Connexion
Abonnez-vous

Facebook lance le chiffrement de ses emails de notification avec GnuPG

Enfin des envois de mot de passe sûrs ?

Facebook lance le chiffrement de ses emails de notification avec GnuPG

Le 02 juin 2015 à 06h45

Facebook gère désormais le chiffrement des emails via GnuPG (GPG). Mais attention, le réseau social ne permet pour le moment de bénéficier de cette protection complémentaire que pour les emails de notification qu'il envoie à ses utilisateurs. Il est également possible d'afficher votre clef publique de manière à faciliter le fait de vous contacter de manière chiffrée.

Facebook a annoncé lundi une nouvelle fonction de sécurité à destination des utilisateurs les plus aguerris. Le réseau social permet désormais d'ajouter une clé de chiffrement GPG à son profil, pour la signaler à d'autres membres. 

Du besoin de faciliter l'échange de clefs publiques

Une manière comme une autre de certifier votre identité à des tiers, un peu à la manière de ce que propose depuis un moment keybase.io, mais sans vous permettre de vous assurer que le profil n'a pas été compromis et la clef affichée modifiée au passage, comme avec le principe du « tracking ».

Cela montre aussi que le principe des serveurs de clefs publiques et le seul « web of trust » ne sont pas suffisant ou pas assez exploités pour constituer une solution pour une utilisation par un large public. Cette nouveauté de Facebook aura au moins l'intérêt de proposer un premier pas dans l'univers de GPG . 

Pour rappel, il permet (entre autres) le chiffrement de messages via un système asymétrique à deux clefs : l'une est publique et permet de vous envoyer un message chiffré ou de vérifier un message que vous avez signé avec votre autre clef, privée. Si la première peut être largement distribuée, notamment à travers un profil sur les réseaux sociaux, la seconde doit être protégée. Selon The Register, les tentatives d'envoi d'une clé privée sont d'ailleurs bloquées par Facebook, de quoi rassurer les plus novices et leur éviter quelques désagréments.

Facebook veut vous permettre de vérifier qu'il est bien à l'origine d'un email

L'autre nouveauté proposée concerne le chiffrement des communications. Mais attention, il n'est pas question de vous proposer de converser avec vos amis en exploitant vos clefs respectives, tout du moins pas pour le moment. En effet, une fois la fonction « expérimentale » activée dans les paramètres de contact, seuls les messages « sécurisés » envoyés par Facebook seront chiffrés avec votre clé publique, et signés avec l'une des clés du réseau social afin de vous permettre de vous assurer de leur provenance. Une pratique dont on se demande pourquoi elle n'est pas plus largement utilisée afin de combattre le phising par exemple.

Techniquement, le service dispose d'une clé principale permanente et de sous-clés « opérationnelles », pour pouvoir multiplier les clés utilisées tout en maintenant une seule identité. Les messages sont chiffrés avec GnuPG (GPG), une implémentation libre d'OpenPGP, qui a démarré il y a 16 ans. En février, Facebook s'était engagé à financer le développement de GPG à hauteur de 50 000 dollars. Son créateur et principal développeur, Werner Koch, n'estimait plus son travail viable économiquement. Cet appel avait été entendu par plusieurs entreprises, dont Facebook, qui ont multiplié les annonces de financement.

En un sens, le réseau social a donc financé un outil qui lui est utile. Reste tout de même à voir quelle part des utilisateurs utiliseront cette nouvelle possibilité, qui s'appuie sur un système de chiffrement qui n'est pas des plus simples à utiliser au quotidien, même s'il est répandu.

Commentaires (34)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

” et signés avec l’une des clés du réseau social”



Donc en gros on génère les clefs chez facebook, et elles restent chez facebook ?

Super la sécurité :p

Si vous êtes interessés par le chiffrement de mail c’est facile, vous pouvez générer les clefs chez vous.

Après il y a engimail pour thunderbird qui possede plein d’option (chiffrement/signature automatique …).

Beaucoup de clients libre prenne en compte openPGP

votre avatar







math67 a écrit :



“ et signés avec l’une des clés du réseau social”



Donc en gros on génère les clefs chez facebook, et elles restent chez facebook ?

Super la sécurité :p







Je vois pas le rapport. La signature permet simplement de vérifier que l’expéditeur est bien celui qu’il prétend être. En aucun cas les emails sont chiffrés avec des clefs fournies par facebook. Ils sont chiffrés avec ta clef publique que tu fournis toi même.


votre avatar

Les messages envoyés par FB peuvent effectivement être signés… Mais pour l’instant, il n’y a pas de trust-path entre eux et moi, donc ça sert à rien. 



