Google a annoncé que son chiffrement côté client pour Gmail est en version bêta pour ses clients des secteurs de l'espace de travail et de l'éducation, visant à sécuriser les courriels envoyés par la version web de la plateforme. Cette mise à jour intervient à un moment où les préoccupations relatives à la confidentialité en ligne et à la sécurité des données atteignent un niveau record, et elle est sûrement bien accueillie par les utilisateurs qui attachent de l'importance à la protection de leurs données personnelles. À cet effet, les clients de Google Workspace Enterprise Plus, Education Plus et Education Standard peuvent demander à rejoindre la version bêta jusqu'au 20 janvier 2023. Elle n'est pas disponible pour les comptes Google personnels.
"L'utilisation du chiffrement côté client dans Gmail garantit que les données sensibles contenues dans le corps de l'e-mail et les pièces jointes sont indéchiffrables par les serveurs de Google", a déclaré l'entreprise dans un billet de blog. "Les clients conservent le contrôle des clés de chiffrement et du service d'identité pour accéder à ces clés."
Il est important de noter que la nouvelle protection offerte par Gmail est différente du cryptage de bout en bout. Le chiffrement côté client, comme son nom l'indique, est un moyen de protéger les données au repos. Il permet aux organisations de chiffrer les données sur les services Google avec leurs propres clés cryptographiques. Les données sont déchiffrées côté client à l'aide de clés générées et gérées par un service de gestion des clés hébergé dans le nuage.
La nouvelle fonctionnalité de Google exige des administrateurs qu'ils configurent un service de clé de chiffrement par le biais de l'un des services partenaires de la société proposés par Flowcrypt, Fortanix, Futurex, Stormshield, Thales ou Virtru, ou qu'ils créent leur propre service en utilisant son API de chiffrement côté client.
Cela signifie que les données sont protégées contre tout accès non autorisé, même depuis le serveur ou le fournisseur de services. Cependant, l'organisation ou l'administrateur a le contrôle des clés et peut surveiller les fichiers cryptés des utilisateurs ou révoquer l'accès d'un utilisateur aux clés, même si celles-ci ont été générées par l'utilisateur lui-même.
D'autre part, le cryptage de bout en bout (E2EE) est une méthode de communication dans laquelle les informations sont cryptées sur le dispositif de l'expéditeur et ne peuvent être décryptées que sur le dispositif du destinataire avec une clé connue uniquement de l'expéditeur et du destinataire.
Cela dit, la nouvelle fonction de chiffrement côté client est un ajout bienvenu aux mesures de sécurité de Gmail, car elle permet aux organisations de chiffrer les données stockées sur les serveurs de Google avec leurs propres clés. Cette fonctionnalité est particulièrement importante pour les organisations qui traitent des données sensibles, comme les prestataires de soins de santé et les institutions financières. Il convient de noter que le chiffrement côté client ne protège pas les données en transit. Les entreprises doivent donc envisager d'utiliser le protocole TLS (Transport Layer Security) pour la transmission des e-mails.
Le chiffrement côté client de Google pour Gmail est actuellement en version bêta pour les clients des secteurs de l'espace de travail et de l'éducation, et l'on ne sait pas encore quand il sera largement disponible. En attendant, il est important que les organisations examinent leurs mesures de sécurité des données et s'assurent qu'elles disposent de la protection nécessaire pour préserver la sécurité des données sensibles.