Facebook lance le chiffrement de ses emails de notification avec GnuPG

Facebook lance le chiffrement de ses emails de notification avec GnuPG

Enfin des envois de mot de passe sûrs ?

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

02/06/2015
34

Facebook lance le chiffrement de ses emails de notification avec GnuPG

Facebook gère désormais le chiffrement des emails via GnuPG (GPG). Mais attention, le réseau social ne permet pour le moment de bénéficier de cette protection complémentaire que pour les emails de notification qu'il envoie à ses utilisateurs. Il est également possible d'afficher votre clef publique de manière à faciliter le fait de vous contacter de manière chiffrée.

Facebook a annoncé lundi une nouvelle fonction de sécurité à destination des utilisateurs les plus aguerris. Le réseau social permet désormais d'ajouter une clé de chiffrement GPG à son profil, pour la signaler à d'autres membres. 

Du besoin de faciliter l'échange de clefs publiques

Une manière comme une autre de certifier votre identité à des tiers, un peu à la manière de ce que propose depuis un moment keybase.io, mais sans vous permettre de vous assurer que le profil n'a pas été compromis et la clef affichée modifiée au passage, comme avec le principe du « tracking ».

Cela montre aussi que le principe des serveurs de clefs publiques et le seul « web of trust » ne sont pas suffisant ou pas assez exploités pour constituer une solution pour une utilisation par un large public. Cette nouveauté de Facebook aura au moins l'intérêt de proposer un premier pas dans l'univers de GPG . 

Pour rappel, il permet (entre autres) le chiffrement de messages via un système asymétrique à deux clefs : l'une est publique et permet de vous envoyer un message chiffré ou de vérifier un message que vous avez signé avec votre autre clef, privée. Si la première peut être largement distribuée, notamment à travers un profil sur les réseaux sociaux, la seconde doit être protégée. Selon The Register, les tentatives d'envoi d'une clé privée sont d'ailleurs bloquées par Facebook, de quoi rassurer les plus novices et leur éviter quelques désagréments.

Facebook veut vous permettre de vérifier qu'il est bien à l'origine d'un email

L'autre nouveauté proposée concerne le chiffrement des communications. Mais attention, il n'est pas question de vous proposer de converser avec vos amis en exploitant vos clefs respectives, tout du moins pas pour le moment. En effet, une fois la fonction « expérimentale » activée dans les paramètres de contact, seuls les messages « sécurisés » envoyés par Facebook seront chiffrés avec votre clé publique, et signés avec l'une des clés du réseau social afin de vous permettre de vous assurer de leur provenance. Une pratique dont on se demande pourquoi elle n'est pas plus largement utilisée afin de combattre le phising par exemple.

Techniquement, le service dispose d'une clé principale permanente et de sous-clés « opérationnelles », pour pouvoir multiplier les clés utilisées tout en maintenant une seule identité. Les messages sont chiffrés avec GnuPG (GPG), une implémentation libre d'OpenPGP, qui a démarré il y a 16 ans. En février, Facebook s'était engagé à financer le développement de GPG à hauteur de 50 000 dollars. Son créateur et principal développeur, Werner Koch, n'estimait plus son travail viable économiquement. Cet appel avait été entendu par plusieurs entreprises, dont Facebook, qui ont multiplié les annonces de financement.

En un sens, le réseau social a donc financé un outil qui lui est utile. Reste tout de même à voir quelle part des utilisateurs utiliseront cette nouvelle possibilité, qui s'appuie sur un système de chiffrement qui n'est pas des plus simples à utiliser au quotidien, même s'il est répandu.

34

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Du besoin de faciliter l'échange de clefs publiques

Facebook veut vous permettre de vérifier qu'il est bien à l'origine d'un email

Commentaires (34)


Le 02/06/2015 à 06h 58

” et signés avec l’une des clés du réseau social”



Donc en gros on génère les clefs chez facebook, et elles restent chez facebook ?

