Bonjour,
Nous sommes tous conscients des problèmes que pose la création du fichier Edvige, dont le décret est paru récemment au JO, et nous avons bien entendu signé la pétition pour s'opposer à ce décret.
Seulement, j'ai des doutes sur l'utilité de cette pétition, et je crains que toutes les manifestations contre ce décret soient vouées à l'échec (ce qui ne veut pas dire qu'il ne faut pas les tenter, loin de là). À ce propos, il semblerait que certains syndicats sont conscients du problème, et veulent tenter « quelque chose ». Nous, libristes barbus ou imberbes, intégristes ou non, êtres soucieux de notre vie privée, conscients des enjeux qui reposent sur le contrôle de l'information, ne sommes pas les seuls inquiets de ce décret.
Venons-en au fait. Le décret précise notamment que sont aussi enregistrées les « données relatives à l'environnement de la personne, notamment à celles entretenant ou ayant entretenu des relations directes et non fortuites avec elle ». Autrement dit, les amis/contacts sont fichés aussi (les amis des amis aussi ?). Or, le moyen le plus simple pour déterminer les relations qu'entretiennent deux personnes est certainement d'observer les mails qui transitent entre ces personnes. D'où l'intérêt de chiffrer nos mails.
Seulement, très peu de personnes chiffrent leurs mails (je n'ai jamais envoyé de mail chiffré à qui que ce soit, sauf à des fins de test). Or, cela est une solution particulièrement efficace (il me semble) pour protéger les communications. Si tout le monde chiffrait ses mails, déjà les mails chiffrés n'attireraient plus l'attention, et il serait très difficile pour les autorités de violer la vie privée des citoyens.
Peut-être est-il temps de faire un battage autour de cette question, de pousser nos contacts à se créer une clé PGP, pour que nous puissions chiffrer les mails que nous leur envoyons, et leur demander de chiffrer les mails qu'ils nous envoient.
Cela en vaut-il la peine ?
Note : il existe un très bon site web, expliquant très bien pourquoi et comment chiffrer ses mails avec PGP sous Windows : http://openpgp.vie-privee.org/
Journal Militer pour le cryptage des mails
16
juil.
2008
# Réseau de confiance
Posté par Larry Cow . Évalué à 5.
[^] # Re: Réseau de confiance
Posté par Samuel (site web personnel) . Évalué à 3.
Ceci dit, je doute que si tout un chacun se met à chiffrer ses mails, les niveaux de confiance soient utilisés par plus de 5% des utilisateurs.
[^] # Re: Réseau de confiance
Posté par seginus . Évalué à 3.
Donc je pense que la chiffrage est quand même préférable, et rien n'empèche de noyer le poisson en créant et chiffrant de multiples cléfs inutiles.
[^] # Re: Réseau de confiance
Posté par Pierrick C. (site web personnel) . Évalué à 3.
Le chiffrement des mail, ne concerne que le contenu. Les destinataires et expéditeur sont en clair.
Sinon, comment ferait les serveur pour diriger correctement les courriels. A moins bien sûr que les serveur est accès aux clefs.
Donc au final, on aura un lien entre deux personnes mais pas de pourquoi. Mais bon, le fait de chiffrer est un information en soit: compétences (ou au moins connaissances) et volonté de caché quelque chose.
Reste quand même qu'on peut fausser facilement l'adresse de l'expéditeur. C'est toujours ça de gagner mais bon, c'est aussi très partielle comme solution.
[^] # Re: Réseau de confiance
Posté par Samuel (site web personnel) . Évalué à 10.
C'est ça l'intérêt : pousser tout le monde à chiffrer (sur le même principe que « je ferme l'enveloppe en la mettant à la poste »), de manière à ce que n'apparaisse plus la « volonté de cacher quelque chose », et que cette compétence technique soit acquise du plus grand nombre.
[^] # Re: Réseau de confiance
Posté par seginus . Évalué à 10.
