Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Pour Phil Zimmermann, créateur de PGP, l’email a fait son temps

Les métadonnées resteront toujours accessibles

Pour Phil Zimmermann, créateur de PGP, l’email a fait son temps

Le 13 août 2013 à 16h18

Parmi les multiples rebondissements entourant l’affaire Edward Snowden et le scandale Prism, on a pu voir en fin de semaine dernière que deux services d’emails sécurisés avaient brutalement fermé leur porte. Secure Circle, l’une des deux sociétés concernées, s’est expliquée plus avant de la situation particulière du courrier électronique aujourd’hui. Phil Zimmermann, son co-fondateur et créateur de la solution PGP, ne croit tout simplement plus dans la sécurité de ce moyen de communication.

Crédits : Dave Bleasdale, licence Creative Commons

 

Vendredi dernier, deux services d’emails sécurisés ont tout à coup fermé leurs portes. L’un était la seule activité d’une société, Lavabit, l’autre l’un des produits proposés par une entreprise plus grande, Silent Circle. Les problèmes ont démarré avec Lavabit, après qu’un email envoyé par Edward Snowden a attiré l’attention sur ce service, une attention dont la société se serait bien passée puisque le renseignement américain est venu frapper à la porte. Son fondateur, Ladar Levison, avait alors expliqué qu’il avait dû fermer Lavabit pour éviter de devenir « complice de crimes envers le peuple américain ».

Une attention néfaste 

Cette fermeture radicale a provoqué une onde de choc et un écho particulier chez Silent Circle. Cette entreprise est animée par plusieurs experts en sécurité et a été notamment cofondée par Phil Zimmermann, créateur de la solution de chiffrement PGP (Pretty Good Privacy). Depuis le début de l’affaire Prism, SIlent Circle réfléchissait à la fermeture de son activité email, pour se concentrer sur ses autres produits. Le cas de Lavabit a cependant largement accéléré la décision, au point de ne pas laisser de temps aux utilisateurs qui avaient souscrit.

 

Interrogé par Forbes, Zimmermann s’est montré particulièrement clair : l’email n’est pas une solution sécurisée et ne peut pas l’être. Silent Circle possède plusieurs produits, tous centrés sur le chiffrement des communications depuis les smartphones. Dans le cas des emails, aucun client PGP n’était disponible pour les applications mobiles, et une solution serveur a donc été adoptée (PGP Universal de Symantec). Cependant, contrairement aux autres produits, Silent Circle possédait les clés : « Si le corps du message est chiffré avec une clé que nous détenons sur notre serveur, ils pourraient demander cette clé, ou nous demander de déchiffrer le contenu, ou demander la clé pour qu’ils puissent eux-mêmes le déchiffrer ». Et le « ils » en question se rapporte bien sûr aux agents du renseignement.

Une décision brutale 

Selon Zimmermann, la NSA, la CIA et les autres agences auraient pu obtenir de nombreuses informations sans pour autant posséder la clé. En effet, PGP chiffre le corps du message, mais en aucun cas les métadonnées de l’email. L’expéditeur et le destinataire notamment restent accessibles. Silent Circle étant une entreprise américaine, elle aurait eu pour obligation de fournir les données demandées. Le fait que les serveurs soient situés au Canada n’aurait probablement rien changé : même si le voisin du nord dispose de nombreuses lois pour la protection de la vie privée, il dispose d’un long historique de coopération dans le domaine judiciaire.

 

Une fois la décision prise, le contenu des disques durs a tout simplement été effacé, après que les données relatives aux employés ont été mises de côté. Zimmermann est cependant conscient de la gêne occasionnée pour les clients car aucun avertissement n’avait été lancé. D’ailleurs, il précise que le jour de la fermeture, les téléphones du service client ont sonné toute la journée.

Toujours le problème des métadonnées

Le son de cloche est le même du côté du directeur technique de Silent Circle, Michael Janke. Interviewé par ZDnet, il a expliqué ce matin : « Nous savions que les métadonnées étaient aussi dangereuses que le contenu, sans tenir compte du chiffrement éventuel de ce dernier. Qui, quand, où, pourquoi, l’en-tête, votre fournisseur d’accès, le système d’exploitation que vous utilisez, votre position géographique et les personnes avec qui vous communiquez sont tous d’importantes données à conserver ».

