NOUVEAU : la messagerie en ligne affiche quels serveurs sont dotés de la meilleure sécurité d'envoi

Créé le 18. August 2016, 17:30 | Catégorie: Info

Chers clients Posteo,

nous venons d’activer une nouvelle fonction pour vous : désormais, notre messagerie en ligne vous montre à quels contacts vous envoyez vos e-mails de la façon la plus sûre qui soit, ceci grâce à la technologie DANE. Vous pouvez le voir au petit symbole vert DANE au-dessus d’une adresse e-mail.



Pour nous, cette nouvelle fonction d’affichage DANE est très spéciale. En effet, quand nous avons introduit cette technologie de sécurité en mai 2014, Posteo était d’après le site heise.de le seul fournisseur de messagerie dans le monde (site en allemand) à prendre en charge DANE. De nombreux spécialistes en informatique doutaient encore à l’époque du fait que cette nouvelle technologie puisse s’imposer. Entre-temps, tout cela a bien changé et cela vaut déjà le coup d’afficher les serveurs qui prennent en charge DANE : nous envoyons systématiquement des messages avec DANE à de nombreux serveurs de messagerie dans le monde, notamment à de grands fournisseurs allemands comme 1&1 (entre autres GMX et web.de.

Cette technologie s’impose à juste titre : DANE élimine plusieurs failles du chiffrement lors de l’acheminement STARTTLS, utilisé très couramment entre les serveurs de messagerie, et augmente considérablement la sécurité du transport chiffré des e-mails et de la connexion aux sites internet. Sans DANE, le chiffrement d’une connexion n’est par exemple pas « imposé » mais renégocié à chaque fois. Avec DANE, les serveurs de messagerie qui communiquent entre eux sont obligés de chiffrer chaque connexion. Si un dysfonctionnement lors du chiffrement ou une attaque surviennent, l’e-mail n’est pas envoyé. De plus, les serveurs prenant DANE en charge vérifient leurs certificats de sécurité avant la transmission des e-mails, de la même façon qu’un contrôle de carte d’identité. Cela permet de vous assurer que l’autre serveur est la « cible effective » de la communication, et non pas un Homme du Milieu qui s’est inséré dans votre conversation. C’est pourquoi DANE permet de garantir à l’avance un envoi chiffré. Nous affichons donc le statut DANE dans notre messagerie en ligne. En bref : cet affichage garantit que votre e-mail sera acheminé avec DANE à votre destinataire. D’une part, son acheminement sera donc chiffré et d’autre part, cet e-mail sera envoyé au serveur de réception effectif.

Bon à savoir : la garantie de l’envoi par TLS vous protège aussi lors de l’envoi à des serveurs ne prenant pas DANE en charge

Si le symbole DANE ne vous est pas indiqué pour une adresse, cela signifie que le serveur d’entrée ne prend pas encore DANE en charge.
C’est par exemple toujours le cas pour de très grands fournisseurs comme Gmail ou Yahoo.
Certes, ils prennent en charge des connexions chiffrées entre les serveurs de messagerie. Mais sans DANE, en cas de dysfonctionnement lors du chiffrement ou d’une attaque, l’acheminement peut retourner à un stade non chiffré, comme nous l’expliquons plus haut. C’est pourquoi la sécurité d’une connexion entre deux serveurs de messagerie sans DANE ne peut pas être entièrement garantie.

Nous avons une remarque importante à ce sujet : chez Posteo, vous pouvez exclure tous les envois qui ne sont pas chiffrés par TLS.


Activez pour cela dans les paramètres de votre boîte mail Votre garantie d’envoi par TLS personnelle

Elle garantit que l’acheminement de vos e-mails se déroulera de façon chiffrée, par TLS, même quand les serveurs ne prennent pas DANE en charge. Si vous activez la garantie de l’envoi par TLS, nous enverrons vos e-mails uniquement s’ils peuvent être livrés de façon chiffrée. Si un envoi sûr via une connexion chiffrée est impossible, le transfert de l’e-mail sera interrompu et nous vous en informerons. Si des personnes non autorisées attaquent une connexion sûre et tentent de provoquer un retour vers une connexion non chiffrée, l’envoi est interrompu.

Bien cordialement
l’équipe Posteo

Conseil de lecture : Pourquoi Posteo affiche-t-il le statut DANE et non le statut TLS ?

Nouveau : la garantie de l'envoi par TLS pour plus de sécurité

Créé le 13. July 2016, 16:00 | Catégorie: Info

Chers clients de Posteo,

aujourd’hui, nous avons sorti une nouvelle fonction importante pour vous : notre garantie de l’envoi par TLS. Cette nouvelle fonction de sécurité vous protège contre l’envoi d’e-mails à des systèmes peu sûrs. Vous pouvez activer la fonction dès maintenant dans vos paramètres.

