Le chiffrement côté client (CSE) Gmail est désormais généralement disponible pour les clients Google Workspace Enterprise Plus, Education Plus et Education Standard.
La fonctionnalité a été introduite pour la première fois dans Gmail sur le Web en tant que test bêta en décembre 2022, après avoir été disponible dans Google Drive, Google Docs, Sheets, Slides, Google Meet et Google Calendar (en version bêta) depuis l’année dernière.
Une fois activé, Gmail CSE garantit que toutes les données sensibles envoyées dans le corps de l’e-mail et les pièces jointes (y compris les images en ligne) seront illisibles et cryptées avant d’atteindre les serveurs de Google.
Il est également important de noter que l’en-tête de l’e-mail (y compris l’objet, les horodatages et les listes de destinataires) ne sera pas chiffré.
« Le chiffrement côté client fait passer cette capacité de chiffrement à un niveau supérieur en garantissant que les clients ont le contrôle exclusif de leurs clés de chiffrement, et donc un contrôle complet sur tous les accès à leurs données », a expliqué Googled.
« A partir d’aujourd’hui, les utilisateurs peuvent envoyer et recevoir des e-mails ou créer des événements de réunion avec des collègues internes et des parties externes, sachant que leurs données sensibles (y compris les images en ligne et les pièces jointes) ont été cryptées avant d’atteindre les serveurs de Google.
« Comme les clients conservent le contrôle des clés de chiffrement et du service de gestion des identités pour accéder à ces clés, les données sensibles sont indéchiffrables pour Google et d’autres entités externes. »
Une fois activé, vous pouvez activer le « cryptage supplémentaire » pour n’importe quel e-mail en cliquant sur l’icône de verrouillage à côté du champ Destinataires. Les utilisateurs de Gmail peuvent ensuite composer leurs e-mails et ajouter des pièces jointes comme ils le feraient habituellement.
Alors que Gmail CSE empêchera Google de visualiser le contenu de vos e-mails, cette fonctionnalité est différente du chiffrement traditionnel de bout en bout (E2EE).
Avec E2EE, tous les e-mails que vous envoyez sont chiffrés sur votre appareil et ne sont déchiffrés que lorsqu’ils atteignent l’appareil d’un destinataire. Ce type de cryptage fait en sorte que seuls l’expéditeur et le destinataire voient le contenu complet d’un e-mail.
Avec Gmail CSE, les clés privées utilisées pour décrypter les e-mails cryptés sont potentiellement accessibles par les administrateurs de l’entreprise et d’autres applications.
La capacité de déchiffrer les e-mails au niveau de l’entreprise est nécessaire pour les politiques de conservation ou de gestion des données de l’entreprise et pour que le contenu soit analysé par des passerelles de messagerie sécurisées et des logiciels de sécurité.
La fonctionnalité sera désactivée par défaut, mais les administrateurs peuvent l’activer au niveau du domaine, de l’unité organisationnelle et du groupe à partir de la console d’administration > Sécurité > Contrôle de l’accès et des données > Chiffrement côté client.
Les administrateurs peuvent configurer Gmail CSE en suivant ces étapes pour configurer leur environnement, préparer des certificats S/MIME pour chaque utilisateur et configurer le service de clé et le fournisseur d’identité.
La société indique que la fonctionnalité n’est pas encore disponible pour les utilisateurs disposant de comptes Google personnels, ainsi que pour Google Workspace Essentials, Business Starter, Business Standard, Business Plus, Enterprise Essentials, Education Fundamentals, Frontline et Nonprofits, ou les anciens G Suite Basic et Clients de l’entreprise.
« Workspace chiffre déjà les données au repos et en transit en utilisant des bibliothèques cryptographiques sécurisées par conception », a déclaré Google mardi.
« Le chiffrement côté client fait passer les capacités de chiffrement existantes au niveau supérieur en garantissant que les clients ont le contrôle exclusif de leurs clés de chiffrement, et donc un contrôle total sur l’accès à leurs données. »