 

 

Lui aussi parle de décision « préemptive » car la société était consciente d’être assise sur une mine d’or d’informations non chiffrées qui pouvaient largement intéresser les gouvernements. Or, tous les autres produits de Silent Circle sont basés sur l’idée que l’entreprise elle-même ne détient aucune clé : l’email sécurisé était un cas à part. Pour autant, elle n’abandonne pas l’idée de l’email totalement.

Le peer-to-peer, encore et toujours lui 

Silent Circle travaille en effet sur une solution décentralisée qui fonctionne sur un mode peer-to-peer qui s’utilisera comme un email classique, même si ça n’en est pas. Les seules informations que possèdera l’entreprise seront alors le pseudonyme donné par l’utilisateur, le mot de passe, ainsi qu’un numéro de téléphone. Un fonctionnement peer-to-peer qui explique d’ailleurs que les autres produits n’ont pas été fermés : aucun ne génère de métadonnées.

 

Quant à l’avis du directeur technique sur la surveillance opérée par la NSA, il est net : « Nous comprenons et nous souhaitons que la NSA protège nos concitoyens. Mais cette discussion doit prendre en compte la liberté d’expression, le droit à la vie privée pour l’individu, et les droits pour les entreprises de protéger leur propriété intellectuelle ».

 

Un message sans doute lancé dans le vent car l’email de Snowden a attiré les yeux des agences de renseignements vers les services d’emails sécurisés. Pour Silent Circle, même un simple SMS reste en fin de compte plus sécurisé qu’un courrier électronique. Ladar Levison, fondateur de Lavabit, a d’ailleurs été particulièrement clair sur cette sécurité, indiquant ne plus les utiliser : « SI vous saviez ce que je sais sur les emails, vous ne les utiliseriez plus non plus ».

Commentaires (68)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







the_frogkiller a écrit :



hummm il suffit que le mail aille vers une boite dont le serveur est sur le sol américain… après c’est un petit jeux de remonter l’arbre qui lie les individus





ok mais si l’email est [email protected] avec comme sujet : vacances de campagne, dont l’ip est française,le seul élément de suspicion serait PGP donc je vois pas trop comment ils vont remonter.


votre avatar







salak a écrit :



ok mais si l’email est [email protected] avec comme sujet : vacances de campagne, dont l’ip est française,le seul élément de suspicion serait PGP donc je vois pas trop comment ils vont remonter.





a moins d’utiliser une nouvelle boite mail pour chaque mail il va forcement être utilisé pour des échanges. de là on peut lier les destinataires/émetteur. après je ne vois pas en quoi le fait que l’ip soit française ou que le domaine soit français vous protège. ce n’est pas ce genres de considérations qui arrête la NSA et consorts (cf lien entre des boites européennes et des sociétés écrans de la NSA).


votre avatar

Je ne dis pas que la boite mail française est plus secure, juste que si Snowden utilisait une boite mail française avec un sujet français, ça éviterait d’émettre des soupçons par rapport au contenu du mail chiffré. De façon analogue, j’aurai très bien pu mettre allemand. Et pour les paranos, un nouvel email est indiqué dans le corps du message pour chaque nouvelle réponse avec renouvellement de l’ip de part et d’autre. Donc, je ne vois pas en quoi la confidentialité est compromise. A moins qu’il existe des techniques de surveillance plus efficace que le DPI qui casse l’algo symétrique mais je suis pas au courant.

votre avatar

moi je dis qu’il serait tant que toutes les populations de tous les pays du monde envoient copieusement chier tous ces abrutis qui pensent nous diriger (et pas gouverner) .. histoire de leur rappeler que le peuple il est nombreux et qu’il faut arreter de lui cracher à la tronche.. et je reste persuadé que ce jour viendra et que ca sera pas beau à voir !


votre avatar







patos a écrit :



Et dieu inventa le cryptage asymétrique.





Et le dictionnaire: chiffrement <img data-src=" /><img data-src=" />





Ingénieur informaticien a écrit :



Ceux qui parlent d’interdire le cryptage se lancent dans une bataille dont on n’est pas près de voir le bout.