Les e-mails doivent transiter via des connexions chiffrées afin que les criminels et les services secrets ne puissent pas les lire. Trois ans après le scandale de la NSA, le chiffrement lors de l’acheminement (Transport Layer Security ou TLS) s’est très largement répandu, justement pour cette raison. Depuis, tous les grands services de messagerie l’ont activé dans leurs systèmes. Mais qu’en est-il des systèmes de messagerie auxquels vous envoyez quotidiennement des e-mails, au travail par exemple ? Pour les utilisateurs, il n’est pas possible de voir avant l’envoi d’un e-mail si les systèmes de messagerie de leurs partenaires commerciaux, de leurs médecins, associations ou écoles prennent en charge des connexions sécurisées.
Cependant, nos systèmes sont capables d’identifier cela. Posteo essaye en effet avant chaque envoi de mettre en place une connexion chiffrée avec l’autre serveur de messagerie afin de s’assurer de la sécurité de chaque envoi.

Si l’envoi ne peut pas se faire de façon sûre, la transmission sera alors interrompue.
C’est justement à ce moment-là qu’intervient notre nouvelle garantie d’envoi par TLS : si vous activez cette fonction de sécurité, nous n’envoyons vos e-mails que quand ils peuvent être délivrés en toute sécurité. Si un envoi sécurisé via une connexion chiffrée n’est pas possible, la transmission de l’e-mail est interrompue et vous recevez une notification de notre part. L’envoi est également interrompu si des tiers tentent d’attaquer une connexion sûre et de forcer le passage à une connexion non chiffrée.

Si nous vous informons de l’interruption de l’envoi, vous pouvez d’ailleurs décider de tout de même envoyer votre e-mail au système peu sûr. Dans ce cas, vous pouvez désactiver la garantie de l’envoi par TLS pour une courte durée et envoyer votre e-mail sans TLS, à titre d’exception.
Nous avons conçu cette nouvelle fonction de façon aussi pratique que possible : que vous gériez vos e-mails avec votre smartphone, dans la messagerie en ligne ou dans des programmes locaux comme Outlook ou Thunderbird, cela ne change rien. Chaque envoi d’e-mail est soumis à la vérification de sécurité TLS. Si vous envoyez un e-mail à plusieurs interlocuteurs, l’envoi sera seulement interrompu pour les destinataires
à qui l’e-mail ne peut pas être envoyé de façon sécurisée. Nous vous dirons ensuite par e-mail quels destinataires sont concernés par l’interruption de l’envoi.

#more#
Une nouvelle vérification de sécurité avant chaque envoi
Cette nouvelle fonction est synonyme de plus de clarté pour vous : vous savez à chaque fois quel est le degré de sécurité de communication de vos contacts. Pour des raisons de securité, une nouvelle vérification TLS est effectuée pour les destinataires déjà connus. Ainsi, nous sommes certains que vos e-mails sont envoyés de façon sûre si un serveur ne prend pas en charge le TLS pour une courte durée, par exemple en raison d’un problème technique ou d’une attaque.

Vous pouvez dès maintenant activer la garantie de l’envoi par TLS dans les paramètres de votre boîte mail Posteo, dans « Paramètres → Mon compte → Chiffrement lors de l’acheminement. »
Dans notre rubrique d’aide, vous trouverez un article sur la nouvelle garantie de l’envoi par TLS:https://posteo.de/fr/aide/activer-la-garantie-de-l-envoi-par-tls. Nous vous y expliquons comment activer ou désactiver la fonction et comment vous pouvez procéder si l’envoi d’un e-mail à un destinataire peu sûr a été interrompu.

Informations supplémentaires pour les spécialistes :
- La garantie de l’envoi par TLS empêche les attaques par downgrade qui visent le passage à une connexion non chiffrée.
- Les protocoles de chiffrement obsolètes ou peu sûrs comme SSLv3 ou RC4 ne sont pas tolérés : ils entraînent également une interruption de l’envoi.
- Les attaques de l’homme du milieu sont plus difficiles et empêchées systématiquement quand le serveur du destinataire utilise lui aussi DANE, tout comme Posteo.

En savoir plus sur le chiffrement chez Posteo
Le chiffrement lors de l’acheminement est un élément constitutif de notre concept de chiffrement innovant. Sur notre page d’information sur le chiffrement, vous pouvez découvrir d’autres fonctions. Vous pouvez notamment apprendre comment vous pouvez chiffrer aisément toutes les données enregistrées en un clic (stockage mail crypté, carnet d’adresses et chiffrement du calendrier). De plus, nous vous indiquons comment nous chiffrons tous les accès et données sensibles. Nous vous présentons enfin nos fonctions en matière de chiffrement de bout en bout (annuaire de clés, PGP dans la messagerie en ligne, etc.).


