Choix d'un algorithme de chiffrement pour sécuriser un parc informatique équipé d'un serveur Zimbra.

Bonjour à tous !

Je suis étudiant en 2ème année et je travaille actuellement sur un projet personnel visant à sécuriser un parc informatique équipé d’un serveur de messagerie Zimbra à l’aide de la cryptographie. Je cherche à déterminer quel algorithme de chiffrement serait le plus adapté pour ce type de projet. J’ai envisagé de combiner PGP et S/MIME, mais je suis ouvert à d’autres suggestions. Pourriez-vous me conseiller sur la meilleure manière d’implémenter ces algorithmes en Python ou me recommander d’autres algorithmes plus appropriés ? Merci d’avance pour vos retours.

Hello,

Tu cherches à chiffrer quoi exactement ? Le trafic réseau ? Les données stockées au repos ? Les e-mails échangés ?

PGP est en effet un bon moyen de chiffrer les e-mails entre deux clients équipés pour déchiffrer (et qui ont donc déjà échangé leurs clés publiques), mais ça ne chiffre que le contenu du mail, pas les entêtes ni le trafic réseau nécessaire à l’échange.

Enfaite, je cherche à mettre en place une solution de chiffrement complète pour protéger mon système. Cela implique de chiffrer non seulement les e-mails (ce que PGP permet), mais tout ce qui est dans le parc. Existe-t-il un algorithme de chiffrement unique capable de sécuriser l’intégralité d’un système informatique?

Il n’y a pas une solution de chiffrement universelle pour "protéger ton système", ça ne veut pas dire grand chose formulé ainsi, et on ne comprend pas ce que tu veux protéger précisement.

Voici des mesures à mettre en oeuvre pour protéger X de Y :

• le chiffrement au niveau des emails (avec PGP par exemple) permet de garantir la confidentialité des échanges, même contre le fournisseur du service d’emails, il est typiquement mis en oeuvre par les correspondants, indépendamment de leurs prestataires respectifs ;
• le chiffrement du disque du serveurs qui fait tourner un service d’email permet de protéger les données présentes dessus dans le cas où un vol de matériel aurait lieu (disque arraché), cela concerne aussi bien des emails qui y seraient stockés que tout le reste (configuration du système, etc.), cela est typiquement mis en oeuvre par les administrateurs des systèmes physiques, avec LUKS par exemple ;
• la protection de la communication entre deux serveurs d’emails (typiquement avec TLS (SMTPS)) permet de garantir la confidentialité, l’authenticité et l’intégrité de l’échange entre deux serveurs d’emails quand ils se relaient le courrier, cela permet notamment de se prémunir contre une attaque de type MITM.

Il y a plusieurs mesures à mettre en oeuvre de façon complémentaire, chacune agissant sur un niveau particulier.

Que veux-tu protéger, et contre qui ou quoi ?

Je rejoins @Bleu, ce n’est pas hyper claire ce que tu souhaites faire.

Le chiffrement des e-mails est pratiqué par les utilisateurs même, pas par le serveur d’e-mail. Il y a le cas de ProtonMail qui fait différemment, mais c’est une exception. Tu n’as donc pas à toucher à PGP en tant qu’administrateur système, ce sont tes clients qui, s’ils le souhaitent, mettent en place un chiffrement de bout en bout de leur e-mail. On parle de chiffrement coté client (CSE, Client-Side Encryption si tu veux trouver de la documentation.)

Aussi, je ne comprends pas si souhaites héberger un serveur d’e-mail ou juste un web client. Si c’est le premier cas, Zimbra (ZCS) est effectivement basé sur pleins de logiciel libres qui vont supporter le chiffrement à leur niveau, c’est-à-dire, celui qui a du sens dans leur contexte. Le plus souvent, c’est une surcouche TSL à un protocole existant, donc la configuration de SMTPS plutôt que STMP et IMAPS plutôt que IMAP (mais également HTTPS plutôt que HTTP).

Pour finir, il n’y a pas juste le chiffrement, une grosse part de la sécurité des e-mails est l’authentification. Donc la mise en place de DKIM, DMARK et SPF puis la protection des noms de domaines associés.

Bref ! Si tu héberges des e-mails, assure-toi :

• D’utiliser la version sécurisée des protocoles ayant une surcouche TSL généralement
• D’avoir bien mis en place l’authentification de tes serveurs d’e-mail
• De chiffrer les disques durs sur lesquelles tu stockes les e-mails (LUKS par exemple)
• D’avoir une gestion des sauvegardes serveurs.
• De bien sécurisé les NdD associés à tes serveurs (principalement s’assurer que toutes les personnes qui ont accès à la modification des enregistrements DNS sont connus, la mise en place de 2FA sur ce service, potentiellement, la mise en place de DNSSEC, même si c’est pas très utilisé/supporter il me semble donc pas forcément).

Merci à vous pour vos conseils. Maintenant, ça devient clair.

Et oui, j’héberge un serveur d’e-mail Zimbra et sa protection était le but primordial de ce projet.