Super la sécurité :p

Si vous êtes interessés par le chiffrement de mail c’est facile, vous pouvez générer les clefs chez vous.

Après il y a engimail pour thunderbird qui possede plein d’option (chiffrement/signature automatique …).

Beaucoup de clients libre prenne en compte openPGP


Le 02/06/2015 à 07h 14







math67 a écrit :



“ et signés avec l’une des clés du réseau social”



Donc en gros on génère les clefs chez facebook, et elles restent chez facebook ?

Super la sécurité :p







Je vois pas le rapport. La signature permet simplement de vérifier que l’expéditeur est bien celui qu’il prétend être. En aucun cas les emails sont chiffrés avec des clefs fournies par facebook. Ils sont chiffrés avec ta clef publique que tu fournis toi même.



nim65s Abonné
Le 02/06/2015 à 07h 17

Les messages envoyés par FB peuvent effectivement être signés… Mais pour l’instant, il n’y a pas de trust-path entre eux et moi, donc ça sert à rien. 



 Enfin, ils sont chiffrés, c’est déjà plutôt bien (et ils préviennent que du coup, si on perd sa clef privée, on perd aussi son compte, ce qui semble être un bon signe)


xlp Abonné
Le 02/06/2015 à 07h 26

Et même si ça semble bien peu populaire, Thunderbird prend en charge SMIME, d’origine, sans aucune extension. Et si vous voulez une clé, il est possible d’en obtenir une chez Comodo gratuitement (sinon faut avoir sa propre PKI, ce qui n’est pas non plus trop dur, mais devient plus geekesque).


Le 02/06/2015 à 08h 15



qui s’appuie sur un système de chiffrement qui n’est pas des plus simples à utiliser au quotidien, même s’il est répandu.





En fait c’est plutôt simple ! La difficulté vient du fait que les correspondants doivent tous avoir une paire de clés et qu’en général, ils s’en foutent complètement.


Le 02/06/2015 à 08h 18

Merci FB, encore une fois tu montres à quel point tu prends tes clients pour des buses ^^


Très bonne initiative de FB qui va permettre (à moyen terme ) de populariser un peu plus le système de cryptographie asymétrique (à clé publique).


Le 02/06/2015 à 08h 24







eliumnick a écrit :



Merci FB, encore une fois tu montres à quel point tu prends tes clients pour des buses ^^







Tes produits*, pas tes clients. Les clients de Facebook sont les entreprises auxquelles Facebook vend de l’espace publicitaire ultra ciblé, ainsi que toutes les données des personnes inscrites sur fb.



Le 02/06/2015 à 08h 26







marba a écrit :



Tes produits*, pas tes clients. Les clients de Facebook sont les entreprises auxquelles Facebook vend de l’espace publicitaire ultra ciblé.







Oui exact ^^



Le 02/06/2015 à 08h 27







BTCKnight a écrit :



Très bonne initiative de FB qui va permettre (à moyen terme ) de populariser un peu plus le système de cryptographie asymétrique (à clé publique).







Vraiment ? Pake en fait ils annoncent juste qu’ils vont chiffrer leur communication entre leur serveurs, et utiliser ta clé publique pour t’envoyer des notifications….



Si leur objectif n’était pas un effet d’annonce, il aurait simplement annoncé “on chiffre les communications entre nos serveurs” et c’est tout.



fred42 Abonné
Le 02/06/2015 à 08h 29

Hein ?

Tu peux argumenter ? Je n’ai pas suivi ton raisonnement.


Le 02/06/2015 à 08h 29

oui merci de le rappeler :) ça marche très bien ( deja testé mais pas avec des autorités non reconnues)


Le 02/06/2015 à 08h 31



pardon j’avais sauté l’intro visiblement ><

“ Le réseau social permet désormais d’ajouter une clé de chiffrement GPG à son profil, pour la signaler à d’autres membres”


Le 02/06/2015 à 08h 32







math67 a écrit :



“ et signés avec l’une des clés du réseau social”



Donc en gros on génère les clefs chez facebook, et elles restent chez facebook ?