 Enfin, ils sont chiffrés, c’est déjà plutôt bien (et ils préviennent que du coup, si on perd sa clef privée, on perd aussi son compte, ce qui semble être un bon signe)

votre avatar

Je confirme ce que plusieurs t’ont dit : tu ne sais pas réellement comment fonctionne le système de cryptographie à clé publique…

Ce qui est mis en place par FB n’a rien à voir avec “chiffrer leur communication entre leur serveurs”

votre avatar







BTCKnight a écrit :



Je confirme ce que plusieurs t’ont dit : tu ne sais pas réellement comment fonctionne le système de cryptographie à clé publique…

Ce qui est mis en place par FB n’a rien à voir avec “chiffrer leur communication entre leur serveurs”







Le commentaire #17 a déjà mis ce point en évidence, et j’y ai répondu dans le commentaire #18 ^^


votre avatar

haters gonna hate&nbsp;<img data-src=" />

votre avatar

Cool, maintenant, les messages “Machin veut être votre amis”, “Connaissez vous Untel” seront méga sécuriser <img data-src=" />

votre avatar



Garga a écrit :

&nbsp;Mais surtout, avec GPG, impossible de faire une recherche dans les mails chiffrés. C’est un soucis récurrent et une cause d’abandon d’une bonne part des gens à qui je fais découvrir GPG et sont pourtant séduits par le principe. Je n’ai malheureusement pas de réponse à leur apporter sur ce point.



&nbsp;



&nbsp;J’avoue. J’utilise Enigmail et j’ai le pb. J’imagine que certains se sont posés la question.

votre avatar

Et au passage, quand pourrais-je mettre ma clé publique sur mon profil nxi ? :)

votre avatar







Vser a écrit :



Et au passage, quand pourrais-je mettre ma clé publique sur mon profil nxi ? :)





tu peux déjà mettre une signature vers un serveur de clé publique probablement ?


votre avatar

Ce n’est pas tant pour&nbsp; y donner de la publicité mais pour que nxi l’utilise lors de l’envoi de mail.

votre avatar







Vser a écrit :



Ce n’est pas tant pour&nbsp; y donner de la publicité mais pour que nxi l’utilise lors de l’envoi de mail.





Déjà qu’ils veulent pas mettre du TLS sur la consultation du site (ce qui est ultra simple à faire vie Cloudflare chez qui ils sont clients ) … t’es pas près de voir des mails chiffrés avec GPG …


votre avatar

Vivement que les banques adoptent la signature GPG pour l’envoi d’emails.



Avec la possibilité d’archiver les clées publiques des FAI, opérateurs et banques de notre choix dans nos webmail, ça permettrait d’éradiquer le spam finalement.

votre avatar







xlp a écrit :



Et même si ça semble bien peu populaire, Thunderbird prend en charge SMIME, d’origine, sans aucune extension. Et si vous voulez une clé, il est possible d’en obtenir une chez Comodo gratuitement (sinon faut avoir sa propre PKI, ce qui n’est pas non plus trop dur, mais devient plus geekesque).







Le problème avec smime c’est que tu fais confiance par défaut au trousseau de clé qui est pré installé dans ton Pc. C’est à dire tout le monde, donc personne .







nobugging a écrit :



Vivement que les banques adoptent la signature GPG pour l’envoi d’emails.



Avec la possibilité d’archiver les clées publiques des FAI, opérateurs et banques de notre choix dans nos webmail, ça permettrait d’éradiquer le spam finalement.







Pour éradiquer le phishing, il existe dkim, mais trop peu de boîte l’implemente. Dommage .



La meilleur solution est effectivement le gpg. L’idée serait de mettre un filtre exclusif qui ne laisse passer que les emails signés dont tu as trusté la clé publique au préalable . L’avantage en plus c’est que ce trust peut se révoquer par l’emeteur s’il se fait voler sa clé privée ou bien par le destinataire s’il n’a plus envi de recevoir de spam de la part de l’emeteur.



Si on déporte toute la sécurité dans gpg. Le problème va devenir “comment protéger sa clé privée”. Car un petit malware qui récupère la cle protégée par un pass bidon et c’est foutu

Il faut passer par une phase d’éducation sur les token/smartcard, qu’est ce qu’une passphrase, comment révoquer une identite quand un a perdu la clé privée, comment augmenter le nombre d’iteration de chiffrement …



Bref c’est pas gagné , mais pour le coup, je suis vraiment content de la démarche de Facebook. Même s’il faut pas se leurer, s’ils font ca c’est pour augmenter la fiabilité de leur information personnel en pouvant le prouver numériquement au lieu de simplement avoir plein d’homonymes de nom/prénom



votre avatar

Mouais. DKIM ça sert mieux pour lutter contre le phishing que contre le SPAM. Je connais des boites de SPAM qui ont du DKIM installé sur leurs servers. C’est pas très compliqué et ça passe partout. Les grosses boites qui font du SPAM s’y sont mis depuis un moment …

votre avatar

je crois que c’est exactement ce que j’ai dit. <img data-src=" />

votre avatar

Je pense qu’il parle du fait que l’utilisateur moyen va retenir “Facebook sécurise vos communications” alors que c’est uniquement pour le spam mails que Facebook leur envoie

votre avatar







Vser a écrit :



Ce n’est pas tant pour&nbsp; y donner de la publicité mais pour que nxi l’utilise lors de l’envoi de mail.



