Forum général.hors-sujets Hébergement du mail chez Google

Posté par . Licence CC by-sa.
Tags : aucun
7
11
fév.
2019

Salut les Djeun's,

Je passe de temps à autre sur ce site et je constate qu'il est fréquenté par des personnes actives et compétentes dans ce que sont l'informatique et l'internet d'aujourd'hui.

J'en veux pour preuve l'article "Démystifier l’activité d’hébergeur" et les commentaires qu'il a suscités.

Ayant été actif et un peu compétent dans l'informatique et l'internet d'hier, je me pose la question suivante : comment en arrive-t-on à héberger son business chez Google ou Microsoft ?

Comment les informations des entreprises sont-elles protégées ?

Un exemple précis : j'ai pu voir comment l'employé d'une entreprise (cotée au CAC40) accédait à son mail hébergé par Google. Un navigateur et un mot de passe suffisent.

Est-ce que quelque chose m'a échappé ou le mail est-il stocké en clair chez Google ? (en clair ou chiffré avec des clés détenues par Google, pour moi c'est pareil).

Quand bien même il y aurait un mécanisme de protection des boites mail de l'entreprise, les courriels entrant de correspondants externes arrivent en clair chez Google.

On pourrait imaginer une limite au trafic qui passe par Google. OK pour annoncer l'arrivée d'un camion, un autre canal pour discuter d'une OPA ou d'une offre pour un marché public.

Admettons que l'entreprise néglige sa sécurité, n'existe-t-il pas en France des services chargés d'empêcher des puissances étrangères de nuire à l'industrie française ?

C'est sûr, quelque chose m'échappe. Une âme charitable pourrait-elle m'expliquer ?

  • # c'est "fashionnable'

    Posté par . Évalué à 3.

    tu as sans doute vu gmail pro, de plus en plus utilisé, aussi pour des questions toutes simples de maintenance (pas besoin de logiciel de sauvegarde ou d'archivage par exemple)
    Est ce une bonne idée ?
    J'ai appris qu'en entrepris, ce ne sont pas des idées mais des décisions politiques.
    Je doute fort que les clients ne sont pas protégés légalement
    (voir recherche gmail pro pour voir les arguments marketing)

    Comme tu le sais , le mode chez les décideurs est d'abandonner son infra non métier vers le nuage. Je viens d'un éditeur , leader dans son domaine il y a 10/15 ans) qui n'a pas fait de cloud et qui a bien du mal à satisfaire les actionnaires

  • # Discussion générale

    Posté par . Évalué à 2.

    Comment les informations des entreprises sont-elles protégées ?

    Par la confiance et la confidentialité attendue entre un client et un fournisseur. Pas de différence particulière avec un opérateur télécom ou un prestataire à qui on refile les droits root sur le serveur de base de données.

    Un navigateur et un mot de passe suffisent.

    En même temps, j'imagine que pour la plupart des boîtes, c'est un avantage. Tes cadres peuvent même lire leurs emails de leur smartphone perso, tu n'as même pas besoin de leur payer le matériel.

    Est-ce que quelque chose m'a échappé ou le mail est-il stocké en clair chez Google ?

    Bah oui, en clair, Google fournit un service, qu'il facture si on parle de Google pro. Si les «indélicatesses» étaient courantes et connues de tous, le service n'aurait pas grand avenir…

    un autre canal pour discuter d'une OPA ou d'une offre pour un marché public.

    Dans le cas probable où Google n'aurait rien à secouer de ton marché public, il faudrait quand même imaginer que Google aille revendre sous le manteau des informations à un tiers intéressé. Peu crédible, vu que Google n'a pas vraiment besoin de ça pour faire des bénéfices. Par contre, évidemment, c'est plus problématique si les agences gouvernementales sont intéressées, parce qu'elles ont légalement accès à un certain nombre d'informations.

    C'est sûr, quelque chose m'échappe. Une âme charitable pourrait-elle m'expliquer ?

    Soit les décideurs sont incompétents, soit ils sont pragmatiques (par exemple, on peut penser que de toutes manières, si la NSA s'intéresse à ton projet d'OPA, tu as peu de chances d'échapper à leurs grandes oreilles). Il y a pire que l'absence de sécurité : c'est l'impression de sécurité. Si tout le monde dans l'entreprise tient pour acquis que les emails sont potentiellement lisibles de n'importe qui, on peut admettre qu'ils soient utilisés pour faire circuler des informations sans grand intérêt commercial ou industriel.

