Normes de sécurité des e-mails dans le secteur juridique

Les e-mails font partie intégrante du quotidien professionnel des cabinets d'avocats et des services juridiques. Ils sont souvent utilisés pour échanger des informations sensibles et confidentielles. Il est donc d'autant plus important de prendre des mesures techniques appropriées pour garantir la sécurité et la confidentialité des communications.

Le problème de la faible adoption du chiffrement de bout en bout (E2E) via SMIME ou PGP est connu. Vouloir communiquer en E2E avec les clients (notamment les particuliers) échoue généralement en raison de la simple faisabilité pratique.

Exigences légales pour le secteur juridique en matière de communication par e-mail

Les avocats sont tenus au secret professionnel. C'est notamment en raison de cette qualité qu'ils doivent veiller tout particulièrement à ce que le contenu des communications entre eux et leurs clients reste confidentiel.

Le guide d'orientation de la Conférence des autorités indépendantes de protection des données fédérales et des États fédérés du 27 mai 2021 fait la distinction entre les obligations en cas de risques normaux et les obligations en cas de risques élevés. Selon les cas, un chiffrement de transport peut constituer une protection suffisante, ou bien un chiffrement de transport qualifié et éventuellement un chiffrement E2E sont nécessaires.

Étant donné que l'existence d'un secret professionnel peut constituer un indice de risque élevé, les personnes tenues au secret professionnel doivent examiner avec une attention particulière le niveau de risque dans chaque cas.

Le chiffrement de transport qualifié devrait être utilisé par défaut

Il n'existe pratiquement plus de services e-mail aujourd'hui qui n'ont pas activé le chiffrement de transport. Cela signifie qu'en cas de risque normal, on peut généralement supposer que la communication avec le client est conforme à la protection des données. Néanmoins, un risque élevé subsiste dans certains cas : l'attestation d'incapacité de travail dans une affaire de droit du travail pouvait-elle être reçue ou envoyée par e-mail dans le cadre de la communication normale ?

Dans ce contexte, il est recommandé à tout cabinet de mettre en place les dispositions techniques nécessaires pour un chiffrement de transport qualifié.

Chiffrement de transport qualifié selon BSI TR-03108

Le BSI établit avec la Directive technique TR-03108 des exigences pour la communication sécurisée par e-mail et définit l'état de l'art. Une partie des mesures de sécurité doit être fournie ou mise en œuvre par les fournisseurs de services e-mail. Cependant, pour que les différents protocoles de sécurité fonctionnent et s'articulent correctement, il est nécessaire d'adapter les entrées DNS spécifiques au domaine.

L'effort de mise en œuvre du chiffrement de transport qualifié n'est nécessaire qu'une seule fois

Étant donné que le chiffrement de transport qualifié ne doit être configuré qu'une seule fois par le cabinet et permet ensuite, sans aucune interaction supplémentaire, un niveau de protection nettement plus élevé dans le trafic e-mail, il est surprenant que seulement environ 4 % des cabinets en Allemagne l'aient activé.

Dans de nombreux cas, les administrateurs de cabinet pourraient effectuer la configuration sans coûts supplémentaires et sans temps d'arrêt.

Étude : Adoption des techniques de sécurité e-mail dans le secteur juridique

Les auteurs ont, en amont de la rédaction de cet article, extrait environ 25 000 enregistrements de données de l'annuaire officiel national des avocats du barreau fédéral allemand et analysé les adresses e-mail qui y figurent. Les entrées spécifiques aux e-mails des serveurs de domaine pour les domaines associés aux adresses e-mail ont été récupérées et les serveurs e-mail identifiés ont été analysés (de manière non intrusive).

Collecte de données via le service de recherche du barreau fédéral allemand

En Allemagne, environ 165 800 avocats sont agréés et peuvent être trouvés via le service de recherche de la BRAK. Le site web de l'annuaire officiel national des avocats offre la possibilité de lister tous les avocats agréés pour chacune des 29 circonscriptions. Ils sont affichés par groupes de six entrées par page. Par web scraping, nous avons téléchargé et enregistré les adresses e-mail des six personnes listées sur chaque cinquième page de l'annuaire des avocats pour chaque circonscription. De cette façon, environ 20 % des avocats agréés en Allemagne ont été recensés.

Une adresse e-mail n'a pas pu être capturée pour chaque entrée. De nombreuses personnes enregistrées dans l'annuaire utilisent le même domaine dans leur e-mail. Soit parce qu'elles utilisent le serveur e-mail de T-Online par exemple sans domaine propre, soit parce qu'en tant que membre d'un grand cabinet comme Fresh*** par exemple, elles avaient indiqué une adresse e-mail "@fresh***.com".

Après avoir nettoyé les données obtenues des erreurs et des doublons, un total de 12 105 domaines e-mail différents a pu être généré à partir des données. Le domaine e-mail désigne ici la partie d'une adresse e-mail après le signe "@", par exemple "t-online.de" pour "ra-schmidt2341@t-online.de".

Analyse des protocoles de sécurité mis en œuvre par domaine e-mail

Les protocoles de sécurité présentés dans la suite de l'article peuvent être vérifiés pour un domaine e-mail donné par des requêtes ciblées sur les serveurs DNS ainsi que par des tentatives de connexion au serveur de messagerie enregistré dans l'entrée DNS.

Pour ce faire, on utilise l'outil Linux "dig" ainsi qu'un logiciel open source mecsa-st publié par la Commission européenne dans le cadre d'une étude de 2020. (Lien vers l'outil sur GitHub)

Chacun des 12 105 domaines a ensuite été examiné avec les deux outils et les résultats ont été sauvegardés pour d'autres analyses.