Oui vu comme ça :-)

&nbsp;Bonne Idée pour la prochaine version de Nxi, je vote pour.

&nbsp;


votre avatar

Et même si ça semble bien peu populaire, Thunderbird prend en charge SMIME, d’origine, sans aucune extension. Et si vous voulez une clé, il est possible d’en obtenir une chez Comodo gratuitement (sinon faut avoir sa propre PKI, ce qui n’est pas non plus trop dur, mais devient plus geekesque).

votre avatar



qui s’appuie sur un système de chiffrement qui n’est pas des plus simples à utiliser au quotidien, même s’il est répandu.





En fait c’est plutôt simple ! La difficulté vient du fait que les correspondants doivent tous avoir une paire de clés et qu’en général, ils s’en foutent complètement.

votre avatar

Merci FB, encore une fois tu montres à quel point tu prends tes clients pour des buses ^^

votre avatar

Très bonne initiative de FB qui va permettre (à moyen terme ) de populariser un peu plus le système de cryptographie asymétrique (à clé publique).

votre avatar







eliumnick a écrit :



Merci FB, encore une fois tu montres à quel point tu prends tes clients pour des buses ^^







Tes produits*, pas tes clients. Les clients de Facebook sont les entreprises auxquelles Facebook vend de l’espace publicitaire ultra ciblé, ainsi que toutes les données des personnes inscrites sur fb.


votre avatar







marba a écrit :



Tes produits*, pas tes clients. Les clients de Facebook sont les entreprises auxquelles Facebook vend de l’espace publicitaire ultra ciblé.







Oui exact ^^


votre avatar







BTCKnight a écrit :



Très bonne initiative de FB qui va permettre (à moyen terme ) de populariser un peu plus le système de cryptographie asymétrique (à clé publique).







Vraiment ? Pake en fait ils annoncent juste qu’ils vont chiffrer leur communication entre leur serveurs, et utiliser ta clé publique pour t’envoyer des notifications….



Si leur objectif n’était pas un effet d’annonce, il aurait simplement annoncé “on chiffre les communications entre nos serveurs” et c’est tout.


votre avatar

Hein ?

Tu peux argumenter ? Je n’ai pas suivi ton raisonnement.

votre avatar

oui merci de le rappeler :) ça marche très bien ( deja testé mais pas avec des autorités non reconnues)

votre avatar



pardon j’avais sauté l’intro visiblement &gt;&lt;

“ Le réseau social permet désormais d’ajouter une clé de chiffrement GPG à son profil, pour la signaler à d’autres membres”

votre avatar







math67 a écrit :



“ et signés avec l’une des clés du réseau social”



Donc en gros on génère les clefs chez facebook, et elles restent chez facebook ?

Super la sécurité :p

Si vous êtes interessés par le chiffrement de mail c’est facile, vous pouvez générer les clefs chez vous.

Après il y a engimail pour thunderbird qui possede plein d’option (chiffrement/signature automatique …).

Beaucoup de clients libre prenne en compte openPGP





T’as pas compris. Tu te génères ton couple de clés privée/publique chez toi, tu te connectes à FB, tu leurs donnes ta clé publique.

Eux de leur coté en profitent pour te donner leur clé publique.



Une fois cela fait tu reçois des messages chiffrés avec ta clé publique et signés avec leurs clé privée. Du coup grâce à leur clé publique tu peux vérifier que c’est bien eux qui l’ont envoyé et grâce à ta clé privée tu peux déchiffrer le message.


votre avatar

Pour les webmails, il existe l’extension Mailvelope qui fonctionne très bien (on peut même ajouter des webmails non prévus). Par contre, l’extension ne permet pas de signer avec une sous-clé.