[^] # Re: Réseau de confiance
Posté par kurun . Évalué à 10.
Attention, ce n'est pas parce qu'on veut cacher quelque chose que ce quelque chose est répréhensible. C'est souvent l'amalgame qui est fait par les tenant du tout sécuritaire: "Si vous n'avez rien n'a cacher, laissez moi ouvrir votre courrier, fouiller votre maison et votre voiture". Non, quand je téléphone à ma copine, je n'ai rien à cacher (à part peut être des recettes sexuelles que m'envient beaucoup d'hommes!) mais je n'ai pas envie qu'on vienne m'écouter
[^] # Re: Réseau de confiance
Posté par Tulan . Évalué à 0.
Bilan: aucun intérêt de chiffrer ses mails pour se protéger de l'Etat :-S
[^] # Re: Réseau de confiance
Posté par Samuel (site web personnel) . Évalué à 10.
Actuellement, il peuvent mettre en place des outils automatique de violation de la vie privée sans que quiconque s'en aperçoive, et c'est là qu'est le problème.
[^] # Re: Réseau de confiance
Posté par ribwund . Évalué à 7.
[^] # Re: Réseau de confiance
Posté par khivapia . Évalué à 5.
D'autre part, nul n'est tenu de témoigner contre lui-même. Donc l'accusé d'un crime et d'un délit, s'il a utilisé la cryptologie pour le commettre, ne doit pas être tenu de fournir ses clefs privées. En revanche, il est normal (article 132-79) que si un moyen de cryptologie a été utilisé, si le jury a l'intime conviction que le prévenu est coupable (soit en décryptant les chiffrés, soit par d'autres moyens), la peine encourue soit augmentée dans de fortes proportions. À noter qu'il ne s'agit que de la peine de prison, les peines d'amende ne sont pas augmentées.
Ensuite, un autre cas concerne les tiers qui pourraient être au courant des clefs. Ceux-là sont tenus de coopérer avec la justice si elle en fait la demande (article 434-15-2 du même code), et les peines sont augmentées si ils ne coopèrent pas et que coopérer aurait empêché la commission du crime ou du délit.
Enfin, n'oublions pas l'article 0 du code pénal, pas vu, pas pris :-) Ou plutôt, la base de la démocratie repose sur le fait que les citoyens sont prévenus des peines qu'ils encourent (pas d'emprisonnement arbitraire, etc.), le code pénal est d'interprétation stricte.
[^] # Re: Réseau de confiance
Posté par Ellendhel (site web personnel) . Évalué à 1.
Encore faut-il qu'il n'ait pas laissé les informations qui y sont liées sur un papier quelconque, auquel cas cela pourrait se retourner contre lui, il me semble.
[^] # Re: Réseau de confiance
Posté par khivapia . Évalué à 2.
[^] # Re: Réseau de confiance
Posté par briaeros007 . Évalué à 3.
Détention "provisoire" (chez qui ca dure plus d'un an), rétention de sureté, ...
sisi , y 'a bien de l'emprisonnement arbitraire (ie sans avoir été hugé) en france
[^] # Re: Réseau de confiance
Posté par jcs (site web personnel) . Évalué à 2.
[^] # Re: Réseau de confiance
Posté par briaeros007 . Évalué à 1.
Ah, tu as eu un procés équitable ?
Ah ben non vu que c'est AVANT ton procés.
D'ailleurs c'est tellement peu arbitraire qu'aucun innocent n'est en prison en détention préventive.
Alors on peut jouer sur les mots, mais le fait est que
1°) tu n'as pas de procés
2°) la décision est prise seulement sur une simple présemption (le débat "contradictoire me fait bien marrer : si un juge des libertés a décider que tu irais au trou, tu y ira! T'inquiète pas pour ça ... a moins d'avoir un super bon avocat bien entendu.)
