web-dev-qa-db-fra.com

Sécurité des télécopies et des e-mails

Contexte

L'autre jour, un ami qui travaille dans les soins de santé m'a demandé quelle méthode de communication était plus sécurisée, par télécopie ou par courrier électronique. Il a nuancé sa question en disant que son bureau télécopie les dossiers des patients toute la journée, tous les jours, ce qui ne devrait surprendre personne.

Je me suis gratté la tête et ai balancé certaines considérations, service de messagerie privé vs hébergé, mais sa question m'a vraiment fait réfléchir.

Ma question

L'envoi d'un fax est-il plus sûr ou moins sécurisé que l'envoi d'un e-mail lors de la communication de données sensibles?

Considérez les variantes simples suivantes:

  1. Serveur de messagerie privé auto-hébergé vs fax.
  2. Serveur de messagerie privé hébergé (serveur colocalisé par exemple) vs fax.
  3. Service GMail hébergé (par exemple, ne pas chercher sur Google) par rapport au fax.

Qualifications

Pour cette question, imaginez que dans chaque instance de courrier électronique ci-dessus, les meilleures pratiques de base sont suivies.

Je me demande si une méthode a une surface d'attaque plus grande que l'autre. Est-il plus facile de bien faire les choses dans l'empreinte de sécurité dans un cas par rapport à l'autre, par fax ou par e-mail?

Mise à jour

Aux fins de comparaison, considérons que les courriels/télécopies proviennent des patients des fournisseurs de soins de santé et des fournisseurs aux autres fournisseurs.

Exemple:

[email protected] -> [email protected]

o

[email protected] -> [email protected]

Ainsi, les "meilleures pratiques" couvriraient ce que les prestataires de soins de santé devraient faire pour garantir qu'ils fonctionnent comme un système sécurisé qu'ils peuvent dans ce scénario.

emailfax
13
datUser

Si vous demandez si les informations sensibles sont plus sûres lorsqu'elles sont envoyées par téléphone ou via Internet, vous recherchez probablement une protection sur la mauvaise couche.

Si les "meilleures pratiques de base" sont suivies, toutes les informations sensibles que vous ne souhaitez pas divulguer à des tiers seront protégées par un chiffrement de bout en bout pendant la transmission. À ce stade, peu importe que les données soient transmises par fax, Internet ou pigeon voyageur . Le cryptage est ce sur quoi vous comptez pour la protection - pas le support de transmission ou l'infrastructure.

Pour résoudre les problèmes de pièces jointes malveillantes par e-mail ou par télécopie, la cryptographie entre toujours en jeu. Seulement cette fois, vous n'utilisez pas le cryptage. Vous utilisez des signatures numériques. Ensuite, vous êtes sûr que l'expéditeur ne signera pas un paquet contenant une pièce jointe malveillante. On peut soutenir que le courrier électronique peut être différencié des télécopies ici, en ce sens que même avec la cryptographie, on peut toujours recevoir une pièce jointe malveillante - et cela a beaucoup plus d'impact sur un ordinateur que sur du papier.

Dans les deux cas, vous devez vous assurer que les parties aux deux extrémités disposent des outils et des clés cryptographiques appropriés. Encore une fois, cela va quel que soit le format de transmission. Vous êtes probablement plus susceptible d'être en mesure de coordonner la prise en charge des e-mails chiffrés et signés numériquement que vous n'êtes des télécopies, et c'est ce qui donne au courrier électronique une longueur d'avance distincte dans cette discussion.

Mais encore une fois, le fait demeure que votre support de transmission ne devrait pas être ce sur quoi vous comptez pour protéger les données sensibles. Protégez-le avant qu'il ne sorte de votre système, et vous n'avez pas à vous soucier des maillons faibles - ou des faucons - qui peuvent se trouver entre les deux.

Et à la fin, une grande partie de la différence peut devenir discutable de toute façon. Ce que vous mettez dans votre télécopieur est tout aussi susceptible (sinon plus probable) d'atterrir à l'intérieur de la boîte de réception électronique de quelqu'un ces jours-ci que d'être réellement imprimé par un autre télécopieur.

