Facebook gère désormais le chiffrement des emails via GnuPG (GPG). Mais attention, le réseau social ne permet pour le moment de bénéficier de cette protection complémentaire que pour les emails de notification qu'il envoie à ses utilisateurs. Il est également possible d'afficher votre clef publique de manière à faciliter le fait de vous contacter de manière chiffrée.
Facebook a annoncé lundi une nouvelle fonction de sécurité à destination des utilisateurs les plus aguerris. Le réseau social permet désormais d'ajouter une clé de chiffrement GPG à son profil, pour la signaler à d'autres membres.
Du besoin de faciliter l'échange de clefs publiques
Une manière comme une autre de certifier votre identité à des tiers, un peu à la manière de ce que propose depuis un moment keybase.io, mais sans vous permettre de vous assurer que le profil n'a pas été compromis et la clef affichée modifiée au passage, comme avec le principe du « tracking ».
Cela montre aussi que le principe des serveurs de clefs publiques et le seul « web of trust » ne sont pas suffisant ou pas assez exploités pour constituer une solution pour une utilisation par un large public. Cette nouveauté de Facebook aura au moins l'intérêt de proposer un premier pas dans l'univers de GPG .
Pour rappel, il permet (entre autres) le chiffrement de messages via un système asymétrique à deux clefs : l'une est publique et permet de vous envoyer un message chiffré ou de vérifier un message que vous avez signé avec votre autre clef, privée. Si la première peut être largement distribuée, notamment à travers un profil sur les réseaux sociaux, la seconde doit être protégée. Selon The Register, les tentatives d'envoi d'une clé privée sont d'ailleurs bloquées par Facebook, de quoi rassurer les plus novices et leur éviter quelques désagréments.
Facebook veut vous permettre de vérifier qu'il est bien à l'origine d'un email
L'autre nouveauté proposée concerne le chiffrement des communications. Mais attention, il n'est pas question de vous proposer de converser avec vos amis en exploitant vos clefs respectives, tout du moins pas pour le moment. En effet, une fois la fonction « expérimentale » activée dans les paramètres de contact, seuls les messages « sécurisés » envoyés par Facebook seront chiffrés avec votre clé publique, et signés avec l'une des clés du réseau social afin de vous permettre de vous assurer de leur provenance. Une pratique dont on se demande pourquoi elle n'est pas plus largement utilisée afin de combattre le phising par exemple.
Techniquement, le service dispose d'une clé principale permanente et de sous-clés « opérationnelles », pour pouvoir multiplier les clés utilisées tout en maintenant une seule identité. Les messages sont chiffrés avec GnuPG (GPG), une implémentation libre d'OpenPGP, qui a démarré il y a 16 ans. En février, Facebook s'était engagé à financer le développement de GPG à hauteur de 50 000 dollars. Son créateur et principal développeur, Werner Koch, n'estimait plus son travail viable économiquement. Cet appel avait été entendu par plusieurs entreprises, dont Facebook, qui ont multiplié les annonces de financement.
En un sens, le réseau social a donc financé un outil qui lui est utile. Reste tout de même à voir quelle part des utilisateurs utiliseront cette nouvelle possibilité, qui s'appuie sur un système de chiffrement qui n'est pas des plus simples à utiliser au quotidien, même s'il est répandu.
Commentaires (34)
” et signés avec l’une des clés du réseau social”
Donc en gros on génère les clefs chez facebook, et elles restent chez facebook ?
Super la sécurité :p
Si vous êtes interessés par le chiffrement de mail c’est facile, vous pouvez générer les clefs chez vous.
Après il y a engimail pour thunderbird qui possede plein d’option (chiffrement/signature automatique …).
Beaucoup de clients libre prenne en compte openPGP
Les messages envoyés par FB peuvent effectivement être signés… Mais pour l’instant, il n’y a pas de trust-path entre eux et moi, donc ça sert à rien.
Enfin, ils sont chiffrés, c’est déjà plutôt bien (et ils préviennent que du coup, si on perd sa clef privée, on perd aussi son compte, ce qui semble être un bon signe)
Et même si ça semble bien peu populaire, Thunderbird prend en charge SMIME, d’origine, sans aucune extension. Et si vous voulez une clé, il est possible d’en obtenir une chez Comodo gratuitement (sinon faut avoir sa propre PKI, ce qui n’est pas non plus trop dur, mais devient plus geekesque).
qui s’appuie sur un système de chiffrement qui n’est pas des plus simples à utiliser au quotidien, même s’il est répandu.