Je rappellerais Outreau, preuve qu'il y a que des criminels en détention, ou encore quelques chiffres en 97 (il parait que ca a évolué en "bien" depuis ce temps mais bon ...)
l faut savoir qu'en 1997, environ 41% de la population carcérale était composée de détenus provisoires et que ce chiffre atteignait même 52% en 1984.
Quant à la durée :
Le but de la détention provisoire c'est quand normalement on peut pas faire autrement si j'en crois wikipedia :
De plus, les lois de 1996 et 2000, en voulant renforcer le caractère exceptionnel de ce type de détention, disposent que la détention provisoire doit être le seul moyen :
de conserver les preuves et/ou les indices matériels
ou d'empêcher une pression sur les témoins ou les victimes
ou d'éviter une concertation frauduleuse entre la personne mise en examen et ses complices
ou de protéger le mis en examen
ou de mettre fin à l'infraction ou/et d'éviter son renouvellement
ou de garantir le maintien de l'intéressé à la disposition de la justice, c'est-à-dire éviter sa fuite
ou de préserver l'ordre public (motif valable uniquement en matière criminelle). Pour cette dernière notion le législateur, face à sa grande utilisation, est venu préciser son sens : l'infraction doit avoir provoqué un trouble exceptionnel et persistant à l'ordre public auquel la détention est l'unique moyen de mettre fin.
[petit apparté
Bon juste comme ça, sur chacun des points il est super facile de baratiner pour expliciter que bidule represente un danger :ex con :
il est suspect, il sait qu'il est suspect, donc il va chercher a supprimer les preuves qu'il existe. Et paf dans le premier point.
]
donc on en était à la durée :
La durée normale de la détention provisoire est d'un an, sauf si le juge de la détention et des libertés rend, après débat contradictoire, une ordonnance motivée de prolongement de 6 mois en 6 mois. a détention ne peut cependant pas excéder 2 ans si la peine encourue est inférieure à 20 ans et 3 ans quand la peine encourue est supérieure à 20 ans. Ces délais passent à 3 et 4 ans lorsque l'infraction a été commise hors du territoire national ou lorsque la personne est poursuivie pour un crime relevant de "la grande criminalité"
Ah mais c'est bien ca, tu n'es pas jugé et on te prive déja pendant UN AN de ta liberté fondamentale, et on peut aller jusqu'à 4 ans... toujours sans te juger.
Mais c'est pas du tout arbitraire, attention il y a un "débat contradictoire" avec des gens, qui même si ils se trompent, n'ont de toute façon aucun retour de baton (aucune responsabilité d'envoyer un innocent en prison).
Ah ben quand tu risque rien si tu te trompe, c'est beaucoup plus facile de te tromper.
Alors tu me diras que je suis pe mauvaise langue, cynique, ou autre, mais force est de constaté que l'on peut difficilement avoir confiance à 100% dans le systeme judiciaire (je parle du système, pas des hommes qui en général essayent de faire leur boulot avec le peu de moyens qu'ils ont).
# Ayez confiance
Posté par Aefron . Évalué à 10.
... et faire confiance à des gens qui ont déjà du mal à mettre un mot de passe fort à leur compte utilisateur (bon, ça encore, en leur expliquant que le même mot écrit en français académique et en 1337 tarabiscoté, ça change pas mal de choses, j'arrive encore à leur faire prendre de bonnes habitudes), qui ne tiennent pas à jour leur gateway (quand ce n'est pas la box du FAI sur laquelle ils n'ont guère de contrôle), qui font tourner des services ouverts au monde entier (typiquement, du P2P) sur leurs bureaux, ... mouais, bof...
Je ne dis pas que le chiffrage est futile, mais j'ai peine à imaginer quelqu'un en qui j'ai assez de confiance technique pour qu'il protège efficacement sa clé, et dialoguer en chiffré avec... à la limite, si je savais que leur clé privée était bien à l'abri, dans une smartcard, de telle sorte à ce que seuls les Chinois du FBI puissent l'en extraire, je serais plus enclin à faire confiance à mes contacts ; m'enfin, les smartcards sous Linux, ce n'est pas vraiment ça...