7
Iszi

Comme la plupart des éléments de sécurité, cela dépend de ce que vous essayez de protéger.

Les télécopies sont moins sensibles aux attaquants distants, mais plus vulnérables aux attaquants locaux.

De nombreux télécopieurs sont installés dans un environnement partagé où toute personne au bureau peut avoir accès au télécopieur. Un fax n'est pas considéré comme sécurisé et ne se trouve généralement pas dans des zones sécurisées. Cela les rend sujets à simplement traîner près du télécopieur et intercepter un fax.

Les télécopies sont imprimées sur du papier qui doit ensuite être éliminé. L'élimination n'est pas toujours effectuée de manière sécurisée et pourrait être soumise à plongée dans une benne à ordures . De plus, certains fax utilisent toujours un mécanisme de transfert thermique où le retrait du ruban du fax rend trivial le fait de voir ce qui a été transmis dans tous les fax précédents.

Le courrier électronique est cependant plus sujet aux attaquants distants. Le courrier électronique est connecté à Internet, il existe donc un pool d'attaquants beaucoup plus large et des voies d'attaque bien plus importantes. Il est également beaucoup plus facile d'ex-filtrer de grandes quantités de données par e-mail que par fax.

Ne cherchez pas plus loin que l'énorme violation de messagerie de Sony. Il n'est même pas possible que ce volume de données se soit répandu via Fax.

Les télécopies offrent peu ou pas de moyens d'authentification par rapport aux courriels

L'usurpation d'e-mails n'est pas difficile, mais il existe plusieurs technologies conçues pour identifier les personnes qui essaient d'usurper une adresse e-mail comme SPF et Domainkeys. Il n'y a pas de technologie conçue pour vérifier que la personne qui prétend avoir envoyé le fax est bien celle qui l'a envoyé.

.

6
Steve Sether

Je ne suis pas totalement d'accord avec l'une ou l'autre réponse actuelle.

TLDR; Vous devriez avoir les deux, ZIX est génial, vous aurez des fournisseurs et des tiers qui nécessitent un fax.

FAX était à l'origine une ligne directe point à point entre 2 appareils sur un réseau contrôlé régi par la FCC.

Aujourd'hui, la télécopie peut être effectuée sur 2 systèmes principaux, analogique et numérique, ou une combinaison des deux.

Le problème est le contrôle, si vous utilisez Internet, vous donnez le contrôle de systèmes hébergés tiers, certains sont certifiés pour une utilisation telle que les dossiers médicaux, ces sociétés maintiennent des connexions T1 massives pour mettre fin à votre eFax en PSTN, et vice versa, donc dans ce Par exemple, j'envoie un e-mail via SMTP (TLS/SSL) à leurs serveurs, leurs serveurs le convertissent en tiff et le faxent sur leur système. Lorsque je reçois un e-mail de leur part, je télécharge le TIFF à partir d'un site HTTPS ou ils configurent un partenariat TLS avec mon système de messagerie local.

Il est beaucoup plus difficile de contrôler votre chemin par e-mail, vous devriez donc rechercher une solution qui peut le faire pour vous.Nous utilisons ZIX, ZIX gère une liste de passerelles contrôlées avec lesquelles il communique via le cryptage de type PGP sur Internet. Pour toute destination qui ne se trouve pas sur ce réseau contrôlé, ils établissent un contact avec l'utilisateur final, les invitant à créer un compte sur ce portail de réseau contrôlé, également appelé ZIX Portal ou ZIX Messaging Center.

C'est une question de contrôle d'accès.

Sources:

Bonne chance.

P.S. MITM Attack for Fax ... le fax s'imprime et le gars d'UPS le ramasse en sortant.

2
Jacob Evans

La sécurité de la télécopie devrait être remise en question. Surtout si des serveurs de télécopie tiers sont utilisés. Un fax peut être envoyé à un serveur pour une distribution multiple ou comme stockage pour un affichage local sur les terminaux.

Ces serveurs de fax locaux et distants peuvent ne pas être cryptés et soumis à une utilisation non autorisée.

0
patrdcflorida