Mail encrypté

[Le-Jerome]

bonjour à tous,

Si vous souhaitez avoir un webmail un peu plus sécurisé et anonyme que Gmail, Hotmail ou Yahoo, vous pourrez bientôt utiliser Protonmail.
https://protonmail.ch/

Le service se lance bientôt mais ils donnent des accès anticipés pour ceux qui veulent.

Vous pouvez vous créer un compte avant le 17 juin ici :
https://protonmail.ch/privacyforall

Le gros intérêt de ce genre de système, c'est que lorsque vous communiquez entre deux comptes Protonmail, les données sont cryptées et que c'est absolument transparent pour vous.
Si vous envoyez un mail à un compte d'un autre fournisseur, vous pouvez ajouter un mot de passe que vous communiquez à votre destinataire par un autre moyen, éventuellement en laissant un indice.

Vous pouvez regarder cette vidéo (anglais avec sous titre français) pour en apprendre un peu plus :

http://www.ted.com/talks/andy_yen_think_your_email_s_private_think_again
J'encourage tout le monde à s'intéresser à ce sujet.



ça peut intéresser pas mal de monde je pense.

Jérôme

[Jco]

Intéressant,
Ton message arrive juste alors que Lastpass (un service en ligne de stockage de mot de passe) a annoncé avoir été hacké (http://www.independent.co.uk/life-style/gadgets-and-tech/news/lastpass-hacked-cybersecurity-and-password-firm-loses-passwords-in-attack-10322876.html).

Par ailleurs, ce type d'hébergement n'est pas nouveau, "Lavabit" (qui fournissait d'ailleurs un compte à Snowden) a du fermer ses portes en raison de pression de la part du gouvernement US pour avoir accès aux comptes.

Enfin, quelques discussions techniques (en anglais) mais toutefois intéressantes:
https://news.ycombinator.com/item?id=7845565
https://news.ycombinator.com/item?id=7757420

Le résumé de ces discussions est que:
- Le chiffrement se fait via le navigateur, ce qui veut dire que c'est le serveur qui gère le chiffrement (et donc si le serveur est compromis, l'accès est possible aux messages)
- C'est pas vraiment un systeme classique d'email, mais plus un système de messagerie avec notifications email (on ne peut pas utiliser un client email classique)
- Le fait que ce soit en Suisse... cf récente affaire FIFA ou ca n'as pas posé de problème à la justice américaine

Cela étant dit, j'ai pas de meilleure alternative à proposer.

A part le package: distribution linux avec serveur email + hébergement internet + PGP/GPG + client lourd (Thunderbird). Simple à dire, pas facile à implémenter dans la pratique sans se planter.

[Spip]

A part le package: distribution linux avec serveur email + hébergement internet + PGP/GPG + client lourd (Thunderbird). Simple à dire, pas facile à implémenter dans la pratique sans se planter.

On peut commencer par ce contenter de GnuPG, puis éviter un hébergement chez un gafam pour un plus petit (interessant pour les emails non chiffrés) et enfin de l'autohébergement si on le sent.

Sinon, d'autres solutions accessibles commencent à se concevoir : http://www.own-mailbox.com/ ou encore https://caliopen.org/

[Jco]

Pour ceux qui ne connaissent pas l'acronyme, GAFAM ="Google Apple Facebook Amazon Microsoft".

En ce qui concerne Own-cloud, voici un lien avec des discussions techniques (en anglais): https://news.ycombinator.com/item?id=9797985

Pour contribuer à la discussion, sur l'aspect "auto-hébergement":
https://en.wikipedia.org/wiki/FreedomBox
https://yunohost.org/#/whatsyunohost

Après, le plus difficile reste quand même d'avoir des gens à qui envoyer des emails chiffrés... Si seulement ca pouvait être "par défaut" lors de la création d'une adresse/installation d'un logiciel.

[Copper Jack]

Je suis pratiquement certain que ce lien a dû apparaître ailleurs sur le forum, mais je pense que même en doublon ici il fera le plus grand bien : https://prism-break.org/fr/all/

De plus en plus d'outils se créent pour aider les gens pas très avertis en terme d'informatique à protéger leurs données. YunoHost, que jco a cité, me semble un des plus complets, et un des plus matures en termes d'accompagnement. freedombox est plus puissant, mais assez mal documenté...