Et j'ai même peur que les gens rechignent à changer leurs habitudes si ce qui change ne rend pas les choses encore plus simples dans leur globalité : ie, tant que rajouter une fonctionnalité comme le chiffrage des mails ne fait pas automagiquement apparaître une tasse de café, ou sonner une escort-girl à la porte, la plupart des gens le feront une fois, peut-être deux, puis tomberont sur ce qu'ils croient être un os, et me diront "mouais, ton chiffrage, j'aime bien l'idée, mais à cause de lui, j'ai eu du mal à sortir mon chien ou à aller à la piscine, alors je l'ai désactivé complètement"... j'ai déjà vécu l'expérience avec des potes qui voulaient faire comme moi et essayer Jabber, alors, avec du chiffrage où il faut faire attention à une clé privée, je n'imagine même pas...
Je casse certes l'ambiance en étant un tantinet fataliste et désabusé quant à la technophilie des gens... mais...
[^] # Re: Ayez confiance
Posté par Darckense (site web personnel) . Évalué à 3.
Et j'ai même peur que les gens rechignent à changer leurs habitudes si ce qui change ne rend pas les choses encore plus simples dans leur globalité : ie, tant que rajouter une fonctionnalité comme le chiffrage des mails ne fait pas automagiquement apparaître une tasse de café, ou sonner une escort-girl à la porte, la plupart des gens le feront une fois, peut-être deux, puis tomberont sur ce qu'ils croient être un os, et me diront "mouais, ton chiffrage, j'aime bien l'idée, mais à cause de lui, j'ai eu du mal à sortir mon chien ou à aller à la piscine, alors je l'ai désactivé complètement"... j'ai déjà vécu l'expérience avec des potes qui voulaient faire comme moi et essayer Jabber, alors, avec du chiffrage où il faut faire attention à une clé privée, je n'imagine même pas...
C'est exactement le meme probleme que j'ai avec mes correspondant. En faisant du lobbying lourd, voire intensif, j'arrive a le leur faire tester, mais ca ne dure pas dans la duree. Au premier probleme, hop, on retourne a nos bonnes vieilles habitudes.
Et je ne parle meme pas de ceux qui m'envoient balader, m'ignorent ou me traite de parano... :-/
[^] # Re: Ayez confiance
Posté par Romain . Évalué à 6.
tant que rajouter une fonctionnalité comme le chiffrage des mails ne fait pas automagiquement apparaître une tasse de caféIl suffit donc que ça soit implémenté en Java \o/
[^] # Re: Ayez confiance: smartcard
Posté par GNUtoo . Évalué à 2.
>ce que seuls les Chinois du FBI puissent l'en extraire, je serais plus enclin à faire
>confiance à mes contacts ; m'enfin, les smartcards sous Linux, ce n'est pas vraiment ça...
*j'ai déjà chiffre mon disque dur de portable(j'ai essayé pour mon walkman mais ça n'a pas marché)
*j'ai selinux sur mon portable
*j'ai un accès ssh entre mon portable et mon ordinateur de bureau(qui n'as pas encore selinux),c'est a dire que l'un peu ssher chez l'autre et vice versa...ce qui est un gros problème de sécurité...en effet si l'on compromet un ordinateur: l'autre est compromis...mais aussi le routeur(qui va migrer sous GNU/Linux(FreeBSD => pas de selinux) )
J'ai donc pensé aux smartcards...ça permettrais en théorie de rendre l'extraction de clée impossible...mais il y'as deux problemes:
si je passe la frontière pour aller en france pourrait-ils m'extraire la clée de la smartcard et avoir accès a mon portable,mon ordinateur de bureau et mon routeur? avec l'ATCA,la loi HADOPI,le paquet telecom ce n'est pas impensable
Le deuxième problème est que s'il n'y as pas de pin a taper sur le lecteur pour se servir de la carte cela n'apporterais-t-il rien en terme de sécurité car même s'il est impossible d'extraire la clée il serais possible pour un attaquant de l'utiliser pour accéder a mes ordinateurs
sinon pour GNU/Linux les lecteurs ont un standard : CCID donc ça ne devrais pas trop poser de problème...mais pour le pin?
mais pour les cartes?j'en ai trouve mais il fraudais que je regarde si elles sont compatibles
[^] # Re: Ayez confiance: smartcard
Posté par Aefron . Évalué à 2.