Le cryptage est mort, vive le chiffrement <img data-src=" />


votre avatar







psn00ps a écrit :



Et le dictionnaire: chiffrement <img data-src=" /><img data-src=" />



Le cryptage est mort, vive le chiffrement <img data-src=" />





Oue ben fuck the dico <img data-src=" />


votre avatar







salak a écrit :



Donc, je ne vois pas en quoi la confidentialité est compromise. A moins qu’il existe des techniques de surveillance plus efficace que le DPI qui casse l’algo symétrique mais je suis pas au courant.





Dans les entêtes, tu as les serveurs mails utilisés pour la transmission du message.

En recoupant les empreintes, tu peux déduire qui parle avec qui.

EDIT: c’est loin d’être la seule info. <img data-src=" />


votre avatar

Quand des révélations sont faites type Wikileaks ou Snowden, beaucoup répètent en boucle “on le savait déjà de toute manière, ce type ne nous apprend rien etc.”



Là, Zimmermann fait une allusion transparence au fait que la NSA peut lire en gros tous les mails qui transitent sur le réseau (les mails transitent en clair et sont très légers , c’est donc peu étonnant, et ça a été confirmé par l’affaire Snowden) mais là tout à coup on doute de lui, pourquoi il ne précise pas sa phrase « SI vous saviez ce que je sais sur les emails, vous ne les utiliseriez plus non plus » ?



Lisez les documents sur la surveillance électronique publiés par Wikileaks et vous le saurez aussi (les entreprises de surveillance ont en gros accès à tout, et les mails sont de loin le plus facile à intercepter).



Certains comme millcaj vont même jusqu’à imaginer un complot de la part de Zimmermann visant uniquement à pousser sa solution alternative aux mails. <img data-src=" />

votre avatar

Bonjour



Ben moi mes courriels je les écris avec de l’encre sympathique, je les imprimes les mets dans une enveloppe et hop direction la poste.

Là je crois pas que la NSA puisse les lire.

Bon c’est juste, un peu plus long …..



bisous



<img data-src=" />

votre avatar







psn00ps a écrit :



Dans les entêtes, tu as les serveurs mails utilisés pour la transmission du message.

En recoupant les empreintes, tu peux déduire qui parle avec qui.

EDIT: c’est loin d’être la seule info. <img data-src=" />





Quand on est négligeant, oui.

Si on avait un système décentralisé de diffusion de clé, seule l’adresse du destinataire serait en clair… Les 2 seules autres métadonnées seraient la taille déductible et le rythme de communication


votre avatar







psn00ps a écrit :



Dans les entêtes, tu as les serveurs mails utilisés pour la transmission du message.

En recoupant les empreintes, tu peux déduire qui parle avec qui.

EDIT: c’est loin d’être la seule info. <img data-src=" />





Ouais donc en gros, il faut réduire les intermédiaires. P2P a encore de beaux jours devant lui.







wagaf a écrit :



Quand des révélations sont faites type Wikileaks ou Snowden, beaucoup répètent en boucle “on le savait déjà de toute manière, ce type ne nous apprend rien etc.”



Là, Zimmermann fait une allusion transparence au fait que la NSA peut lire en gros tous les mails qui transitent sur le réseau (les mails transitent en clair et sont très légers , c’est donc peu étonnant, et ça a été confirmé par l’affaire Snowden) mais là tout à coup on doute de lui, pourquoi il ne précise pas sa phrase « SI vous saviez ce que je sais sur les emails, vous ne les utiliseriez plus non plus » ?



Lisez les documents sur la surveillance électronique publiés par Wikileaks et vous le saurez aussi (les entreprises de surveillance ont en gros accès à tout, et les mails sont de loin le plus facile à intercepter).



