Pourquoi tous les expéditeurs d’emails devraient se préoccuper de TLS et de STARTTLS

Lorsque vous cliquez sur le bouton d’envoi d’une campagne d’emailing, vous imaginez probablement qu’elle arrive directement dans la boîte de réception de votre client. En réalité, l’email suit un chemin un peu plus compliqué que ça. Votre message passe d’un serveur à l’autre, et traverse des réseaux que vous ne contrôlez pas, jusqu’à ce qu’il atteigne enfin sa destination.

Mais il y a un petit problème : si ces connexions ne sont pas cryptées, votre message devient l’équivalent d’une carte postale. Quiconque le manipule en cours de route, que ce soient des fournisseurs d’accès à internet, des routeurs compromis, voire même des acteurs malveillants, peut en lire ou en modifier le contenu.

Pensez aux types de messages que vous envoyez :

• Des confirmations des commandes avec les détails du client

• Des liens de réinitialisation du mot de passe

• Des emails de marketing liés à l’identité des clients

Cela vous viendrait-il a l’idée d’envoyer tout ça sur carte postale ? Probablement pas…

C’est là qu’intervient TLS.

Transport Layer Security (TLS) est un protocole qui crypte la connexion entre les serveurs d’email. C’est un peu comme si l’on scellait une lettre dans une enveloppe avant de l’envoyer par la poste. TLS garantit que vos emails voyagent dans cette même enveloppe scellée, bien à l’abri des regards indiscrets et protégés contre les manipulations, afin d’être livrés avec la confiance dont votre marque dépend.

Lorsque les serveurs d’envoi et de réception prennent en charge le protocole TLS, les messages sont transmis en toute sécurité. Cela permet de protéger les informations sensibles, de maintenir la confiance des clients et de garantir la conformité en matière de protection de la vie privée.

L’email n’est plus seulement un canal de marketing : les entreprises s’en servent aussi pour envoyer des factures, vérifier des identités, réinitialiser des mots de passe et communiquer des données sensibles. Chacun de ces messages se doit d’être protégé en transit. TLS vous aide sur cinq points importants :

Sans TLS, votre email peut être intercepté, lu, voire modifié par toute personne ayant accès au réseau entre les serveurs. Il peut s’agir d’un FAI, d’un routeur compromis ou d’un mauvais acteur effectuant une attaque de type « man-in-the-middle ».

Avec TLS, la connexion est cryptée. Même si quelqu’un intercepte le trafic, il ne pourra voir que des données brouillées impossibles à lire.

Les clients sont de plus en plus sensibles à la sécurité numérique. S’ils découvrent que votre marque envoie des emails non cryptés, cela vous donne une mauvaise image, même si rien de malveillant ne se produit.

Certains clients et fournisseurs de messagerie affichent même des indicateurs de sécurité (comme une icône de cadenas) lorsque TLS est utilisé. Ces indices subtils renforcent l’idée que votre marque est professionnelle et digne de confiance.

Les cadres réglementaires tels que le RGPD, l’HIPAA, et les normes du secteur telles que PCI DSS attendent des entreprises qu’elles prennent des mesures raisonnables pour protéger les données à caractère personnel en transit. TLS est considéré comme la base.

Le fait de ne pas utiliser le protocole TLS ne met pas seulement vos destinataires en danger : cela peut également vous amener à ne pas respecter la conformité, entraînant ainsi des amendes, des audits ou des problèmes contractuels avec vos partenaires.

Les services de messagerie (comme Gmail, Yahoo, Outlook) se soucient de la sécurité de leurs écosystèmes. Si vous envoyez des messages sans TLS, certains fournisseurs peuvent les déprioriser, les signaler comme étant moins sûrs ou, dans certains cas extrêmement rares, les rejeter.

Tandis qu’en utilisant systématiquement le TLS, vous indiquez aux fournisseurs que vous êtes un expéditeur légitime qui prend au sérieux les pratiques sécurisées. Cela peut améliorer votre réputation d’expéditeur et votre placement en boîte de réception.

Si le protocole TLS n’est pas appliqué, les attaquants peuvent parfois inciter les serveurs à passer à une version inférieure, afin d’envoyer l’email en texte brut. Votre message reste donc exposé, même si les deux parties sont compatibles avec TLS.

En configurant STARTTLS afin de le mettre en place, vous bloquez ce risque. Soit votre email est livré de manière sécurisée, soit il n’est pas livré du tout : il n’y a pas de solution intermédiaire non sécurisée.

Par défaut, de nombreux serveurs d’email essaient d’utiliser TLS si les deux parties le supportent, mais si TLS n’est pas disponible, ils se rabattent sur la livraison non cryptée. Par conséquent, vos emails peuvent encore être envoyés comme de simples cartes postales.

STARTTLS est une commande de protocole d’email qui exige qu’un serveur d’email passe d’une connexion non cryptée à une connexion cryptée utilisant TLS. Et surtout, vous pouvez configurer votre système pour qu’il applique le protocole STARTTLS, exigeant ainsi que tous les emails destinés à un domaine donné soient cryptés, faute de quoi ils ne seront pas livrés.

Comme indiqué, cela permet d’éviter les attaques de type « version inférieure », où un mauvais acteur force la connexion à se rabattre sur une livraison non sécurisée.

La bonne nouvelle pour les expéditeurs, c’est que la plupart des services d’emailing modernes et des normes de sécurité exigent désormais TLS 1.2, ou une version supérieure (y compris Mailjet), et ne requièrent aucune action de votre part. Ce qui signifie que vous travaillez déjà sur une base sécurisée. Cependant, certaines plateformes acceptent encore les protocoles TLS 1.0 et 1.1, qui sont considérés comme obsolètes et moins sûrs. Si vous gérez votre propre infrastructure, assurez-vous que vos serveurs prennent en charge TLS 1.2 ou une version plus récente.

TLS n’est plus facultatif. C’est la norme pour la protection de vos destinataires, de votre marque et de votre délivrabilité. En activant et en appliquant STARTTLS, vous vous assurez que vos emails ne sont pas seulement livrés, mais qu’ils sont livrés en toute sécurité.

Auteur: Dale Hart Responsable du marketing de contenus chez Sinch Mailjet