... et les middlewares libres, ça ne court pas les rues ; j'avais fait un journal [1] il y a quelques temps, là-dessus, où j'avais mentionné la seule smartcard compatible Linux que j'aie réussi à trouver et qui supporte RSA en 2048... pas encore eu le temps d'en commander...
Faut dire que le non-support des smartcards dans OpenSSH (à moins de patcher... vu que la soit-disant option de compilation permettant d'activer le support d'OpenSC ne suffit pas, puisqu'elle ne change rien au askpass) m'embête un peu beaucoup (même si mes SSH n'écoutent pas le monde entier : faut passer par le VPN, pour ça... or OpenVPN supporte apparemment les smartcards)...
Sinon, le PIN, on peut faire ça au clavier ('achement moins sekioure), si le lecteur n'en embarque pas un...
Après, certes, il y a sûrement des backdoors dans ces cartes, et j'imagine que les autorités n'auraient pas grand mal à demander de les ouvrir... pas plus qu'à te forcer à donner ton PIN s'ils le veulent...
M'enfin, niveau dump pour pouvoir bruteforcer en paix, en prenant son temps, ça me paraît un peu moins accessible au premier grouillot, fusse-t-il en uniforme, qu'un simple fichier sur une clé USB, copiable à volonté à partir de n'importe quelle machine... En plus, si tu veux faire passer ta smartcard pour quelque chose d'anodin, tu imprimes un autocollant bidon, type "Bibliothèque de Trifouilly-en-Champagne" et tu le colles dessus... avec les tonnes de smartcards, de nos jours, faudrait être vicelard ou déjà fort soupçonneux, probablement à raison, pour imaginer que ça cache tes clés les plus cruciales.
[1] http://linuxfr.org/~Aefron/26688.html
[^] # Re: Ayez confiance: smartcard
Posté par GNUtoo . Évalué à 2.
Je suis allé faire un tour dans le site de GNU Linux Magazine France et j'ai trouve ca:
http://www.gnulinuxmag.com/index.php?2006/11/08/38-precision(...)
En gros si on utilise ssh-agent ça permet de ne pas patcher...
>En plus, si tu veux faire passer ta smartcard pour quelque chose d'anodin, tu imprimes un autocollant bidon, type "Bibliothèque de Trifouilly-en-Champagne" et tu le colles dessus...
Très bonne idée...mais il y'a deux problème...
*la présence du lecteur smart-card dans mes bagages...
*ça doit être bien fait...(y'as t'il des endroits ou il te le font?)
Sinon je pourrais en acheter et révoquer le certificat si l'on me vole la smartcard ou l'on me la confisque...
Ça pourrais aussi servir a d'autres personnes pour accéder a mon openvpn(donc ça doit aussi tourner sous windows et ubuntu),car le problème c'est que je sait que ces personnes ont des ordinateurs non sécurises...donc il faut une authentification qui tienne...
sinon dans ton article tu dis que tu ne connais pas grand choses aux OTP,
c'est possible sous gentoo avec openssh:
http://www.gentoo-wiki.com/OpenSSH_skey
mais c'est dangereux...
Il fraudais régler un bloquer avec les log d'openssh ou quelque chose du genre parce que sinon(et même...un botnet peut ne pas être bloque) c'est risque...
j'ai utilisé ça pendant un temps des ordinateur de mon université...mais j'ai découvert récemment que c'était très risque
[^] # Re: Ayez confiance: smartcard
Posté par Aefron . Évalué à 4.