[Jco]

Pour compléter, petit avis personnel:
L'effort à apporter pour s'assurer une "relative" anonymité sur les réseaux est énorme... Linux+encryption+TOR+GPG+ pas de hotmail/facebook/google, c'est pas à la portée du premier venu (et on est même pas garanti d'être protégé).

Rien que pour GPG, je lisais un article racontant les difficultés qu'a eu Snowden à contacter des journalistes (d'investigation, donc c'est normalement le boulot de protéger leurs sources):

A month earlier, Snowden had anonymously emailed Glenn Greenwald, a Guardian journalist and chronicler of war-on-terror excesses, but Greenwald didn’t use encryption and didn’t have the time to get up to speed, so Snowden moved on. As is now well known, Snowden decided to contact Poitras because she used encryption. But he didn’t have her encryption key, as is necessary to send someone encrypted email, and the key wasn’t posted on the web. Snowden, extraordinarily knowledgeable about how internet traffic is monitored, didn’t want to send her an unencrypted email, even if just to ask for her key. So he needed to find someone he thought he could trust who both had her key and used encrypted email.

https://firstlook.org/theintercept/2014/10/28/smuggling-snowden-secrets/

De plus, l'utilisation de communications chiffrées peut susciter plus d'intérêt... http://arstechnica.com/tech-policy/2013/06/use-of-tor-and-e-mail-crypto-could-increase-chances-that-nsa-keeps-your-data/

Difficile d'être un "grey man" numérique.

[Moleson]

C'est quand même pas la fin du monde d'envoyer la clef publique... Et si on n'y arrive pas il y a encore proton mail et Threema (Application android).

Utiliser Thunderbird comme programme e-mail et mettre l'ad-one enigmail est vraiment à la portée de n'importe qui. On est mené par la main.

Après le programme demande s'il faut attacher la clef publique, signer et/ou crypter le message. Si on arrive pas à faire ceci, je propose de passer au crayon/papier et la boite au lettre morte.

[Jco]

Une comparaison de la sécurité de plusieurs applications de messagerie:

[Troll]

Bonjour,

Alors je suis peut-être un peu rabat-joie également, mais je rejoins Jco en ce sens que la "logistique" est importante voire rebutante si on veut s'approcher de l'anonymat sur le net.

Ensuite, je ne suis pas expert en sécurité (que ce soit réseau / données / ...) mais j'ai tout de même du mal à croire que l'on puisse protéger ses données avec de simples outils à disposition du grand public.

Intercepter un mail ou un échange de données entre un ordinateur et une machine n'a en soit rien de compliqué (technique du "Man in the Middle" par exemple). S'agissant de la récupération de l'information, créer un algorithme pour générer une attaque par BF ou dictionnaire ou table de hachage est également acccessible dès qu'on a un minimum de notions de maths et de programmation.

Bien à vous,

Troll

[Djeep]

S'agissant de la récupération de l'information, créer un algorithme pour générer une attaque par BF ou dictionnaire ou table de hachage est également acccessible dès qu'on a un minimum de notions de maths et de programmation.

BJR Pas vraiment ! HN

[Troll]

Bonjour,

Pour l'avoir fait, je t'assure que c'est accessible avec de l'application. Pourtant, je n'ai pas fait sup spé ou que sais-je (même si j'ai fait des maths, dont des probas, dans le supérieur).

Bien cordialement,

Troll

[Jco]

Petit comic xkcd en lien avec la discussion (comme toujours):
https://xkcd.com/1553/

Bon j'ai fait le test d'installer Enigmail avec Thunderbird, en effet c'est pas très compliqué. Du coup j'ai généré ma clé dans la foulée (pas encore de "web of trust", et quand je compte le nombre de personnes avec qui je pourrai échanger de façon chiffrée, je tombe à: 1.

Du coup, petit sondage à vie courte: qui utilise, dans sa vie de tous les jours, GPG/enigmail pour correspondre par email? Et avec combien de personnes correspondez-vous en email chiffrés?

[Spip]

Je l'utilise tous les jours. Au quotidien, je communique avec mes parents + un pote en chiffré, les gens avec qui j'échange le plus de choses persos.