Guide de survie numérique : la messagerie |
---|
“Vous avez reçu un courriel”. Pour beaucoup, ce message est devenu très banal. Que ce soit dans un cadre professionnel ou personnel, l'envoi et la réception de courriers électroniques sont devenus une activité à part entière, comme planifier une réunion ou aller chercher son pain. Pour d'autres, les méls peuvent être râres voire inexistants, mais de plus en plus les institutions de l'État ou les acteurs économiques en général incitent à se passer de correspondance papier.
De manière commune, cette dernière se compare assez facilement au courrier postal classique : la lettre que l'on envoie via le service postal au coin de la rue. Cependant, le seul fait de communiquer par voie numérique implique des changements bien plus profonds et nécessitent des apprentissages et des réflexes. Penchons-nous sur les services de messagerie pour en comprendre le fonctionnement et les quelques principes de sécurité et d'usage qui en découlent.
Un service de messagerie en ligne est un service accessible via un navigateur Web comme Firefox. Une connexion, avec un nom d'utilisateur et un mot de passe sont demandés.
Dans leur grande majorité, les services de courriel disposent d'une version en ligne, souvent appelée webmail, mais il est possible d'accéder à ses messages via un logiciel client de courriel (voir plus bas). On accède généralement à ces webmails sur le portail de son fournisseur d'accès à l'Internet (FAI), permettant ainsi aux abonnés de consulter leurs boites aux lettres.
L'avantage d'un webmail est de pouvoir accéder à sa messagerie depuis n'importe quel terminal connecté. Parmi les nombreux services de messagerie en ligne, on peut distinguer les plus connus, qui mêlent à la fois un service d'émission et de réception de courriel, de la messagerie instantanée (chat), du stockage de fichiers en ligne, et des outils de réseaux sociaux. L'ensemble de ces services, accessibles depuis un compte unique, forme un cloud (nuage) où il est possible de travailler sans avoir à stocker quoi que ce soit sur un micro-ordinateur particulier. Ajoutés à ce dispositif, on peut mentionner des systèmes d'édition de documents (bureautique) ou des systèmes de partage de fichiers images (photographies).
Tous ces services, accessibles via un seul compte, sont très révélateurs des usages personnels : partager facilement ses photos dans un cercle familial, ne plus avoir à trier ses courriels grâce à un espace de stockage quasi inépuisable pour la majorité des utilisateurs, pouvoir éditer à plusieurs des documents qui resteront stockés en ligne et accessibles à tout moment, etc.
Sur Internet, de grandes entreprises proposent de tels outils gratuitement, les mettant ainsi à disposition de millions d'utilisateurs à travers le monde. Les plus connus disposent souvent d'une version gratuite (proposent de la publicité en échange du service et des informations profilées des utilisateurs) et d'une version payante.
Aussi séduisants qu'ils puissent être, les services de messagerie en ligne gratuits ou payants, sont souvent sous le feux des projecteurs. Ils supposent tous un certain degré de confiance de la part des utilisateurs qui acceptent des clauses de confidentialité parfois abusives, ou, plus simplement, ne remplissent pas leur devoir en matière de garantie de sécurité des données.
En particulier lorsque le service est gratuit, un utilisateur doit toujours être conscient qu'en déléguant à un tiers la gestion de son courrier personnel ou de n'importe quelles autres données, il s'engage à prendre le risque de les perdre ou de laisser à ce tiers la possibilité de les analyser pour en tirer des informations à caractère plus ou moins commercial, voire même les exploiter pour son propre compte ou pour le compte d'autrui. Par ailleurs, suivant les pays où sont stockées ces données (l'emplacement des serveurs), ces dernières ne sont plus forcément sous la même juridiction que l'émetteur; là aussi des dispositions doivent être prises par les utilisateurs afin de se prémunir d'un éventuel défaut juridique ou d'un droit de regard exercé par un gouvernement mal intentionné.