J'en étais resté aux bugs rapportés dans Debian, demandant à ce que le paquet soit compilé avec le support pour OpenSC... et comme ssh-agent est dans le même paquet que ssh, ie openssh-client, sous Debian, j'imaginais que ça couvrait aussi bien l'un que l'autre. J'en étais resté bloqué au /usr/bin/ssh manuel, mais avec l'agent, ça me va tout aussi bien...
D'autant que le support LDAP/X.509, je peux m'en passer, ayant commencé à utiliser puppetmaster, notamment pour distribuer les clés publiques et les known_hosts, ce qui est parfait dans mon cas (peu d'utilisateurs, beaucoup de machines, pour cause de Vserver/OpenVZ).
Donc, si je comprends bien, il faudrait patcher pour avoir le support dans le client SSH via /usr/bin/ssh, mais dans l'agent, ce serait intégré de base ? Apparemment, c'est le cas, puisqu'en faisant "ssh-add -s0" sur ma Sid, il me propose de rentrer le pass d'une smartcard (j'imagine qu'il ne vérifie si elle existe qu'après avoir rentré la passphrase... enfin, ça doit pouvoir se bidouiller automatiquement à coups de HAL à l'insertion)... ça me remotive à l'affaire, ça.
Reste un point qui me taraude encore ; la dernière remarque : "ca marche pour peu que l'on ait mis les clés comme dans l'article" ... euh, à ma connaissance, on peut mettre les clés de deux manières, dans la smartcard : génération interne au token, et génération via openssl ou assimilé, puis import... or les deux méthodes sont décrites dans l'article... j'espère que ça ne marche pas qu'avec la deuxième, qui est quand même un peu faible...
Autrement, pour le lecteur de smartcard, ça dépend de ce que tu prends ; ceux que j'ai trouvés et dont je parle dans mon journal ont l'apparence de clés USB, juste avec une fente sur le côté, pour insérer la smartcard, ou un capot, pour en mettre une au format SIM. C'est déjà pas mal discret.
Après, si tu à vraiment la trouille de te faire suspecter, tu ne gardes que la smartcard, camouflée en quelque chose de complètement anodin, dans ton portefeuille, et tu comptes sur des connaissances dans le pays pour te fournir le lecteur, qu'ils t'envoient en expéditif à ton hôtel (avec tous les gens que je connais à l'étranger, j'imagine que je dois pouvoir le faire dans une bonne moitié de l'hémisphère nord)... Après, si tu es dans un pays à l'intérieur duquel un lecteur de smartcard peut circuler sans souci (j'imagine que dans les pays un peu coincés, niveau contrôle des gens, les paquets ne circulent pas très librement, encore moins quand c'est à destination des hôtels où logent des étrangers), ça roule.
Sinon, pour ce qui est de la faire imprimer par un pro, il me semble être tombé sur des cartes qui étaient blanches, donc, j'imagine que ça doit être possible... autrement, des cartes avec un autocollant dessus, j'en ai déjà vu IRL (une horreur au bout d'un certain nombre d'insertions, d'ailleurs ; m'enfin, du coup, un truc un peu à l'arrache, un peu frotté pour bien faire usé, ça ne me paraît pas louche ; d'autant qu'avec une relativement bonne imprimante et du papier autocollant brillant, et pas mat, on a déjà facilement une impression propre : ne reste alors plus qu'à manier le cutter avec dextérité)...
Restent encore les cartes au format SIM, plus simples encore : si tu veux bien en planquer une, tu la mets dans ton téléphone... avec tous les appareils du genre qui ont deux emplacements SIM, tu pourras même continuer à t'en servir normalement. Après tout, quoi de plus normal qu'une, voire deux, SIM dans un téléphone ? Et puis, pour le coup, c'est tellement petit qu'il n'y a même pas à s'embêter à bidouiller un branding bidon.