Bien à vous,
l’équipe Posteo

Nouvelles technologies de sécurité et nouveau certificat

Créé le 01. April 2016, 19:00 | Catégorie: Info

Chers clients,
chers visiteurs,

nous aimerions vous présenter quelque nouvelles technologies de sécurité chez Posteo. Nous avons commencé à utiliser la technologie « Certificate Transparency ». De plus, nous prenons en charge depuis quelques semaines les technologies toutes récentes « Certification Authority Authorization (CAA) » et « HTTP Public Key Pinning (HPKP) ». Grâce à ces technologies, nous améliorons encore plus la sécurité de Posteo pour vous.

Pour vous, rien ne change. Vous n’avez rien à faire de particulier. Nous souhaitons cependant vous donner un aperçu dans cet article de la façon dont nous protégeons vos données avec Posteo.

Certificate Transparency : aucune chance pour les falsificateurs de certificats de sécurité

Grâce à Certificate Transparency, nous surveillons automatiquement et dans le monde entier si des personnes non autorisées (des criminels ou les services secrets) tentent de se faire passer pour Posteo et ainsi de falsifier des certificats de sécurité de nos domaines Posteo. Jusqu’à maintenant, il était très improbable qu’un organisme de certification identifie à tort des personnes non autorisées comme étant Posteo. En effet, nous utilisons depuis de nombreuses années un certificat élargi (certificat EV). Ces certificats ne sont délivrés que sous présentation de divers documents. Mais les criminels et les services secrets tentent de se faire passer pour des tiers via des certificats falsifiés. Par exemple, pour attirer des clients de portails internet sur des pages falsifiées, dites de phishing, et leur subtiliser leurs données d’accès. Ou encore pour s’insérer dans une conversation comme « homme du milieu ».

Grâce à cette nouvelle technologie, nous évaluons 24 heures sur 24, en temps réel, si quelqu’un tente de manipuler nos certificats et pouvons ainsi réagir immédiatement, dans l’idéal, avant qu’un pirate ne puisse effectuer sa tentative de fraude. Il n’est plus nécessaire de se fier aux organismes de certification pour la délivrance de certificats : avec cette nouvelle technologie, les services internet tels que Posteo peuvent vérifier eux-mêmes si un organisme de certification a délivré à tort un certificat à une personne non autorisée.

Nouveau certificat suite à ces changements

Afin de pouvoir prendre en charge les nouvelles technologies de sécurité, nous commencerons en avril à utiliser un certificat supplémentaire de Geotrust. Cet organisme de certification prend déjà ces nouvelles technologies en charge. Ceux qui le souhaitent trouveront les empreintes digitales de tous les certificats (une série de signes grâce à laquelle la validité d’un certificat peut être vérifié) dans nos mentions légales, dès à présent. Vous ne devez rien faire de particulier. Si votre programme vous signale une erreur lors du changement de certificat, redémarrez votre programme, cela devrait résoudre le problème.
#more#
La nouvelle technologie de sécurité Certification Authority Authorization (CAA) mise en place depuis déjà quelques semaines

Nous utilisons également une autre technologie de sécurité liée aux certificats depuis quelques semaines déjà :
Certification Authority Authorization (CAA). La CAA est une technique toute récente, encore peu diffusée. Grâce à cette dernière, nous avons déposé dans le DNS (le registre central de demande d’Internet) quels organismes de certification sont autorisés à produire des certificats pour nos domaines. Cette technique est encore très récente, c’est pourquoi les organismes de certification ne sont pas encore obligés de s’y tenir. Cependant, nous pensons que ces indications sont déjà utiles : nous voulons montrer ce qui est possible aujourd’hui techniquement et espérons que de nombreux opérateurs de télécommunication et organismes de certification utiliseront la CAA très prochainement. Cette technologie peut rendre l’utilisation d ‘internet globalement plus sûre et contribuer à réduire le risque de certificats falsifiés.

Les organismes de certification allemands dotés de Certificate Transparency ne sont pas encore adaptés

Pour l’instant, il est en pratique impossible pour des serveurs de messagerie comme Posteo d’utiliser des certificats d’organismes de certification allemands comme certificat principal.
Certains appareils ou programmes très répandus ne connaissent pas encore des entreprises comme D-Trust (Bundesdruckerei). Si un fournisseur de messagerie utilise tout de même un certificat provenant d’un organisme de certification « inconnu », cela provoquera, si le nombre de clients est important, l’arrivée perpétuelle de messages d’erreur. Les programmes prétendent que l’on ne peut pas se fier aux certificats utilisés. En ce qui concerne la prise en charge de nouvelles technologies de sécurité, il y a aussi de très nombreux progrès à faire : le Telekom Trust Center (TeleSec), l’organisme de certification de Deutsche Telekom AG, ne prévoit pas – d’après nos sources – d’utiliser Certificate Transparency. Ces problèmes liés aux organismes de certification allemands ne seront résolus qu’au cours des prochaines années, si tant est qu’ils soient résolus un jour. Une des conditions serait que les organismes de certification allemands se chargent de faire reconnaître comme fiable ce qu’on appelle leurs certificats racine par tous les appareils et programmes de nouvelle génération.