Super la sécurité :p

Si vous êtes interessés par le chiffrement de mail c’est facile, vous pouvez générer les clefs chez vous.

Après il y a engimail pour thunderbird qui possede plein d’option (chiffrement/signature automatique …).

Beaucoup de clients libre prenne en compte openPGP





T’as pas compris. Tu te génères ton couple de clés privée/publique chez toi, tu te connectes à FB, tu leurs donnes ta clé publique.

Eux de leur coté en profitent pour te donner leur clé publique.



Une fois cela fait tu reçois des messages chiffrés avec ta clé publique et signés avec leurs clé privée. Du coup grâce à leur clé publique tu peux vérifier que c’est bien eux qui l’ont envoyé et grâce à ta clé privée tu peux déchiffrer le message.



Garga Abonné
Le 02/06/2015 à 08h 32

Pour les webmails, il existe l’extension Mailvelope qui fonctionne très bien (on peut même ajouter des webmails non prévus). Par contre, l’extension ne permet pas de signer avec une sous-clé.

 

 Un problème de GPG est que c’est encore perçu comme un truc de techos parano et que c’est pas sexy. Heureusement, un vrai travail de vulgarisation, de simplification et de design a été mis en place autour de la crypto, mais tant que ce ne sera pas promu par une majorité de grands acteurs, il faudra pas rêver sur sa généralisation. Déjà on atteint des sommets de simplicité avec TextSecure et c’est pas gagné pour autant…



 Mais surtout, avec GPG, impossible de faire une recherche dans les mails chiffrés. C’est un soucis récurrent et une cause d’abandon d’une bonne part des gens à qui je fais découvrir GPG et sont pourtant séduits par le principe. Je n’ai malheureusement pas de réponse à leur apporter sur ce point.


Le 02/06/2015 à 08h 34







fred42 a écrit :



Hein ?

Tu peux argumenter ? Je n’ai pas suivi ton raisonnement.







Un peu plus détaillé dans le port 10.



fred42 Abonné
Le 02/06/2015 à 08h 47







eliumnick a écrit :



Un peu plus détaillé dans le port 10.





Ce post montre surtout que tu n’as rien compris.



Ils n’annoncent pas qu’il chiffrent les échanges entre leurs serveurs.



Ils annoncent qu’ils mettent en avant GPG :





  • possibilité d’ajouter sa clé publique à son profil Facebook. Cela permet d’améliorer la visibilité de cette clé et donc l’utilisation de GPG par tous. On peut penser qu’il va y avoir un effet viral.

  • utilisation pour échanger avec les utilisateurs. Comme dit dans la news, cela permettra de ne plus envoyer un mot de passe en clair. C’est quand même une bonne avancée.

  • signature des messages envoyés par Facebook pour authentifier l’émetteur du message et donc lutter contre le phishing.



    Je n’aime pas Facebook, mais je trouve que c’est vraiment une avancée pour la sécurité. Et vu le nombre d’utilisateurs de ce réseau social, c’est une grande chance de vulgarisation de GPG.





Le 02/06/2015 à 08h 53







fred42 a écrit :



Ce post montre surtout que tu n’as rien compris.



Ils n’annoncent pas qu’il chiffrent les échanges entre leurs serveurs.



Ils annoncent qu’ils mettent en avant GPG :





  • possibilité d’ajouter sa clé publique à son profil Facebook. Cela permet d’améliorer la visibilité de cette clé et donc l’utilisation de GPG par tous. On peut penser qu’il va y avoir un effet viral.

  • utilisation pour échanger avec les utilisateurs. Comme dit dans la news, cela permettra de ne plus envoyer un mot de passe en clair. C’est quand même une bonne avancée.

  • signature des messages envoyés par Facebook pour authentifier l’émetteur du message et donc lutter contre le phishing.