Certains comme millcaj vont même jusqu’à imaginer un complot de la part de Zimmermann visant uniquement à pousser sa solution alternative aux mails. <img data-src=" />





Donc, tu dis qu’il dit à mots couverts que PGP ça sert plus rien, c’est ça ? Ca me semble quand même gonflé de sa part <img data-src=" />


votre avatar

les métadonnées? je n’utilise pas mon nom dans mes mails perso.<img data-src=" />

idem sur FB.

votre avatar

et sinon ya quoi pour remplacer silent circle et lavabit ? je cherche un serveur sécurisé avec cryptage fort de mes emails, et j’avoue que je n’ai pas envie que Google (gmail) matte mes emails, pas plus que FREE d’ailleurs (ou autre)



alors si je dois repasser au client lourd, je le ferais, tant mieux :)



merci

votre avatar







psn00ps a écrit :



Et le dictionnaire: chiffrement <img data-src=" /><img data-src=" />



Le cryptage est mort, vive le chiffrement <img data-src=" />





malheureusement non, quand une femme parle c’est toujours crypté (et pas chiffré, vu qu’elles ne connaissent pas la clé qu’elles utilisent) <img data-src=" />


votre avatar







Patch a écrit :



malheureusement non, quand une femme parle c’est toujours crypté (et pas chiffré, vu qu’elles ne connaissent pas la clé qu’elles utilisent) <img data-src=" />





Touché!

Voilà une utilisation acceptable du mot <img data-src=" />



Sinon leur éventuelle “solution mail p2p“, je demande à voir… mais je ne pense pas que ça va être réellement satisfaisant <img data-src=" />


votre avatar







lateo a écrit :



Touché!

Voilà une utilisation acceptable du mot <img data-src=" />



Sinon leur éventuelle “solution mail p2p“, je demande à voir… mais je ne pense pas que ça va être réellement satisfaisant <img data-src=" />





Ca existe déjà sous Freenet.


votre avatar



Pour Silent Circle, même un simple SMS reste en fin de compte plus sécurisé qu’un courrier électronique. Ladar Levison, fondateur de Lavabit, a d’ailleurs été particulièrement clair sur cette sécurité, indiquant ne plus les utiliser : « SI vous saviez ce que je sais sur les emails, vous ne les utiliseriez plus non plus ».



eh ben qu’il balance, qu’on sache nous aussi…? <img data-src=" />

et puis bon un SMS, s’il y a un accès sur le téléphone, c’est facile de récupérer les SMS, par défaut ils sont stockés en clair…

votre avatar

pis bon si les mail était pas bien sécurisé ça ferait longtemps que j’aurais pu de compte steam <img data-src=" />

votre avatar







maxxyme a écrit :



eh ben qu’il balance, qu’on sache nous aussi…? <img data-src=" />

et puis bon un SMS, s’il y a un accès sur le téléphone, c’est facile de récupérer les SMS, par défaut ils sont stockés en clair…





Le NSA peut légalement lui ordonner de ne pas divulguer ce qu’ils lui ont ordonné de faire.


votre avatar

A ce moment là, aucun moyen de communication n’est sécurisé puisqu’il y a toujours un moment ou le message devra être décodé avec vulnérabilité au moment de la lecture…

votre avatar

Et il y a fort à parier que nous nous dirigeons vers un encadrement législatif drastique au niveau des VPN et du chiffrement en règle générale, i.e purement et simplement interditS

Sauf un chiffrement “générique” dont les autorités détiendraient les clés de chiffrement, et sauf un chiffrement plus sécurisé et autorisé sur dérogation.



Qui veut lancer les paris ???

votre avatar

On décrypte un peu :





  • Silent Circle vend des solutions de communications sécurisées



  • Silent Circe voulait se débarasser de son service email (depuis Prism ?…. même avant semble-t-il si on suit la société un peu)



  • Ni la NSA, CIA, FBI ou qui que ce soit n’a demandé quoi que ce soit à Silent Circle, qui, soit dit en passant, détient toujours les informations de décodage pour les mail existant.



  • Silent Circle, depuis un moment semble vouloir pousser des solutions qu’elle possède pour “remplacer” l’email au moin dans certains cas



  • Voilà donc une bonne occasion de se débarasser d’une activité dont on ne veut plus, en quelques jours ( ! ) en passant pour des héros, et en inquiétant bien le public et les medias sur l’email. Le « SI vous saviez ce que je sais sur les emails, vous ne les utiliseriez plus non plus ».c’est quand même prodigieux !



  • Prochaine étape: “voilà nos solutions pour remplacer l’email !” ???