# Et pour les webmails hébergés ?
Posté par feth . Évalué à 3.
- l'algorithme, issu de sommités du monde de la sécurité et du renseignement,
- l'implémentation, vérifiée par des experts parfois étourdis,
- la machine et le système d'exploitation, administrés par d'autres, miné par des vers, des keyloggers, appartenant à un cyber café, à une entreprise...
On en fait, des compromis, lorsqu'on chiffre ses données. Il existe déjà des implémentations javascript des principales fonctions de chiffrement, et ça pourrait être une solution pour le chiffrement/la signature des mails envoyés par gmail, yahoo et autres, sans pour autant résoudre notre problème, au contraire, puisqu'un javascript altéré pourrait même être envoyé par un "man in the middle" (l'administrateur du proxy transparent par exemple). Faites-vous confiance à ces géants pour être garants de votre vie privée ? Il faut se mettre à la place de l'utilisateur moyen : il n'a aucune envie de s'encombrer de mots de passe ni de protocoles de sécurité, et n'est pas admin de la machine qu'il utilise, souvent verolée. L'auteur du journal propose un défi intéressant avec la démocratisation du chiffrage, mais j'ai bien peur que ça soit une utopie.[^] # Re: Et pour les webmails hébergés ?
Posté par Octabrain . Évalué à 3.
[^] # Re: Et pour les webmails hébergés ?
Posté par Octabrain . Évalué à 2.
[^] # Re: Et pour les webmails hébergés ?
Posté par Jean B . Évalué à 2.
Ça ne protégerai que peu contre une demande de la justice, mais pour le reste ce serait déjà pas mal.
[^] # Re: Et pour les webmails hébergés ?
Posté par feth . Évalué à 2.
Pour le commun des mortels, la solution de sécurité devra prendre en compte que l'infrastructure (clavier, écran, unité centrale) appartient en général à quelqu'un d'autre. Il y a peut-être quelque chose à inventer, un dispositif personnel et incessible, une super startup française à monter...
# Freemail ?
Posté par FreeB5D . Évalué à 4.
[^] # Re: Freemail ?
Posté par khivapia . Évalué à 3.
Là encore le man-in-the-middle est contraignant et rend difficile le fait d'obtenir l'adresse mail réelle de quelqu'un sans l'avoir rencontré dans la vie réelle/sans utiliser de système à la PGP ou PKI.
Mais rien n'empêche d'utiliser une chaîne de remailers anonymes sur internet pour avoir une anonymisation de l'expéditeur du même niveau ressemblant à celle de Tor, en combinant le tout avec une
# Quel interêt de chiffrer?
Posté par Zenitram (site web personnel) . Évalué à 1.
Je m'explique :
- J'utilise SSL pour envoyer et recevoir mes mails
- Mon serveur de mail est actuellement en France, mais il est d'une pas chez moi (bon courage pour aller chez mon hébergeur, il tuera toute la confiance qu'on met en lui si il accepte que d'autres regardent mes mails sans autorisation d'un juge) et de deux si mon hebergeur merde je le met à l'étranger.
- Une personne qui serait susceptible d'avoir de lire mes mails en chiffré par GPG sera bien plus ouvert à juste configurer son lecteur de mail pour utiliser SSL (bien plus simple que gérer des clés tout ça...)
- J'utilise un webmail en HTTPS (et il n'aiment pas GPG!).
Bref, tous mes mails sont dans un tuyau crypté en permanence (ou ce qui n'est pas crypté ne dépend pas de moi, et si ça "craint" la personne peut faire pareil, plus simple que GPG), la seule façon de savoir ce que j'écris (GPG ne modifie pas le à qui j'écris) est de... Non, c'est très peu possible en fait.