    Je n’aime pas Facebook, mais je trouve que c’est vraiment une avancée pour la sécurité. Et vu le nombre d’utilisateurs de ce réseau social, c’est une grande chance de vulgarisation de GPG.









    En effet, une fois la fonction « expérimentale » activée dans les paramètres de contact, seuls les messages « sécurisés » envoyés par Facebook seront chiffrés avec votre clé publique, et signés avec l’une des clés du réseau social afin de vous permettre de vous assurer de leur provenance.





    Exact, j’ai confondu les communications entre serveur, et les notifications qu’ils envoient.



    Sinon, reprenons tes points :




  1. oui tout les kevins voudront leur clé pgp pour avoir l’air de s’y connaitre.



  2. Mais attention, il n’est pas question de vous proposer de converser avec vos amis en exploitant vos clefs respectives, tout du moins pas pour le moment.



    Si tu veux utiliser la clé PGP il te faudra passer par un client alternatif, donc POUR le moment, ca sert juste au point 1.

  3. Oui, mais encore une fois, avec un client alternatif.



    Précision : par client alternatif, j’entends un client mail (genre webmail ou thunderbird) qui permet de gérer la clé PGP.



    Sur le principe, je pense que tout le monde est d’accord que c’est une avancée. Mais encore une fois, l’application du principe n’est pas terrible.



Le 02/06/2015 à 09h 10

90% de la population utilisant internet n’est pas foutue de se créer un mot de passe correct.

 

 

Vous voulez leur faire utiliser un mécanisme qui demande l’utilisation d’une phrase de passe et qui demande de gérer de manière sécurisée le stockage d’une clé privée ?! Revenez sur terre. PGP/GPG est destiné à une toute petite tranche de la population et le restera encore de nombreuses décennies.

 



 La seule solution est d’apprendre à gérer une phrase de passe. Cette étape est faisable. A partir de là on peut utiliser des système de chiffrement asymétrique avec dérivation des clés via une phrase de passe. Si vous voulez vraiment faire gérer localement une clé privée c’est déjà mort pour une énorme majorité de gens.


Je confirme ce que plusieurs t’ont dit : tu ne sais pas réellement comment fonctionne le système de cryptographie à clé publique…

Ce qui est mis en place par FB n’a rien à voir avec “chiffrer leur communication entre leur serveurs”


Le 02/06/2015 à 09h 24







BTCKnight a écrit :



Je confirme ce que plusieurs t’ont dit : tu ne sais pas réellement comment fonctionne le système de cryptographie à clé publique…

Ce qui est mis en place par FB n’a rien à voir avec “chiffrer leur communication entre leur serveurs”







Le commentaire #17 a déjà mis ce point en évidence, et j’y ai répondu dans le commentaire #18 ^^



LordZurp Abonné
Le 02/06/2015 à 09h 55

haters gonna hate&nbsp;<img data-src=" />


Le 02/06/2015 à 10h 58

Cool, maintenant, les messages “Machin veut être votre amis”, “Connaissez vous Untel” seront méga sécuriser <img data-src=" />


Vser Abonné
Le 02/06/2015 à 11h 12



Garga a écrit :

&nbsp;Mais surtout, avec GPG, impossible de faire une recherche dans les mails chiffrés. C’est un soucis récurrent et une cause d’abandon d’une bonne part des gens à qui je fais découvrir GPG et sont pourtant séduits par le principe. Je n’ai malheureusement pas de réponse à leur apporter sur ce point.



&nbsp;



&nbsp;J’avoue. J’utilise Enigmail et j’ai le pb. J’imagine que certains se sont posés la question.


Vser Abonné
Le 02/06/2015 à 11h 12

Et au passage, quand pourrais-je mettre ma clé publique sur mon profil nxi ? :)


Le 02/06/2015 à 11h 48







Vser a écrit :



Et au passage, quand pourrais-je mettre ma clé publique sur mon profil nxi ? :)





tu peux déjà mettre une signature vers un serveur de clé publique probablement ?