Les premières précautions à prendre lorsqu'on utilise un webmail est d'effacer ses traces une fois le travail terminé, tout particulièrement si la consultation a lieu depuis un cybercafé ou un ordinateur qui n'est pas à soi. En effet, puisqu'il est consulté depuis un navigateur, ce dernier conserve certaines données.
Il faut donc penser à :
Pour cela un navigateur comme Firefox permet deux manipulations utiles :
Enfin, tous les systèmes d'exploitation (GNU/Linux, MacOs, Windows, Android, etc.) permettent de se connecter avec un nom d'utilisateur et un mot de passe. Que vous utilisiez un ordinateur portable, une tablette ou une ordinateur fixe, il est primordial de ne pas laisser n'importe qui accéder à votre session et, donc, à tous vos documents, y compris le navigateur et son historique. Il ne faut donc pas hésiter à utiliser ce système supplémentaire de protection qu'est l'ouverture de session avec mot de passe.
La plupart des services en ligne, qu'il s'agisse de messagerie, de réseaux sociaux ou de stockage cloud, permettent de récupérer les mots de passe oubliés par une procédure basée sur l'envoi automatique d'un courriel. Bien que la procédure soit plus ou moins complexe selon le service concerné, il est important de ne pas négliger les étapes de sécurisation proposées lors de l'ouverture du compte :
Concernant le “mot de passe”, deux erreurs courantes sont à éviter :
Certains services proposent une méthode dite de “validation en deux étapes” pour se connecter à sa boite aux lettres. Elle consiste par exemple, à chaque connexion, d'entrer d'une part le login et le mot de passe et, d'autre part, un code envoyé sur le téléphone portable servant à valider cette connexion. Cela nécessite de donner son numéro de téléphone portable à un tiers et d'avoir son téléphone à disposition lors de la connexion, mais elle complique efficacement toute tentative frauduleuse.
Un “bon mot de passe” n'est pas une notion évidente. D'une part il doit être mémorisable, et d'autre part il faut y attacher un intérêt relatif à l'importance des données que l'on souhaite protéger. Ainsi certaines personnes jugent secondaire la complexité du mot de passe car elles estiment ne “rien avoir à cacher” ou s'imaginent exemptes de tout danger parce que leurs données ne présenteraient aucun intérêt particulier. Cette dernière idée est fondamentalement fausse. Par exemple le seul fait de pouvoir établir un réseau de correspondants à partir d'un compte permet de rassembler des données très importantes et potentiellement source de profit ou de malveillance.
Il y a plusieurs manières de pirater un mot de passe. La première consiste à tester des combinaisons une par une. On appelle cette méthode l'attaque par force brute. Elle nécessite un logiciel permettant d'automatiser très rapidement le traitement et les multiples essais. Si votre mot de passe est un mot présent dans un dictionnaire courant, de n'importe quelle langue, l'attaque durera moins d'une heure. Plus longtemps si vous avez mis quelques chiffres. Par contre, plus votre mot de passe sera long, plus il faudra de temps pour le découvrir et, au delà d'une certaine limite, la procédure ne peut aboutir compte tenu des possibilités techniques actuelles.
UnmanchotvolantdansledesertduNevadalesoirdeNoel
sera plus difficile à craquer que
manchot96
Une autre méthode pour découvrir un mot de passe est dite par “ingénierie sociale”. Elle consiste à établir le profil d'un utilisateur en fonction des informations qu'il a divulguées sur la toile, notamment sur des réseaux sociaux. Ainsi, son nom, sa date de naissance, le nom de son chien, son adresse, etc. constitueront un ensemble de caractères pouvant être utilisés en priorité pour une attaque en force brute ou, plus simplement, pour élaborer des essais logiquement déduits par le pirate.
Par exemple : Monsieur Dupont a assisté à la naissance de son fils Kévin le 12/06/2003. Un mot passe probable pourrait être kevin2003
.
