Comment fonctionne le chiffrement des emails : SPF, DKIM, TLS et bout en bout

Le point de depart : l'email sans chiffrement

Lorsque SMTP a ete concu en 1982, les messages etaient envoyes en texte brut a travers le reseau. Quiconque avait acces a un noeud du reseau entre l'expediteur et le destinataire pouvait lire le contenu. Il n'existait aucun moyen de verifier qui avait reellement envoye un message — le champ « De » pouvait contenir n'importe quoi. C'etait acceptable dans un reseau d'institutions universitaires de confiance, mais c'est devenu un probleme majeur lorsque Internet s'est etendu a des milliards d'utilisateurs.

Aujourd'hui, la securite email repose sur plusieurs technologies independantes mais complementaires, chacune traitant une vulnerabilite differente. Pensez-y comme des couches d'armure, chacune protegeant contre un type d'attaque specifique.

SPF : qui est autorise a envoyer ?

Le Sender Policy Framework (SPF) repond a une question simple : ce serveur est-il effectivement autorise a envoyer des emails pour ce domaine ? Sans SPF, n'importe qui peut envoyer un email pretendant venir de votre-banque.com.

SPF fonctionne via les enregistrements DNS. Le proprietaire d'un domaine publie un enregistrement TXT listant les adresses IP et serveurs autorises a envoyer des emails en son nom. Lorsqu'un serveur recepteur recoit un email de « user@example.com », il consulte l'enregistrement SPF d'example.com et verifie si l'IP du serveur emetteur figure dans la liste autorisee.

SPF a ses limites : il ne verifie que l'adresse « envelope from » (utilisee lors de la transmission SMTP), pas l'adresse « header from » (affichee a l'utilisateur). Il casse egalement en cas de transfert de message.

DKIM : ce message est-il authentique ?

DomainKeys Identified Mail (DKIM) adopte une approche differente. Au lieu de verifier le serveur, il verifie le message lui-meme. Le serveur emetteur ajoute une signature cryptographique a chaque email sortant, en utilisant une cle privee qu'il est le seul a posseder. La cle publique correspondante est publiee dans les enregistrements DNS du domaine.

Lorsque le serveur recepteur recoit l'email, il recupere la cle publique depuis le DNS et l'utilise pour verifier la signature. Si la signature est valide, cela signifie que l'email a ete envoye par un serveur detenant la cle privee de ce domaine et que le contenu n'a pas ete modifie.

DKIM survit au transfert (contrairement a SPF) car la signature voyage avec le message. Cependant, les listes de diffusion qui modifient le corps ou les en-tetes casseront la signature.

TLS : le chiffrement en transit

Transport Layer Security (TLS), applique a SMTP via l'extension STARTTLS, chiffre la connexion entre les serveurs mail. Lorsque deux serveurs SMTP communiquent, le serveur emetteur peut emettre une commande STARTTLS pour passer la connexion du texte brut au chiffre. Cela empeche les espions de lire le contenu du message pendant son transit.

Cependant, STARTTLS est typiquement « opportuniste » — si le serveur recepteur ne le supporte pas, le message est envoye en clair. Un attaquant reseau peut aussi effectuer une attaque de degradation. MTA-STS et DANE sont des standards plus recents concus pour imposer TLS.

Il est crucial de comprendre que TLS ne protege les donnees qu'en transit. Une fois que l'email atteint le serveur de destination, il est stocke dans le format utilise par le serveur — souvent non chiffre. TempoMail resout ce probleme en chiffrant tous les emails stockes avec AES-256-GCM, garantissant que meme si le stockage est compromis, le contenu reste protege.

Le chiffrement de bout en bout : le standard ultime

Le chiffrement de bout en bout (E2EE) est la seule approche qui protege le contenu de l'email de tout le monde sauf de l'expediteur et du destinataire prevu — y compris des fournisseurs d'email eux-memes. Les deux principaux standards sont PGP (Pretty Good Privacy) et S/MIME.

Avec PGP, chaque utilisateur genere une paire de cles publique-privee. Pour envoyer un email chiffre, vous chiffrez le message avec la cle publique du destinataire. Seule sa cle privee peut le dechiffrer.

Malgre leur disponibilite depuis des decennies, l'adoption de l'E2EE pour l'email reste faible. Le probleme de gestion des cles cree une friction que la plupart des utilisateurs refusent d'accepter.

Vue d'ensemble

En pratique, ces technologies fonctionnent ensemble : SPF et DKIM verifient l'identite de l'expediteur, DMARC fournit l'application des politiques, TLS protege le message en transit, et l'E2EE protege le contenu lui-meme. Aucune technologie ne resout tous les problemes, mais ensemble, elles ont rendu l'email nettement plus sur.

Pour la vie privee au quotidien, utiliser une adresse email jetable pour les services non fiables reste l'une des mesures les plus pratiques — cela contourne entierement la question de savoir si un service implemente correctement le chiffrement en s'assurant que votre veritable adresse n'est jamais exposee.