Le chiffrement des échanges mails avec DANE et MTA-STS


DANE & MTA-STS : ce qui va changer dans le transport sécurisé des mails.

Attaques « Man in the Middle », vulnérabilités des certificats… Les techniques de chiffrement du transport de mails DANE et MTA-STS pourraient résoudre certaines de ces problématiques. Voyons comment.

Partager l’article :

Actuellement, quand deux relais de messagerie doivent échanger des mails, la sécurité du transport des messages est généralement assurée par un chiffrement des échanges en TLS.

Cependant avec TLS, le serveur expéditeur ne peut pas indiquer sa politique de chiffrement et le serveur destinataire ne peut pas la vérifier. Quant aux certificats, ils peuvent être vulnérables :: autorités de certifications (CA) multiples dont certaines ont été compromises, certificats falsifiés ou faibles, , etc. Ce qui peut favoriser des attaques de type « Man in the Middle ».

Les techniques de chiffrement d’échange de mails DANE et MTA-STS devraient résoudre un certain nombre de ces problèmes.

DANE : DNS-Based Authentication of Named Entities

DANE est standardisé par le RFC 7672 d’Octobre 2015.  Il permet d’indiquer la politique de chiffrement d’un MX dans un enregistrement TLSA d’un DNSSEC. Pour se faire, on peut utiliser un certificat auto-signé ou validé par une autorité de certification connue. Enfin, l’enregistrement TLSA peut contenir le certificat complet ou un hash du certificat qui sera vérifié par le serveur destinataire.

DANE permet ainsi une validation du certificat utilisé lors de la session TLS avec celui publié via DNSSEC comme illustrée ci-dessous.

DANE permet ainsi une validation du certificat utilisé lors de la session TLS

Il est dès lors possible de :

  • prouver que l’expéditeur est bien le propriétaire du MTA expéditeur par vérification du certificat publié dans le DNSSEC,
  • contrer les attaques de type « Man in the Middle » possibles (dans le cas du TLS),
  • révoquer un certificat par simple modification du champ TLSA.

MTA STS : MTA Strict Transport Security

À la différence de DANE, MTA STS n’est pas standardisé.  Cette solution de chiffrement a été proposée en octobre 2016 par les GAFA comme alternative à DANE. MTA-STS intervient au niveau d’un domaine et non d’un MX notamment quand l’implémentation de DNSSEC n’est pas possible ou non souhaitée.

Cette solution se compose de deux éléments :

  • Un certificat publié dans un champ texte MTA-STS au sein de l’enregistrement DNS,
  • Un document JSON valable pour tout le domaine hébergé dans un serveur web sécurisé.

Du fait qu’il n’impose pas DNSSEC, MTA-STS est vu par certains comme une solution d’attente avant l’implémentation de DANE ou comme une solution moins contraignante.

Implémentation de DANE

À noter, les deux protocoles ne doivent pas interférer : en particulier, une validation MTA –STS ne doit pas outrepasser une validation DANE qui aurait échoué.

DANE et MTA-STS : différences et combinaison

Outre le DNSSEC, d’autres différences majeures sont à noter entre les deux solutions. Voici un petit tableau comparatif :

Caractéristique

DANE

STS

Statut IETF

standardisé

Draft

DNSSEC

Obligatoire

Recommandé

Architecture

DNS seulement

DNS + serveur web

Type de certificat

Auto signé

Signé par une CA

Signé par une CA uniquement

Type de politique

Par MX

Pas de cache

Par domaine

Utilisation du cache

Fournisseur de la preuve

DNSSEC

Serveur Web

Rappelons que ces deux solutions de chiffrement ne permettent qu’un chiffrement durant la phase de transport entre MTA. Pour un chiffrement des mails de bout en bout une solution de chiffrement de type PGP est nécessaire.

Actuellement et du fait qu’il est standardisé, DANE est cours d’implémentation dans la plupart des solutions de sécurité mail. Mais ce n’est encore le cas de MTA-STS.

Toutefois, la combinaison des deux technologies est en train de connaître un certain succès notamment en Hollande pour les instances gouvernementales (ouvre un nouvel onglet) ou en encore en Allemagne (ouvre un nouvel onglet).

Il est donc probable que les deux technologies cohabiteront un certain temps en plus du TLS classique. Ainsi, pour protéger vos échanges de mails, il est important d’implémenter rapidement DANE et sans doute étudier de près MTA STS.

Si vous voulez en savoir plus, voici deux sites intéressants pour connaitre la compatibilité de votre solution avec les nouvelles normes de sécurité du mail (ouvre un nouvel onglet) ou DANE (ouvre un nouvel onglet) plus spécifiquement.

Philippe Macia, Chef de Produit chez Orange Cyberdefense

A propos du blogueur

Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, Philippe Macia a rejoint les équipes d’Orange Cyberdefense en tant que chef de produit.

Il est très attachée à l’expérience utilisateur et à la simplicité d’administration des solutions créées. Ses maîtres mots : partage du savoir, logique, pragmatisme et simplicité.