En raison de la nature de l'enquête, seules des parties des protocoles de sécurité ont pu être examinées. Pour une analyse complète de la mise en œuvre correcte des protocoles de sécurité respectifs, une communication réelle par e-mail avec le serveur de messagerie examiné aurait été nécessaire. L'analyse se limite donc à la présence des entrées DNS reconnaissables "de l'extérieur", qui permettent ensuite de conclure à une mise en œuvre (correcte) dans le serveur de messagerie.

En ce qui concerne TLS, il convient d'ajouter que l'analyse ne détecte que si un serveur de messagerie prend en charge TLS, mais pas s'il reçoit ou envoie obligatoirement uniquement via TLS.

Nettoyage et évaluation des résultats d'analyse

Les résultats d'analyse des 12 105 domaines interrogés ont nécessité quelques étapes de nettoyage avant leur évaluation. Il s'est avéré après l'analyse que certains serveurs de messagerie fréquemment interrogés renvoyaient apparemment un résultat négatif pour le test STARTTLS, bien qu'ils prennent en charge STARTTLS. Cela a pu être attribué au fait que l'analyse effectuée par les auteurs dépassait la limite de requêtes par unité de temps sur les serveurs concernés.

Ces incohérences dans les données ont pu être éliminées par des vérifications manuelles ultérieures.

Résultats de l'analyse : Adoption des protocoles de sécurité

L'étude menée par les auteurs révèle une image fondamentalement positive :

Parmi les 11 546 domaines à évaluer après correction des erreurs, 11 436 des serveurs e-mail utilisés ont mis en œuvre TLS avec des certificats valides (plus de 99 %). (Il convient de noter à ce stade qu'on ne peut pas conclure avec certitude que les autres n'ont pas du tout mis en œuvre TLS. Il peut y avoir différentes raisons pour lesquelles le test fournit des résultats faux négatifs pour certaines connexions.)

Une grande majorité a également mis en œuvre les protocoles importants DKIM et SPF. Il est intéressant de noter que l'entrée DMARC correspondante n'est définie avec la valeur "quarantine" ou "reject" que dans un peu moins d'un quart des domaines testés. Cela est surprenant, car il s'appuie directement sur DKIM et SPF et ne représente aucun effort de mise en œuvre supplémentaire pour l'avocat ou le cabinet concerné.

DANE et DNSSEC sont cependant loin derrière. Il existe certains fournisseurs qui mettent déjà en œuvre ces protocoles de sécurité par défaut. Si un cabinet ou un avocat utilise ce service directement (c'est-à-dire sans son propre domaine), il en bénéficie immédiatement.

Mise en œuvre pour les cabinets

La plupart des cabinets et services juridiques n'exploitent pas leurs propres serveurs de messagerie, mais utilisent des services de fournisseurs tiers comme Microsoft 365 ou Google Workspace. Néanmoins, ils disposent généralement de leur propre domaine.

Pour pouvoir utiliser des mesures comme SPF, DKIM, DMARC ou DANE, les entrées DNS nécessaires doivent être créées et enregistrées pour le domaine propre. Les vérifications et actions réelles sont ensuite effectuées par les serveurs de messagerie des fournisseurs de services. Il s'agit essentiellement de paramètres à effectuer une seule fois.

TLS est déjà standard chez tous les serveurs de messagerie courants et ne nécessite généralement aucune action de la part du cabinet. L'adoption pratiquement complète de cette norme observée n'est donc pas surprenante.

Les administrateurs (ou les avocats expérimentés) peuvent alors saisir les paramètres nécessaires dans le système DNS de leur propre domaine.

DANE et DNSSEC sont déjà pris en charge par de nombreux registraires de domaine. Cependant, la mise en œuvre est différente : certains fournisseurs offrent une activation simple par bouton et effectuent automatiquement les paramètres nécessaires. D'autres nécessitent une configuration plus complexe à effectuer par l'administrateur du cabinet.

Pour mettre en œuvre DANE, après activation de DNSSEC, les enregistrements TLSA doivent être définis. Nous n'avons pas d'aperçu complet du marché, mais nous avons dû constater par notre propre expérience (douloureuse) que Microsoft, par exemple, avec son offre de serveur de messagerie (Exchange 365), ne peut pas faciliter la fourniture des informations nécessaires :

Étant donné que la Directive technique BSI-TR-03108 considère la mise en œuvre de DANE comme nécessaire pour un trafic e-mail sécurisé, les cabinets devront éventuellement s'intéresser aux aspects de sécurité pris en charge par les fournisseurs de services e-mail.

Conclusion

La sécurité des e-mails est un sujet important pour tout cabinet. Des mesures comme TLS, SPF, DKIM et DMARC peuvent être mises en œuvre avec un effort raisonnable et offrent une protection efficace contre de nombreuses menaces. DANE et DNSSEC sont déjà légalement nécessaires aujourd'hui, mais compte tenu de leur adoption et des obstacles à la mise en œuvre, ils doivent actuellement être considérés comme prometteurs pour l'avenir.

Plateforme MaraDocs Upload

En complément de notre produit actuel MaraDocs, nous développons activement une plateforme de téléchargement pour permettre l'échange de fichiers entre les cabinets et leurs clients. La plateforme garantira que les fichiers échangés entre les cabinets et les clients sont confidentiels et sécurisés.

Restez informés et inscrivez-vous à notre newsletter.