Au final, hormis signer (être sûr que c'est bien moi qui écrit), je ne vois pas d'avantage à un mail avec GPG : la confidentialité est bonne (il n'y a que mon PC, les serveurs de mail, le PC de mon correspondant qui ont le à qui et ce que j'écris). Une méthode plus simple (SSL) est nettement plus efficace. GPG n'apportera que peu (déjà, il ne cache pas le "à qui", qui est le plus important), et surtout t'apportera plus de confiance qu'il ne fait.
La parano, ça a du bon, mais déjà en l'état il est difficile de savoir à qui j'écris... Et je commencerai déja par avoir mon propre serveur aux Etats-Unis (très respectueux de la vie-privée pour un serveur surtout si c'est la France qui demande, pour une fois qu'ils sont bien :) ), avec webmail en HTTPS, nettement plus simple, nettement moins chiant pour mes correspondants (qui feront pareil si ils sont "sensibles" aussi), et intracable.
[^] # Re: Quel interêt de chiffrer?
Posté par claudex . Évalué à 6.
Deuxièmement avec SSL, tu ne chiffre qu'entre toi et ton hébergeur, tu ne sais pas si c'est chiffrer entre ton hébergeur et l'hébergeur de ton correspondant et même si ça l'est, ça ne l'est chez ton hébergeur et donc ton hébergeur (ou quelqu'un (un petit nabot par exemple) chez ton hébergeur) peut lire tes mails.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Quel interêt de chiffrer?
Posté par khivapia . Évalué à 2.
[^] # Re: Quel interêt de chiffrer?
Posté par BAud (site web personnel) . Évalué à 2.
- les serveurs ne sont pas hébergés dans notre pays, d'où suspicion d'un contrôle potentiel par une autre entité
- le protocole est propriétaire je crois pour donner accès au système d'information de l'entreprise (bin oui les mails sont généralement sur un serveur d'entreprise et doivent alors être relayés vers les serveurs au Canada pour être visualisables sur le BlackBerry), c'est surtout l'aspect intrusif dans le système d'information qui est gênant, obligeant par exemple à déporter les boîtes mail en DMZ plutôt que le réseau d'entreprise, les exposant ainsi un peu plus que nécessaire
- c'est d'autant plus gênant que ce sont généralement des dirigeants d'entreprise qui réclament ces gadgets, mettant ainsi sciemment en danger la sécurité du SI en dépit de toute politique de sécurité (qu'ils sont censés faire appliquer, et appliquer eux-mêmes...)
http://fr.wikipedia.org/wiki/BlackBerry#Probl.C3.A8me_de_s.C(...)
[^] # Re: Quel interêt de chiffrer?
Posté par claudex . Évalué à 2.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Quel interêt de chiffrer?
Posté par GNUtoo . Évalué à 1.
bien plus sécurise que les blackberry
[^] # Re: Quel interêt de chiffrer?
Posté par Aefron . Évalué à 2.
D'autant que si on est assez précautionneux pour protéger des choses via un VPN, il y a moyen que l'accès aux fonctions mails soit un peu plus qu'un minimum authentifiant, même en local (remarque, pas forcément, si on se rappelle des kervielleries au cours desquelles il a été évoqué que les salles de courtiers étaient bien isolées de l'extérieur, mais ouvertes à tous vents une fois qu'on était dedans, chacun devant accéder à chaque machine dans le feu de l'action... m'enfin)...
Derrière un VPN, je vois plus les trucs qui ne sont vraiment pas faits pour être ouverts au monde entier, comme les serveurs NFS ou samba, ou qui sont vraiment trop sensibles, comme les serveurs SSH... Mais accéder à ses mails, ou à des partages de données publiques (bon, je n'ai pas éructé "FTP", hein... beurk), c'est quand même typiquement le truc qu'on fait de l'extérieur, donc, j'aurais plutôt tendance à les ouvrir directement, hors VPN ; proprement, s'il y a besoin d'authentifier, certes, certes.
# Zero-knowledge web application
Posté par GNUtoo . Évalué à 2.
voir http://en.wikipedia.org/wiki/Zero-knowledge_web_application pour plus de détails
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.