Vser Abonné
Le 02/06/2015 à 13h 04

Ce n’est pas tant pour&nbsp; y donner de la publicité mais pour que nxi l’utilise lors de l’envoi de mail.


Le 02/06/2015 à 13h 20







Vser a écrit :



Ce n’est pas tant pour&nbsp; y donner de la publicité mais pour que nxi l’utilise lors de l’envoi de mail.





Déjà qu’ils veulent pas mettre du TLS sur la consultation du site (ce qui est ultra simple à faire vie Cloudflare chez qui ils sont clients ) … t’es pas près de voir des mails chiffrés avec GPG …



Le 02/06/2015 à 16h 15

Vivement que les banques adoptent la signature GPG pour l’envoi d’emails.



Avec la possibilité d’archiver les clées publiques des FAI, opérateurs et banques de notre choix dans nos webmail, ça permettrait d’éradiquer le spam finalement.


ForceRouge Abonné
Le 02/06/2015 à 17h 07







xlp a écrit :



Et même si ça semble bien peu populaire, Thunderbird prend en charge SMIME, d’origine, sans aucune extension. Et si vous voulez une clé, il est possible d’en obtenir une chez Comodo gratuitement (sinon faut avoir sa propre PKI, ce qui n’est pas non plus trop dur, mais devient plus geekesque).







Le problème avec smime c’est que tu fais confiance par défaut au trousseau de clé qui est pré installé dans ton Pc. C’est à dire tout le monde, donc personne .







nobugging a écrit :



Vivement que les banques adoptent la signature GPG pour l’envoi d’emails.



Avec la possibilité d’archiver les clées publiques des FAI, opérateurs et banques de notre choix dans nos webmail, ça permettrait d’éradiquer le spam finalement.







Pour éradiquer le phishing, il existe dkim, mais trop peu de boîte l’implemente. Dommage .



La meilleur solution est effectivement le gpg. L’idée serait de mettre un filtre exclusif qui ne laisse passer que les emails signés dont tu as trusté la clé publique au préalable . L’avantage en plus c’est que ce trust peut se révoquer par l’emeteur s’il se fait voler sa clé privée ou bien par le destinataire s’il n’a plus envi de recevoir de spam de la part de l’emeteur.



Si on déporte toute la sécurité dans gpg. Le problème va devenir “comment protéger sa clé privée”. Car un petit malware qui récupère la cle protégée par un pass bidon et c’est foutu

Il faut passer par une phase d’éducation sur les token/smartcard, qu’est ce qu’une passphrase, comment révoquer une identite quand un a perdu la clé privée, comment augmenter le nombre d’iteration de chiffrement …



Bref c’est pas gagné , mais pour le coup, je suis vraiment content de la démarche de Facebook. Même s’il faut pas se leurer, s’ils font ca c’est pour augmenter la fiabilité de leur information personnel en pouvant le prouver numériquement au lieu de simplement avoir plein d’homonymes de nom/prénom




Le 02/06/2015 à 18h 44

Mouais. DKIM ça sert mieux pour lutter contre le phishing que contre le SPAM. Je connais des boites de SPAM qui ont du DKIM installé sur leurs servers. C’est pas très compliqué et ça passe partout. Les grosses boites qui font du SPAM s’y sont mis depuis un moment …


ForceRouge Abonné
Le 02/06/2015 à 19h 13

je crois que c’est exactement ce que j’ai dit. <img data-src=" />


Le 02/06/2015 à 20h 59

Je pense qu’il parle du fait que l’utilisateur moyen va retenir “Facebook sécurise vos communications” alors que c’est uniquement pour le spam mails que Facebook leur envoie


Le 03/06/2015 à 07h 10







Vser a écrit :



Ce n’est pas tant pour&nbsp; y donner de la publicité mais pour que nxi l’utilise lors de l’envoi de mail.



Oui vu comme ça :-)

&nbsp;Bonne Idée pour la prochaine version de Nxi, je vote pour.

&nbsp;