Il est conseillé de ne pas se contenter d'un simple mot composé uniquement de caractères alphabétiques [a-z]. il vaut mieux utiliser une combinaison comprenant des caractères alphanumériques [a-z, 0-9], des majuscules [A-Z] et des caractères spéciaux [!,:@, etc.], le tout sur une longueur minimum de 10 caractères. L'idéal est de retenir une phrase de passe, qui excédera 10 caractères, avec quelques astuces, et sera par conséquent plus facile à retenir.
Voici un exemple de construction de phrase de passe:
un instituteur barbu cueille une fleur
uninstituteurbarbucueilleunefleur
UnInstituteurBarbuCueilleUneFleur
UnInstitut@urBarbuCu!ill@Un!Fl@ur
23UnInstitut@urBarbuCu!ill@Un!Fl@ur08
Avec ce dernier exemple, on atteint les limites des capacités mnémoniques de la plupart des personnes. L'essentiel est de pouvoir rendre complexe une phrase simple et de se souvenir de la méthode de construction qui peut alors être la même pour des mots de passe différents. Vous pouvez inverser la phrase, remplacer toutes les voyelles, par des chiffres, etc. Prenez quelques minutes pour vous inventer une méthode que vous n'oublierez pas. Un bien petit sacrifice pour la sécurité de vos données…
Cette partie sur les mots de passes a toute sa place ici mais devrait renvoyer à un chapitre traitant de sécurité et éventuellement de chiffrement de données.
Tout utilisateur disposant d'un abonnement auprès d'un fournisseur d'accès Internet dispose, pour ainsi dire “par défaut”, d'un compte de messagerie dont le mot de passe est acquis en même temps que le contrat qui le lie à son fournisseur d'accès. Ce compte de messagerie est utile pour le fournisseur d'accès afin de communiquer avec son abonné. Cependant, rien n'oblige ce dernier à utiliser ce compte.
Plusieurs raisons peuvent justifier un autre choix : la qualité du service, certains protocoles (cf. ci-dessous) non accessibles pour l'abonnement contracté, manque de fonctionnalités, l'utilisateur dispose déjà d'une messagerie et ne tient pas à en changer en fonction de ses abonnements successifs, etc.
Plusieurs idées reçues doivent pourtant être combattues :
Au moins deux principes doivent guider le choix d'un service :
Dans la mesure du possible, il est préférable d'évaluer la fiabilité technique et éthique du service, l'identité de l'entreprise ou de l'association qui le propose, et enfin, seulement, le coût éventuel.
Voici deux exemples:
L'association Sud-ouest.org se décrit comme “une plateforme libre d'hébergement mail à prix libre”. Sur son site sont clairement affichés ses statuts, sa politique de gestion, son offre et les tarifs pratiqués. Elle adhère1) à l'ABUL et à l'AFUL et Scideralle, trois associations actives dans le domaine du logiciel libre et fortement attachées à la confidentialité des données. Le “prix libre” a pour vocation de démontrer que non seulement la structure est ouverte pour tous les utilisateurs, y compris dans le domaine de sa gestion associative, et que le prix à payer est une contrepartie raisonnable pour un service indépendant et qui n'utilisera pas vos données dans un but commercial ou autre.
L'entreprise MailObject, est une entreprise française ayant développé une technologie du même nom. Elle fournit un service baptisé Netcourrier (Net-C), en version gratuite (limitée) ou payante (avec plus de fonctionnalités), pour les particuliers, les familles ou les entreprises. Bien que proposant un service de stockage cloud, son activité se concentre sur le domaine de la messagerie. Elle revendique, via une charte relative à la vie privée2), son engagement pour une politique non intrusive et la défense des principes d'autonomie et de confidentialité.
Les deux exemples qui précèdent ne sont pas à considérer comme une publicité à l'endroit des deux services mentionnés. Il s'agit d'illustrer deux attitudes différentes vis à vis d'une proposition de service. D'autres structures peuvent être mentionnées:
La liste serait bien longue et ce serait sans compter le mouvement des webmails proposant du chiffrement hautement sécurisé comme ProtonMail ou Lavaboom. Cependant, dans la mesure où les systèmes de chiffrement en question reposent toujours in fine sur le degré de confiance que l'on peut accorder aux hébergeurs de ces services, il manque à ce jour le recul nécessaire pour en faire une analyse pertinente.
