Le chiffrement de bout en bout arrive pour Gmail sur Android et iOS

Google étend le chiffrement de bout en bout à l'application mobile de Gmail pour les utilisateurs entreprises de Workspace. Cette fonction répond à des enjeux de conformité, sécurité et confidentialité. Elle désactive par contre certaines capacités comme l'IA et la recherche avancée.

Face à la concurrence des messageries instantanées, Google pousse le chiffrement de bout en bout (E2EE) de Gmail sur les terminaux mobiles Android et iOS. Il s'agit d'une grande évolution souligne Avivah Litan, analyste au sein du cabinet Gartner : « Dans l’ensemble, il s’agit d’une mise à jour bienvenue, surtout au vu des récentes inquiétudes concernant les méthodes de chiffrement de WhatsApp. L'approche de Google propose des clés vérifiables gérées par le client et garantit que le fournisseur n'a pas accès au contenu chiffré. » Selon elle, cela répond aux allégations soulevées dans le cadre du procès intenté en janvier 2026 contre Meta concernant son accès interne aux données des messages chiffrés des clients. Ce fournisseur aurait déclaré que ces allégations étaient fausses et que les messages WhatsApp restaient protégés par défaut, mais les allégations contenues dans la plainte n'ont pas été prouvées devant les tribunaux.

La mise à jour de la firme de Mountain View en matière de chiffrement ne concerne cependant que les entreprises souscrivant à l'option « enterprise plus with assured controls » de son offre Premium Workspace. Les messages et les pièces jointes sont chiffrés directement sur le terminal, les clés de chiffrement étant gérées en externe par le client. « Pour les RSSI dans les secteurs réglementés, cette évolution est importante, car elle favorise la sécurité des communications mobiles, la conformité à des réglementations telles que la loi HIPAA (health insurance portability and accountability act) aux États-Unis et le RGPD (règlement général sur la protection des données) en Europe, et réduit le risque d'exposition des données en clair sur les appareils mobiles », a-t-elle déclaré. « Les destinataires externes conservent la possibilité de répondre via un portail web. » Cependant, ajoute Avivah Litan, cette fonctionnalité reste facultative, nécessite une licence premium et une configuration administrative, et désactive plusieurs fonctions de Gmail, notamment les fonctionnalités IA et de recherche avancée, sur le contenu chiffré. Mais, a-t-elle souligné, ces limitations sont conformes à celles des versions web et de bureau de Gmail.

Des clients mobiles à activer

Si Google propose cette dernière fonction E2EE, ce n'est pas le cas de Microsoft. Un porte-parole de la firme de Redmond a indiqué dans un e-mail que la société n'offrait actuellement pas ce chiffrement de bout en bout pour Outlook sur mobile, bien que les messages puissent être signés numériquement et chiffrés. Dans son communiqué du 9 avril, Google a déclaré que les utilisateurs de Workspace pouvaient rédiger et lire des messages chiffrés de bout en bout de manière native dans l'application Gmail sur Android et iOS, sans avoir à télécharger d'applications supplémentaires ni à utiliser de portails de messagerie. Les utilisateurs disposant d'une licence Gmail E2EE peuvent envoyer un message chiffré à n'importe quel destinataire, quelle que soit leur adresse e-mail. Si le destinataire utilise l'application Gmail, le message chiffré sera livré sous la forme d'un fil de discussion normal dans sa boîte de réception, mais si ce n'est pas le cas, il pourra le lire et y répondre de manière transparente et sécurisée dans son propre navigateur natif. Selon Google, cela garantit à tous les utilisateurs une interface simple et sécurisée, quel que soit leur service de messagerie ou leur appareil.

Les administrateurs de Workspace devront activer les clients Android et iOS dans l'interface d'administration pour permettre aux utilisateurs d'accéder à cette nouvelle fonctionnalité. Les utilisateurs doivent également être informés de la nouvelle procédure : pour ajouter un chiffrement côté client à un message, ils doivent cliquer sur l'icône en forme de cadenas et sélectionner « Chiffrement supplémentaire ». Ils peuvent ensuite rédiger un message et ajouter des pièces jointes comme ils le font habituellement. Andrew Cornwall, analyste senior chez Forrester Research, a souligné que le principal avantage pour les entreprises réside dans le fait que les administrateurs Workspace ou Google peuvent désactiver la possibilité de réaliser des captures d'écran et des enregistrements d'écran lorsque les utilisateurs lisent un message chiffré dans l'application Gmail. Cela empêchera les destinataires de transférer un message sous forme d'image, a-t-il déclaré, précisant que Google peut également désactiver les captures d'écran dans Chrome pour Android pour les utilisateurs professionnels et le fera vraisemblablement lorsque des utilisateurs Android utilisant des programmes de messagerie autres que Gmail ouvriront un message dans un navigateur.

Les en-têtes et noms d'expéditeurs des messages non chiffrés

Du point de vue de l'utilisateur, a-t-il ajouté, ce chiffrement confère à Gmail un avantage par rapport aux clients de messagerie tiers tels qu'Outlook et Thunderbird, qui ne déchiffrent pas automatiquement les messages chiffrés à l'aide du mécanisme de chiffrement de Google. Contrairement à certaines méthodes de chiffrement, Gmail ne nécessite pas l'échange préalable d'une clé, ce qui incitera davantage les utilisateurs à s'en servir. Il a toutefois souligné que le chiffrement côté client de Google ne chiffre pas les en-têtes ni les expéditeurs des messages ; ainsi, un pirate ayant accès à un terminal peut toujours obtenir certaines informations potentiellement sensibles, même lorsque le chiffrement est activé. « Si vous envisagez d'utiliser Gmail pour commettre des crimes financiers ou planifier une révolte vous devez savoir que Google contrôle l'affichage et souvent le clavier sur les appareils qu'il fabrique. Même si les e-mails sont chiffrés sur le terminal, vos messages peuvent toujours être accessibles pendant leur lecture ou leur rédaction. »

Et bien que le chiffrement de bout en bout soit considéré par les experts comme une excellente protection contre le détournement des données en transit, il ne protège pas les données stockées sur des terminaux compromis, volés ou piratés, ni celles contenues dans des sauvegardes non chiffrées. David Shipley, CEO de Beauceron Security, un prestataire spécialisé dans la sensibilisation à la sécurité, a souligné que l'extension du chiffrement de bout en bout de Gmail aux plateformes mobiles aiderait les entreprises à se conformer aux exigences en matière de confidentialité. « En revanche cela va constituer un outil puissant pour les criminels. S’ils créent une instance Workspace et envoient des messages chiffrés à des utilisateurs finaux qui n’utilisent pas Gmail, dans ces cas-là, les utilisateurs recevront un lien vers un nouveau portail pour lire le message envoyé, qui ne sera pas intercepté par de nombreux outils de sécurité tels que les filtres de messagerie », prévient David Shipley.