    Fun fun fun <img data-src=" />



    (Maintenant, l’email n’a jamais été inventé pour offrir une haute sécurité pour le contenu des messages ; c’est une évidence… Internet non plus, d’ailleurs : il a été inventé au départ pour garantir l’acheminement.)

votre avatar







Tourner.lapache a écrit :



A ce moment là, aucun moyen de communication n’est sécurisé puisqu’il y a toujours un moment ou le message devra être décodé avec vulnérabilité au moment de la lecture…



Si, le bouche à oreille <img data-src=" />



C’est l’existence de point de passage obligés qui fait naitre un “lieu de risque”.

Une communication directe et chiffrée entre deux machines, même transitant par des nœuds tiers, est le seul moyen de garantir le secret (modulo la solidité du chiffrement)


votre avatar







Stargateur a écrit :



pis bon si les mail était pas bien sécurisé ça ferait longtemps que j’aurais pu de compte steam <img data-src=" />





Gné ? <img data-src=" />


votre avatar







maxxyme a écrit :



eh ben qu’il balance, qu’on sache nous aussi…? <img data-src=" />

et puis bon un SMS, s’il y a un accès sur le téléphone, c’est facile de récupérer les SMS, par défaut ils sont stockés en clair…





Il n’y a qu’à comprendre la logique des serveurs de mails pour savoir que les mails sont aussi sécurisés qu’un mec qui braille au milieu d’un café: il suffit qu’un flic soit par là pour qu’il écoute.



En gros: tu peux aisément détourner n’importe quel serveur de mail à l’échelle d’un pays en tant qu’agence d’écoute, tant que tu as une patte sur un serveur du FAI ( :coucou: les DNS), et mettre OpenDNS n’y changerait rien ( :coucou: les DPIs associées aux règles de routage).

Et qu’on me dise pas “oui mais y’a le SMTP SSL”, pitié…







Tourner.lapache a écrit :



A ce moment là, aucun moyen de communication n’est sécurisé puisqu’il y a toujours un moment ou le message devra être décodé avec vulnérabilité au moment de la lecture…





Le réseau BlackBerry Entreprise: c’est parfait comme fonctionnement, il reste juste à ôter le côté “serveur par pays” pour faire des communications P2P, et c’est absolument parfait.


votre avatar







maxxyme a écrit :



eh ben qu’il balance, qu’on sache nous aussi…? <img data-src=" />







A ma connaissance, tout est classique et documenté :




  • L’e-mail n’a pas été conçu pour une utilisation aussi massive

  • Ca transite en clair

  • Email#Message_format



    Simple hypothèse : la NSA demande à Cisco de tracer toutes les activités e-mail dans des fichiers de traces.



    Du coup, c’est plus large que Google/Yahoo/MS …


votre avatar







psn00ps a écrit :



Ca existe déjà sous Freenet.







Ca fait longtemps que j’ai pas essayé.

Ca rame toujours autant ?


votre avatar



Silent Circle travaille en effet sur une solution décentralisée qui fonctionne sur un mode peer-to-peer qui s’utilisera comme un email classique, même si ça n’en est pas. Les seules informations que possèdera l’entreprise seront alors le pseudonyme donné par l’utilisateur, le mot de passe, ainsi qu’un numéro de téléphone.





??? WTF ??? <img data-src=" />



Quel est l’intérêt par rapport au service qu’ils ont fermé? Avant, ils avaient les métadonnées, maintenant ils ont les password et les numéros de téléphones… J’ai peut-être pas bien compris le but de la démarche, mais ça me laisse assez perplexe je dois dire…

votre avatar

Enfin, si je commence à chiffrer mes mails, les passer en peer to peer etc…c’est que j’ai vraiment envie de me faire chier pour rien vu le contenu habituel de mes mails (dans le sens de l’interêt qu’ils ont pour eux).

Ca peut servir à certaines entreprises pour garder la confidentialité mais la teneur de la majorité des emails et sms du monde doit être franchement sans interêt pour la nsa.