En fait c’est plutôt simple ! La difficulté vient du fait que les correspondants doivent tous avoir une paire de clés et qu’en général, ils s’en foutent complètement.
Merci FB, encore une fois tu montres à quel point tu prends tes clients pour des buses ^^
Très bonne initiative de FB qui va permettre (à moyen terme ) de populariser un peu plus le système de cryptographie asymétrique (à clé publique).
Hein ?
Tu peux argumenter ? Je n’ai pas suivi ton raisonnement.
oui merci de le rappeler :) ça marche très bien ( deja testé mais pas avec des autorités non reconnues)
pardon j’avais sauté l’intro visiblement ><
“ Le réseau social permet désormais d’ajouter une clé de chiffrement GPG à son profil, pour la signaler à d’autres membres”
Pour les webmails, il existe l’extension Mailvelope qui fonctionne très bien (on peut même ajouter des webmails non prévus). Par contre, l’extension ne permet pas de signer avec une sous-clé.
Un problème de GPG est que c’est encore perçu comme un truc de techos parano et que c’est pas sexy. Heureusement, un vrai travail de vulgarisation, de simplification et de design a été mis en place autour de la crypto, mais tant que ce ne sera pas promu par une majorité de grands acteurs, il faudra pas rêver sur sa généralisation. Déjà on atteint des sommets de simplicité avec TextSecure et c’est pas gagné pour autant…
Mais surtout, avec GPG, impossible de faire une recherche dans les mails chiffrés. C’est un soucis récurrent et une cause d’abandon d’une bonne part des gens à qui je fais découvrir GPG et sont pourtant séduits par le principe. Je n’ai malheureusement pas de réponse à leur apporter sur ce point.
90% de la population utilisant internet n’est pas foutue de se créer un mot de passe correct.
Vous voulez leur faire utiliser un mécanisme qui demande l’utilisation d’une phrase de passe et qui demande de gérer de manière sécurisée le stockage d’une clé privée ?! Revenez sur terre. PGP/GPG est destiné à une toute petite tranche de la population et le restera encore de nombreuses décennies.
La seule solution est d’apprendre à gérer une phrase de passe. Cette étape est faisable. A partir de là on peut utiliser des système de chiffrement asymétrique avec dérivation des clés via une phrase de passe. Si vous voulez vraiment faire gérer localement une clé privée c’est déjà mort pour une énorme majorité de gens.
Je confirme ce que plusieurs t’ont dit : tu ne sais pas réellement comment fonctionne le système de cryptographie à clé publique…
Ce qui est mis en place par FB n’a rien à voir avec “chiffrer leur communication entre leur serveurs”
haters gonna hate 
" />
Cool, maintenant, les messages “Machin veut être votre amis”, “Connaissez vous Untel” seront méga sécuriser
" />
Garga a écrit :
Mais surtout, avec GPG, impossible de faire une recherche dans les mails chiffrés. C’est un soucis récurrent et une cause d’abandon d’une bonne part des gens à qui je fais découvrir GPG et sont pourtant séduits par le principe. Je n’ai malheureusement pas de réponse à leur apporter sur ce point.
J’avoue. J’utilise Enigmail et j’ai le pb. J’imagine que certains se sont posés la question.
Et au passage, quand pourrais-je mettre ma clé publique sur mon profil nxi ? :)
Ce n’est pas tant pour y donner de la publicité mais pour que nxi l’utilise lors de l’envoi de mail.
Vivement que les banques adoptent la signature GPG pour l’envoi d’emails.
Avec la possibilité d’archiver les clées publiques des FAI, opérateurs et banques de notre choix dans nos webmail, ça permettrait d’éradiquer le spam finalement.
Mouais. DKIM ça sert mieux pour lutter contre le phishing que contre le SPAM. Je connais des boites de SPAM qui ont du DKIM installé sur leurs servers. C’est pas très compliqué et ça passe partout. Les grosses boites qui font du SPAM s’y sont mis depuis un moment …
je crois que c’est exactement ce que j’ai dit.
" />
Je pense qu’il parle du fait que l’utilisateur moyen va retenir “Facebook sécurise vos communications” alors que c’est uniquement pour le spam mails que Facebook leur envoie