&nbsp;

&nbsp;Un problème de GPG est que c’est encore perçu comme un truc de techos parano et que c’est pas sexy. Heureusement, un vrai travail de vulgarisation, de simplification et de design a été mis en place autour de la crypto, mais tant que ce ne sera pas promu par une majorité de grands acteurs, il faudra pas rêver sur sa généralisation. Déjà on atteint des sommets de simplicité avec TextSecure et c’est pas gagné pour autant…



&nbsp;Mais surtout, avec GPG, impossible de faire une recherche dans les mails chiffrés. C’est un soucis récurrent et une cause d’abandon d’une bonne part des gens à qui je fais découvrir GPG et sont pourtant séduits par le principe. Je n’ai malheureusement pas de réponse à leur apporter sur ce point.

votre avatar







fred42 a écrit :



Hein ?

Tu peux argumenter ? Je n’ai pas suivi ton raisonnement.







Un peu plus détaillé dans le port 10.


votre avatar







eliumnick a écrit :



Un peu plus détaillé dans le port 10.





Ce post montre surtout que tu n’as rien compris.



Ils n’annoncent pas qu’il chiffrent les échanges entre leurs serveurs.



Ils annoncent qu’ils mettent en avant GPG :





  • possibilité d’ajouter sa clé publique à son profil Facebook. Cela permet d’améliorer la visibilité de cette clé et donc l’utilisation de GPG par tous. On peut penser qu’il va y avoir un effet viral.

  • utilisation pour échanger avec les utilisateurs. Comme dit dans la news, cela permettra de ne plus envoyer un mot de passe en clair. C’est quand même une bonne avancée.

  • signature des messages envoyés par Facebook pour authentifier l’émetteur du message et donc lutter contre le phishing.



    Je n’aime pas Facebook, mais je trouve que c’est vraiment une avancée pour la sécurité. Et vu le nombre d’utilisateurs de ce réseau social, c’est une grande chance de vulgarisation de GPG.




votre avatar







fred42 a écrit :



Ce post montre surtout que tu n’as rien compris.



Ils n’annoncent pas qu’il chiffrent les échanges entre leurs serveurs.



Ils annoncent qu’ils mettent en avant GPG :





  • possibilité d’ajouter sa clé publique à son profil Facebook. Cela permet d’améliorer la visibilité de cette clé et donc l’utilisation de GPG par tous. On peut penser qu’il va y avoir un effet viral.

  • utilisation pour échanger avec les utilisateurs. Comme dit dans la news, cela permettra de ne plus envoyer un mot de passe en clair. C’est quand même une bonne avancée.

  • signature des messages envoyés par Facebook pour authentifier l’émetteur du message et donc lutter contre le phishing.



    Je n’aime pas Facebook, mais je trouve que c’est vraiment une avancée pour la sécurité. Et vu le nombre d’utilisateurs de ce réseau social, c’est une grande chance de vulgarisation de GPG.









    En effet, une fois la fonction « expérimentale » activée dans les paramètres de contact, seuls les messages « sécurisés » envoyés par Facebook seront chiffrés avec votre clé publique, et signés avec l’une des clés du réseau social afin de vous permettre de vous assurer de leur provenance.





    Exact, j’ai confondu les communications entre serveur, et les notifications qu’ils envoient.



    Sinon, reprenons tes points :




  1. oui tout les kevins voudront leur clé pgp pour avoir l’air de s’y connaitre.



  2. Mais attention, il n’est pas question de vous proposer de converser avec vos amis en exploitant vos clefs respectives, tout du moins pas pour le moment.



    Si tu veux utiliser la clé PGP il te faudra passer par un client alternatif, donc POUR le moment, ca sert juste au point 1.

  3. Oui, mais encore une fois, avec un client alternatif.



    Précision : par client alternatif, j’entends un client mail (genre webmail ou thunderbird) qui permet de gérer la clé PGP.



    Sur le principe, je pense que tout le monde est d’accord que c’est une avancée. Mais encore une fois, l’application du principe n’est pas terrible.


votre avatar

90% de la population utilisant internet n’est pas foutue de se créer un mot de passe correct.

&nbsp;

&nbsp;

Vous voulez leur faire utiliser un mécanisme qui demande l’utilisation d’une phrase de passe et qui demande de gérer de manière sécurisée le stockage d’une clé privée ?! Revenez sur terre. PGP/GPG est destiné à une toute petite tranche de la population et le restera encore de nombreuses décennies.

&nbsp;



&nbsp;La seule solution est d’apprendre à gérer une phrase de passe. Cette étape est faisable. A partir de là on peut utiliser des système de chiffrement asymétrique avec dérivation des clés via une phrase de passe. Si vous voulez vraiment faire gérer localement une clé privée c’est déjà mort pour une énorme majorité de gens.

Facebook lance le chiffrement de ses emails de notification avec GnuPG

  • Du besoin de faciliter l'échange de clefs publiques

  • Facebook veut vous permettre de vérifier qu'il est bien à l'origine d'un email

Fermer