Informations supplémentaires pour les spécialistes sur les autres technologies de sécurité chez Posteo

- Nous utilisons toujours pour chaque domaine au moins deux certificats de type Extended Validation à égalité. En cas de problème avec un organisme de certification, nous pouvons passer à l’autre certificat immédiatement, sans occasionner de gêne pour nos clients.
- Nous utilisons HPKP (HTTP Public Key Pinning) afin de forcer les navigateurs à n’accepter que nos certificats.
- Nous utilisons DANE afin que d’autres services de messagerie, navigateurs ou programmes, puissent vérifier nos certificats via une requête DNS infalsifiable.

Bien à vous
L’équipe Posteo

La commissaire chargée de la protection des données loue Posteo dans son rapport annuel

Créé le 30. March 2016, 17:30 | Catégorie: Blog

Chers clients,
chers visiteurs,

la nouvelle commissaire chargée de la protection des données de Berlin, Maja Smoltczyk, a présenté Posteo dans son rapport annuel de 2015 et l’a évoqué comme exemple positif de protection des données.
Cette référence très positive à notre service nous réjouit. Pour cette raison, nous vous la copions ci-dessous pour que vous en profitiez aussi :

« Posteo (posteo.de) est un fournisseur de messagerie en ligne possédant les fontions habituelles de ces services. Contrairement à d’autres boîtes mail, son utilisation est payante, ce qui permet de renoncer à toutes les données d’identification et à l’analyse du comportement de l’utilisateur ainsi que du contenu des e-mails. Cela commence par le fait que les utilisateurs utilisent un pseudonyme lors de la création de leur boîte mail : mis à part l’adresse e-mail souhaité et un mot de passe, aucune donnée obligatoire n’est exigée du client. Même le versement du crédit prépayé peut se dérouler de façon entièrement anonyme, en espèces. Si l’on opte pour une procédure de paiement impliquant de divulguer des données, le lien avec la boîte mail du client établi via un code de paiement est effacé directement après l’arrivée du paiement. En plus de la mise en place réussie de tous les moyens de chiffrement à l’acheminement lors de l’envoi et la réception des e-mails, ainsi que lors de l’accès à l’interface en ligne, un chiffrement de bout en bout avec PGP ou S/MIME est pris en charge. Une des particularités de Posteo est la fonction de chiffrement du contenu de la boîte mail et du carnet d’adresses : même les e-mails entrants parvenant non chiffrés peuvent être chiffrés en toute simplicité. Le déchiffrement se déroule seulement au moment même où chaque e-mail est consulté. L’utilisation de cette fonction nécessite un mot de passe sûr et assez long. » (p.51)

« Posteo démontre que la protection des données est un argument de vente efficace. » (S.53)

Vous trouverez le rapport complet (en allemand) de la commissaire chargée de la protection des données de Berlin sur le site datenschutz-berlin.de.

Bien cordialement
L’équipe Posteo

Nouveau : à qui donnons-nous ?

Créé le 16. March 2016, 17:00 | Catégorie: Blog

Chers clients,
chers visiteurs,

nous souhaiteons vous faire part d’une nouveauté relative à la transparence de notre entreprise : dès maintenant, nous présentons sur une page prévue à cet effet à quelles organisations nous avons donné, ceci chaque année (2015).
Vous nous avez demandé de créer cette page car votre crédit restant peut, si vous le souhaitez, être donné à Posteo. Vous trouverez cette nouvelle page “Qui soutenons-nous ?” sur notre site internet dans la rubrique « Qui sommes-nous ?».

Il est important pour nous de soutenir l’engagement social et d’être une entreprise responsable.
C’est pour cela que nous soutenons particulièrement certaines organisations dans le domaine de la protection de l’environnement, de la politique internet et de la liberté d’expression, ou encore de l’aide aux réfugiés. #more#

L’année dernière, Posteo a donné au total 24.350,00 €, dont 22.957,30 € de dons volontaires par l’entreprise Posteo.
Les 1.392,70 € restants proviennent de dons de crédit restant.

Les récipiendaires des dons Posteo étaient en 2015, entre autres, le Bund für Umwelt und Naturschutz Deutschland (fédération pour l’environnement et la protection de la nature Allemagne), Reporters sans frontières, l’aide aux réfugiés de l’ONU ou encore Netzpolitik.org.

Bien cordialement
L’équipe Posteo