Si on veut vraiment les emmerder, faut s’envoyer des milliers de mails inutiles par jour pour les flooder (genre avec un pied de page qui contient tous les mots clés qui doivent faire biiip chez eux).

votre avatar







nirgal76 a écrit :



Enfin, si je commence à chiffrer mes mails, les passer en peer to peer etc…c’est que j’ai vraiment envie de me faire chier pour rien vu le contenu habituel de mes mails (dans le sens de l’interêt qu’ils ont pour eux).

Ca peut servir à certaines entreprises pour garder la confidentialité mais la teneur de la majorité des emails et sms du monde doit être franchement sans interêt pour la nsa.

Si on veut vraiment les emmerder, faut s’envoyer des milliers de mails inutiles par jour pour les flooder (genre avec un pied de page qui contient tous les mots clés qui doivent faire biiip chez eux).







C’est une question de principe.

Car c’est parce que des millions de gens tiennent le même raisonnement, que nous finissons par banaliser la chose, et finalement par la normaliser.



« Lorsque les nazis sont venus chercher les communistes,

je n’ai rien dit,

je n’étais pas communiste.



Lorsqu’ils ont emprisonné les socialistes,

je n’ai rien dit,

je n’étais pas socialiste.



Lorsqu’ils sont venus chercher les syndicalistes,

je n’ai rien dit,

je n’étais pas syndicaliste.



Lorsqu’ils sont venus me chercher

il ne restait plus personne

pour protester. »


votre avatar







Ingénieur informaticien a écrit :



Ca fait longtemps que j’ai pas essayé.

Ca rame toujours autant ?





Ca ‘rame’ ie ça met du temps à aller chercher l’info si ta connection est mauvaise ou si tu ne laisses pas ton noeud tourner pour lui permettre de récupérer des données.

Autrement la vitesse de réception est très bonne.


votre avatar







psn00ps a écrit :



Ca existe déjà sous Freenet.







Ouais enfin Freenet, ‘faut le vouloir quoi.

Et surtout ça n’a rien d’une solution universelle.


votre avatar







Superambre a écrit :



et sinon ya quoi pour remplacer silent circle et lavabit ? je cherche un serveur sécurisé avec cryptage fort de mes emails, et j’avoue que je n’ai pas envie que Google (gmail) matte mes emails, pas plus que FREE d’ailleurs (ou autre)



alors si je dois repasser au client lourd, je le ferais, tant mieux :)



merci







Ton FAI c’est dieu le père, il peut tout savoir.

Pour protéger ton mail tu l’écris sur un txt/doc puis tu le fous dans un zip avec un P455w0R2l4m0r7K!tu3


votre avatar







Ingénieur informaticien a écrit :



C’est une question de principe.

Car c’est parce que des millions de gens tiennent le même raisonnement, que nous finissons par banaliser la chose, et finalement par la normaliser.





Je disais juste que vu l’usage que j’ai des mails, essayer de me rendre anonyme va plus m’emmerder qu’autre chose. Ca ne normalise en rien leur pratique. (Et c’est pas un poème moralisateur, à l’origine contreversée et d’un auteur au passé qui ne l’est pas moins qui va changer ça)


votre avatar







nirgal76 a écrit :



Je disais juste que vu l’usage que j’ai des mails, essayer de me rendre anonyme va plus m’emmerder qu’autre chose. Ca ne normalise en rien leur pratique. (Et c’est pas un poème moralisateur, à l’origine contreversée et d’un auteur au passé qui ne l’est pas moins qui va changer ça)







Moi aussi ça m’emmerde, je te rassure.

Ca ne change rien au fait que c’est aussi la somme de nos petits consentements qui permet à certains d’abuser grave …


votre avatar

Il confond communication anonyme et communication chiffrée. SMTP, le protocol d’émail est fédéré et non centralisé… et je vois pas trop ce que vient faire cette saloperie de “propriété intellectuelle” démago ici (le brevet est une cochonerie archaïque qui ne mérite que la poubelle).



C’est bien puant…

votre avatar







Tourner.lapache a écrit :



A ce moment là, aucun moyen de communication n’est sécurisé puisqu’il y a toujours un moment ou le message devra être décodé avec vulnérabilité au moment de la lecture…







Je ne suis pas sûr que ce soit le sens du leurs propos.