    Et puis, il faut être pragmatique. Si tu as une grosse entreprise et que des centaines de milliers d'emails sont échangés chaque jour, avec des milliers de tableaux Excel pleins de chiffres, des milliers d'informations plus ou moins utiles venant d'à peu près tous les services, comment tu tries tout ça? Vu comment c'est parfois difficile de trouver l'info dans les emails de tes propres collègues alors que tu partages tous les codes de communication du boulot, tu imagines des armées de petits chinois qui se lisent des mails à la chaine afin d'y débusquer une info potentiellement cruciale? Si ça coûte des millions de dollars à tes concurrents d'accéder à une information qui ne leur permet pas de gagner dix fois plus, ça n'est pas rentable. Tout au plus, l'idée que tes concurrents puissent avoir accès à des informations internes sans que tu ne saches réellement quoi ni ce qu'ils ont vraiment compris peut apparaitre désagréable, mais quelle proportion d'emails comporte réellement un secret industriel valorisable? Sans compter qu'il est assez facile d'envoyer des fausses pistes de temps en temps si tu es vraiment inquiet. Ça n'est pas de la vraie sécurité informatique prouvée et certifiée, mais c'est peut être pragmatique.

    • [^] # Re: Discussion générale

      Posté par . Évalué à 3.

      Si les «indélicatesses» étaient courantes et connues de tous, le service n'aurait pas grand avenir…

      Des indélicatesses comme pour PRISM ? 😁

      Peu crédible, vu que Google n'a pas vraiment besoin de ça pour faire des bénéfices. Par contre, évidemment, c'est plus problématique si les agences gouvernementales sont intéressées, parce qu'elles ont légalement accès à un certain nombre d'informations.

      On peut aussi imaginer le cas où ton entreprise (ou un de ces clients/sous traitant) est en concurence avec Google

      tu imagines des armées de petits chinois qui se lisent des mails à la chaine afin d'y débusquer une info potentiellement cruciale?

      LoL
      Google, comme Facebook et tout les autres, précise dans son EULA qu'il scan (1) les émails afin entre autre de "créer des profils" (#fichage) ou de tracker les "utilisations inappropriées"
      Tu devrais trouver instructif le documentaire d'Arte : "les nettoyeurs du web" qui traitent des modérateurs sur les réseaux sociaux (des armées de "petits asiatiques" qui mattent TOUTES les vidéos sur youtube/facebook/twitter) 🙂

      1 via des lignes de code, pas des humains

      si la NSA s'intéresse à ton projet d'OPA, tu as peu de chances d'échapper à leurs grandes oreilles

      Pas avec une bonne politique de stockage des infos (pas de sous-traitance déjà) et de sécurité réseau.
      Ils peuvent essayer de pirater tes serveurs, mais rien ne t'oblige à te laisser faire 😉

      Sans compter qu'il est assez facile d'envoyer des fausses pistes de temps en temps si tu es vraiment inquiet.

      Si ta collecte d'infos est suffisante, tu peux utiliser les statistiques pour faire des estimations.

      🇪🇺

      • [^] # Re: Discussion générale

        Posté par (page perso) . Évalué à 4.

        Google, comme Facebook et tout les autres, précise dans son EULA qu'il scan (1) les émail

        Pas dans la version payante justement.

        (pas de sous-traitance déjà)

        Évite aussi d'avoir des employés, ils peuvent se faire corrompre.

        Ils peuvent essayer de pirater tes serveurs, mais rien ne t'oblige à te laisser faire 😉

        Quelle est la taille de ton équipe sécurité ? Tu trouve combien de zero-day par moi avant la NSA pour y arriver ? Tu n'as aucun utilisateur avec un mot de passe faible ?

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Discussion générale

          Posté par . Évalué à 1.

          Quelle est la taille de ton équipe sécurité ? Tu trouve combien de zero-day par moi avant la NSA pour y arriver ? Tu n'as aucun utilisateur avec un mot de passe faible ?

          Si les chinois étaient aussi pessimistes jamais ils n'auraient créé Baidu.

          🇪🇺

          • [^] # Re: Discussion générale

            Posté par . Évalué à 2.

