des données. Cyrius peut vous aider à :