Ils disent simplement que le mail n’est pas sûr d’un point de vue vie privée. Même encodé les métadonnées sont en claires.



Après il est certain pour communiquer des informations/données sensibles, le mail est à proscrire.









millcaj a écrit :



On décrypte un peu :

(Maintenant, l’email n’a jamais été inventé pour offrir une haute sécurité pour le contenu des messages ; c’est une évidence… Internet non plus, d’ailleurs : il a été inventé au départ pour garantir l’acheminement.)





C’est pas faux !

Plutôt que de blâmer un moyen parmi tant d’autres pour communiquer, il faut déjà être sûr du transporteur.

Et tout comme le mail, Internet n’a jamais été inventé pour une utilisation aussi massive. J’avais d’ailleurs lu un article sur S&V parlant d’une “explosion” du Net (et donc sa fin).


votre avatar







GruntZ a écrit :



Si, le bouche à oreille <img data-src=" />







J’ai l’ouie très fine !









Impli a écrit :



Je ne suis pas sûr que ce soit le sens du leurs propos.

Ils disent simplement que le mail n’est pas sûr d’un point de vue vie privée. Même encodé les métadonnées sont en claires.







Bah un peu. Il te dit que la NSA peut quand même leur saisir leur serveur sur lequel sont stocké les clés. Quitte à aller plus loin et ne pas se faire chier, autant aller chercher les PC clients.


votre avatar







Tourner.lapache a écrit :



Bah un peu. Il te dit que la NSA peut quand même leur saisir leur serveur sur lequel sont stocké les clés. Quitte à aller plus loin et ne pas se faire chier, autant aller chercher les PC clients.







Ouai, faut encore qu’ils aient la clé quoi …

Ce je veux dire par là, c’est qu’utiliser un moyen de cryptage en donnant la clé à un tiers (pas forcément de confiance), ça revient à se tirer une balle dans le pied quand même.


votre avatar







jrbleboss a écrit :



Gné ? <img data-src=" />



étant donné que tu peut avoir les liens pour réinitialisé ton mot de passe par mail suffit de faire une demande de lire le mail et hop…donc c’est pas si mal sécurisé que ça


votre avatar







patos a écrit :



En gros: tu peux aisément détourner n’importe quel serveur de mail à l’échelle d’un pays en tant qu’agence d’écoute, tant que tu as une patte sur un serveur du FAI ( :coucou: les DNS), et mettre OpenDNS n’y changerait rien ( :coucou: les DPIs associées aux règles de routage).

Et qu’on me dise pas “oui mais y’a le SMTP SSL”, pitié…





oui mais y’a le SMTP SSL













<img data-src=" />


votre avatar







Impli a écrit :



Ouai, faut encore qu’ils aient la clé quoi ..

Ce je veux dire par là, c’est qu’utiliser un moyen de cryptage en donnant la clé à un tiers (pas forcément de confiance), ça revient à se tirer une balle dans le pied quand même.





Et dieu inventa le cryptage asymétrique.


votre avatar

Ouais, le problème principal c’est plus que Google, Yahoo et Ms détienne une large part des comptes mails et qu’en plus ils sont américains. Je pense que les solutions qui ne sont pas sur le sol américains sont déjà un poil plus sécurisé rien que pour ne pas y être.

votre avatar

Ceux qui parlent d’interdire le cryptage se lancent dans une bataille dont on n’est pas près de voir le bout.



La stéganographie n’est qu’un exemple de contre mesure évidente.

votre avatar







Stargateur a écrit :



pis bon si les mail était pas bien sécurisé ça ferait longtemps que j’aurais pu de compte steam <img data-src=" />







lol j’espère juste que tu n’est pas sérieux en disant cela ;)


votre avatar







nlougne a écrit :



lol j’espère juste que tu n’est pas sérieux en disant cela ;)



j’y connait rien au mail alors non je suis pas sérieux je suppute dans les milieu autorisé


votre avatar







patos a écrit :



Et dieu inventa le cryptage asymétrique.



et dieu créa des processeurs puissants pour les décoder il est quand même pas con dieu <img data-src=" /> mais heureusement il créa un double system avec asy plus sy pour allégé la charge pas con le dieu


votre avatar







OVB1C a écrit :



Et il y a fort à parier que nous nous dirigeons vers un encadrement législatif drastique au niveau des VPN et du chiffrement en règle générale, i.e purement et simplement interditS

Sauf un chiffrement “générique” dont les autorités détiendraient les clés de chiffrement, et sauf un chiffrement plus sécurisé et autorisé sur dérogation.