            Il dit qu'il ne voit pas le rapport avec la choucroute?

            • [^] # Re: Discussion générale

              Posté par . Évalué à 1. Dernière modification le 13/02/19 à 13:38.

              Il dit qu'il ne voit pas le rapport avec la choucroute?

              C'est simple, ça me fait vraiment penser à cet argumentation qui ressort chaque fois qu'on parle de logiciel libre et de sécurité : "tu ne peux pas avoir plus confiance en ta distro linux avec les blobs proprios des drivers qu'un windows proprio de a-Z".

              Avec cet argumentation on reste tous sur windows et on n'utilise que les gafam "parce qu'on a rien a cacher et que ça ne change rien".

              🇪🇺

      • [^] # Re: Discussion générale

        Posté par . Évalué à 4. Dernière modification le 13/02/19 à 09:00.

        Pas avec une bonne politique de stockage des infos (pas de sous-traitance déjà) et de sécurité réseau.
        Ils peuvent essayer de pirater tes serveurs, mais rien ne t'oblige à te laisser faire 😉

        C'est exactement ça que j'appelle la fausse sécurité. Tu vas dépenser beaucoup sur quelque chose qui n'est pas ton cœur de métier (si tu es un industriel qui dépose des brevets, tu n'y connais rien en sécurité informatique), tu vas mettre en place des grosses équipes sans savoir si elles sont si efficaces que ça, et tu auras l'impression que tes données sont sécurisées alors que tu n'as aucune idée des failles qu'il peut y avoir dans le système, à commencer par tes employés. Mettre beaucoup d'argent dans quelque chose ne veut pas dire que c'est efficace!

        Si tes données sont réellement sensibles, mieux vaut probablement sous-traiter à une entreprise dont c'est le boulot. Et si elles ne le sont pas tant que ça, ou que ton mode de fonctionnement dmeande de toutes manières de prendre des risques (par exemple, envoyer des commerciaux partout dans le monde avec des laptops bourrés de données), alors la solution gmail ou équivalent est peut-être plus économique, sans créer de risque particulier par rapport à ceux que tu prends déja.

  • # Le renseignement

    Posté par . Évalué à 2.

    Admettons que l'entreprise néglige sa sécurité, n'existe-t-il pas en France des services chargés d'empêcher des puissances étrangères de nuire à l'industrie française ?

    La DGSE ?

  • # ma conclusion

    Posté par . Évalué à 4.

    Merci à tous pour vos réponses, très éclairantes.

    Finalement, rien ne m'avait échappé sur le plan technique. Je sous-estimais simplement l'ampleur du changement des mentalités dans le domaine de la sécurité.

    Les explications d'arnaudus illustrent parfaitement cette évolution.

    Ayant reçu ma réponse, je pourrais égoïstement en rester là.

    Mais non, vous méritez de savoir ce que j'en pense :-)

    En fait tout se ramène à des curseurs que l'on déplace en fonction des modes, de sa culture, de sa génération, et de dieu sait quoi.

    Le positionnement de ces curseurs peut donner lieu à des discussions sans fin, car il n'y a pas UNE vérité.

    Le curseur sécurité/facilité d'utilisation

    Le curseur valeur des données (personnelles ou de l'entreprise), illustrée par le célèbre "Je n'ai rien à cacher".

    Le curseur core business. A force de dire "ce n'est pas mon métier, je sous-traite", on en arrive à un mec seul derrière un bureau. Appliqué récursivement à chaque sous-traitant, qu'est ce que ça donne ?

    On peut ainsi imaginer l'informaticien actionnant ces curseurs, tel un DJ sur sa table de mixage, faisant danser ses utilisateurs.

    Elle est pas belle la vie ?

    • [^] # "ce n'est pas mon métier, je sous-traite"

      Posté par . Évalué à 2.

      Les données sont bien souvent le cœur du métier et c'est justement ce qui intéresse Google. Il faut distinguer hébergement et données. Si les données sont chiffrées, l'hébergement peut-être sous-traité, autrement c'est du suicide.

      Il y a un documentaire sur LCP sur la collusion justice-renseignement-multinationales aux États-Unis et les conséquences sur les entreprises françaises naïves. Alstom, Airbus, Société Générale, des broutilles quoi.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.