Il existe donc des alternatives fiables et crédibles face aux “géants” les plus connus du web. Elles sont parfois payantes et par conséquent non accessibles à toutes les bourses, même si leur prix est assez bas, ou parfois gratuites tout en suscitant un engagement ou même aucune contre-partie. D'autres services à priori souvent ignorés, mais ayant d'excellents gages de fiabilité, peuvent être choisis et restent accessibles plus ou moins gratuitement. Par exemple, les étudiants peuvent très souvent disposer d'une boite plus ou moins sécurisée auprès des services de leur université.
Un logiciel de messagerie est appelé un client de courrier électronique. Les webmail dont il vient d'être question à la section précédente en font partie. Ils sont reconnus comme étant des clients légers, parce qu'ils fonctionnent sur des serveurs en tant qu'applications accessibles à distance. Ils se distinguent des clients lourds, c'est à dire des logiciels qui s'installent localement sur un ordinateur et qui se chargent de récupérer les messages depuis un serveur de courriels.
Le logiciel Mozilla Thunderbird est sans doute l'un des plus connus. Il est distribué sous licence libre et sous ce nom depuis 2003, traduit dans plus de cinquante langues, et compatible avec les systèmes d'exploitation courants tels GNU/Linux, MacOS et Windows. Pour l'utiliser, vous devez déjà avoir une adresse courriel.
Au premier lancement du logiciel, ou lorsque vous souhaitez configurer un compte de messagerie, Thunderbird cherche à détecter automatiquement les protocoles de communication disponibles sur le serveur correspondant à votre adresse courriel. Ainsi, si vous avez entré une adresse du type Jean.dupont@tictacmail.com
, Thunderbird tentera de se connecter au serveur de messagerie tictacmail.com
et détectera les paramètres de connexion pour envoyer et recevoir du courrier, ainsi que les méthodes disponibles pour le faire (les protocoles).
Quelques explications s'imposent.
Pour envoyer et recevoir du courrier, il faut indiquer au logiciel de messagerie les informations qui lui permettront d'opérer :
De manière générale, pour configurer son logiciel de messagerie, vous pouvez vous satisfaire de la configuration qui vous est proposée par défaut. La plupart du temps le service de messagerie auquel vous êtes abonné diffuse dans ses pages d'aide toutes les informations nécessaires à la configuration d'un client de messagerie (adresse du serveur, protocoles disponibles, port à configurer):
Exemple de configuration
Je dispose d'une adresse courriel jean.dupont@youkoulele.fr et je souhaite pouvoir utiliser ma messagerie en IMAP avec une connexion sécurisée.
Je me rends sur les pages de documentation de youkoulele.fr et j'apprends que pour configurer en IMAP, il me faut entrer ces informations :
Connexion SSL :
Lors de la configuration d'un nouveau compte avec l'assistant de Thunderbird :
Dans la page de gestion des comptes (Edition > Paramètres des comptes) :
Tout particulièrement lorsqu'il s'agit de communiquer via une messagerie électronique, il est primordial de respecter quelques règles d'usage. La Nétiquette constitue l'ensemble de ces règles informelles instituées en 1995, alors même qu'à l'arrivée d'Internet dans les foyers correspondait une multiplication exponentielle des communications par messagerie électronique, à titre individuel ou professionnel. Toutes les informations concernant la Nétiquette sont trouvables sur la page Wikipédia qui lui est consacrée 3). Nous résumerons ici quelques points importants concernant le courrier électronique.
Une fois entrées les informations permettant de recevoir et envoyer du courrier, quelques petites manipulations restent encore à faire.
