Analyse de sécurité de haut niveau de Mailfence

Mailfence est un service de messagerie sécurisée et privée qui fournit des fonctionnalités de cryptage de bout en bout et de signature numérique. Toutes les opérations de cryptage relatives à la clé privée et aux corps de textes des emails sont effectuées après que l’utilisateur a déverrouillé la clé privée avec la phrase secrète d’authentification correspondante qu’il est seul à connaître. Le tableau suivant apporte une vue d’ensemble de l’analyse de sécurité de haut niveau, avec le type d’information et le niveau de protection qu’elle comporte.

Analyse de sécurité de haut niveau de Mailfence :

Type d’informationNiveau de protection
Source de données aléatoires lors de la création de nouvelles clés PGPEntropie collectée via l’appareil client
Mot de passe crypté lors de la transmission du navigateur au serveur WebSSL/TLS
Mot de passe stocké en toute sécurité sur le serveur WebSHA256 (répété et haché)
Exposition de phrase secrète d’authentification de clé privéeLa vérification de la phrase secrète d’authentification pour toute crypto-activité se produit toujours côté client – et n’est jamais exposée au serveur
Clé privée cryptée dans la transmission entre le navigateur et le serveur WebDeux couches de cryptage:
1- Avec phrase secrète d’authentification de l’utilisateur (via AES)2- TLS/SSL
Clé privée cryptée stockéeAvec phrase secrète d’authentification de l’utilisateur (via AES)
Clé privée décryptée sur le serveur WebNe s’applique pas à Mailfence – parce que tous les (dé)cryptages de clé privée se produisent côté client avec la phrase secrète d’authentification de l’utilisateur
Messages cryptés de bout en bout lors de la transmission du navigateur client vers les serveurs MailfenceDeux couches de cryptage:

1 – SSL/TLS
2 – OpenPGP

Corps de message et pièces jointes cryptés de bout en bout lors de la transmission entre le serveur Web et le compte de messagerie du destinataire1 PGP
2 STARTTLS (si pris en charge par le destinataire)
Corps de message et pièces jointes cryptés de bout en bout stockés sur le serveur WebOpenPGP
Corps de messages et pièces jointes cryptés de bout en bout connus du serveur WebJamais – parce que toutes les opérations de cryptage de bout en bout se produisent uniquement côté client
En-têtes de message cryptés lors de la transmission du navigateur au serveur WebSSL/TLS
En-têtes de message cryptés lors de la transmission entre le serveur Web et le compte de messagerie du destinataireSTARTTLS (si pris en charge par le destinataire)
En-têtes de message stockés sur le serveur WebNon cryptés

Analyse de vulnérabilité

Les points suivants s’appliquent aux e-mails envoyés en utilisant le cryptage de bout en bout :

AttaqueNiveau de Protection
L’attaquant écoute votre connexion InternetProtégé
L’attaquant accède aux emails stockés sur le serveurProtégé
L’attaquant a accès aux bases de données du serveurProtégé
L’attaquant compromet le serveur web après que vous avez consulté vos emailsProtégé
Attaque MiTM de haut niveau – au cours de laquelle un attaquant vous envoie un faux code pour examiner toutes les opérations liées à la cryptographieNon Protégé
L’attaquant a accès à votre compteProtégé (mais les messages cryptés de bout en bout envoyés seront visibles en texte clair)
* Il est prévu d’améliorer ce point
L’attaquant a accès à votre ordinateur avant que vous consultiez votre courrier électronique (et peut installer des programmes tels qu’un enregistreur de frappe / un logiciel malveillant …)Non Protégé

N’hésitez pas à nous contacter si vous avez d’autres questions concernant l’analyse de sécurité de haut niveau de notre service.

Obtenez votre messagerie securisée !


Faites passer le message !

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

code

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.