Dans la section consacrée aux options de rédaction des messages (dans Thunderbird, elle est nommée “rédaction et adressage”, dans un webmail ces réglages sont accessibles via les options de votre compte), il est important de bien choisir la manière dont les messages seront rédigés.
De la même manière, il est préférable d'annoncer vos noms et prénoms dans les options qui concernent votre identité. Ainsi votre correspondant pourra lire votre adresse ainsi : Jean Dupont jean.dupont@youkoulele.fr
au lieu de ne voir que votre adresse électronique. Ceci est particulièrement utile si votre adresse électronique ne reflète pas votre identité, comme kikoo88@youkoulele.fr
, ce qui n'est pas conseillé sur un compte destiné à envoyer des correspondances officielles.
La Nétiquette citée plus haut vous permettra de retenir les pratiques courantes et les règles de respect en matière d'écriture de correspondance électronique. Néanmoins les quelques principes suivants sont toujours utiles à retenir.
Pour envoyer un courrier électronique les champs suivants sont toujours demandés ou proposés :
À:
),Cc:
, copie carbone),Bcc:
ou Cci
, Blind Carbon Copy, ou Copie Carbone Invisible),Il faut savoir utiliser à bon escient les champs relatifs à la destination, en particulier la copie. La plupart du temps il est inutile d'envoyer le même message à une dizaine de personnes en supposant que, parce qu'elles reçoivent le message, elles le retiendront ou souhaitent obligatoirement le recevoir. Des pratiques non judicieuses sont souvent rencontrées dans les milieu professionnels où les messages collectifs génèrent du stress sous prétexte de dédouaner l'émetteur. Parfois, rien ne vaut un bon vieux coup de téléphone ou tout simplement parler autour d'un café, en passant.
La copie invisible est elle aussi à utiliser avec parcimonie et discernement. Parfois les non-dits peuvent être source de conflit, ou au contraire le choix des destinataires visibles et invisibles peut s'avérer diplomatique.
L'objet du message, quant à lui, doit toujours refléter efficacement son contenu. Il permet au destinataire de classer ses messages et choisir le bon moment pour les lire. C'est l'objet qui détermine le fil de discussion. Si celle-ci dévie trop de son axe original, il devient judicieux de changer l'objet pour créer un nouveau fil.
Les pièces jointes sont les fichiers que l'on envoie à son destinataire en même temps que le message. Là aussi, quelques précautions d'usage s'imposent :
Il peut-être parfois préférable d'envoyer des messages que seul le destinataire est capable de lire. Pour cela, la plupart des logiciels clients de courrier électronique disposent de fonctionnalités de cryptage. La meilleure solution est basée sur GNU GPG (Gnu Privacy Guard), une implémentation libre de OpenPGP (Pretty good Privacy) et fonctionne via un système de clés privées et clés publiques.
Pour utiliser ce système certains logiciels clients disposent par défaut de tous les outils nécessaires pour configurer et gérer vos signatures numériques. Une extension connue pour Thunderbird se nomme Enigmail, et permet de chiffrer et déchiffrer les messages de manière automatique.
Nous ne saurions terminer cette présentation sans mentionner l'auto-hébergement de son propre serveur de messagerie. En effet, pour envoyer et recevoir des courriers électroniques, il n'y a aucune obligation de stocker ses messages auprès d'un service tiers : cela est possible chez soi, sur un ordinateur configurée pour cela, ou sur un serveur distant loué à cette occasion.
Bien entendu, cette possibilité est réservée à des utilisateurs avancés, mais nul besoin d'être informaticien pour cela. De nombreux tutoriels sont présents sur la toile, et montrent comment configurer postfix ou sendmail, des logiciels libres permettant de gérer un service de messagerie. Par ailleurs, les facilités se sont récemment multipliées. On peut mentionner par exemple le marché des nano-computers, des mini ordinateurs consommant très peu d'énergie et vendus à très bas prix, permettant justement de mettre en place un serveur chez soi sans mobiliser une grosse machine pour cela.