Qui veut lancer les paris ???





Moi. Je parie que non, trop difficile législativement.

http://www.jurilexblog.com/droit-respect-vie-privee-droit-constitutionnellement-…


votre avatar







Ingénieur informaticien a écrit :



Ceux qui parlent d’interdire le cryptage se lancent dans une bataille dont on n’est pas près de voir le bout.



La stéganographie n’est qu’un exemple de contre mesure évidente.





Le cryptage n’existant pas, ce sera facile de l’interdire. Par contre, le chiffrement…


votre avatar







Stargateur a écrit :



je suppute dans les milieu autorisé



Rhôôô^!!



Désolé, j’ai l’esprit mal tourné <img data-src=" />


votre avatar







Stargateur a écrit :



et dieu créa des processeurs puissants pour les décoder il est quand même pas con dieu <img data-src=" />







Ouai enfin, il a intérêt à se lever de bonne heure pour le casser …


votre avatar



Pour Phil Zimmermann, créateur de PGP, l’email a fait son temps





Utilisons tous la messagerie de Facebook.



<img data-src=" />

votre avatar







millcaj a écrit :



On décrypte un peu :





  • Silent Circle vend des solutions de communications sécurisées



  • Silent Circe voulait se débarasser de son service email (depuis Prism ?…. même avant semble-t-il si on suit la société un peu)



  • Ni la NSA, CIA, FBI ou qui que ce soit n’a demandé quoi que ce soit à Silent Circle, qui, soit dit en passant, détient toujours les informations de décodage pour les mail existant.



  • Silent Circle, depuis un moment semble vouloir pousser des solutions qu’elle possède pour “remplacer” l’email au moin dans certains cas



  • Voilà donc une bonne occasion de se débarasser d’une activité dont on ne veut plus, en quelques jours ( ! ) en passant pour des héros, et en inquiétant bien le public et les medias sur l’email. Le « SI vous saviez ce que je sais sur les emails, vous ne les utiliseriez plus non plus ».c’est quand même prodigieux !



  • Prochaine étape: “voilà nos solutions pour remplacer l’email !” ???



    Fun fun fun <img data-src=" />





    Marrant, je me suis dit exactement la même chose.<img data-src=" />


votre avatar







Impli a écrit :



Ouai enfin, il a intérêt à se lever de bonne heure pour le casser …





il avait posé le 7ème jour juste pour avoir la pèche et être d’attaque le 8ème… prévoyant le dieu <img data-src=" />


votre avatar







Impli a écrit :



Après il est certain pour communiquer des informations/données sensibles, le mail est à proscrire.





<img data-src=" /> Nawak…


votre avatar







patos a écrit :



Et dieu inventa le cryptage chiffrement asymétrique.



<img data-src=" />


votre avatar







Ricard a écrit :



<img data-src=" /> Nawak…





et il faut mettre des chapeau en aluminium parce qu’ils ont des capteurs qui analysent le champs magnétique cérébral et déchiffrent nos pensées <img data-src=" />


votre avatar







Ricard a écrit :



<img data-src=" /> Nawak…





Parce que tu mettrais ton numéro/date d’expiration et le code à trois chiffre (dont j’ai perdu le nom) de ta carte bancaire dans un mail toi ?



Sympa ton argument sinon.


votre avatar







Stargateur a écrit :



et dieu créa des processeurs puissants pour les décoder il est quand même pas con dieu <img data-src=" /> mais heureusement il créa un double system avec asy plus sy pour allégé la charge pas con le dieu





Ben, si t’arrives à cracker AES 256, tu peux te faire des sous…<img data-src=" />


votre avatar







Impli a écrit :



Parce que tu mettrais ton numéro/date d’expiration et le code à trois chiffre (dont j’ai perdu le nom) de ta carte bancaire dans un mail toi ?



D’ailleurs, c’est tellement sûr un mail que le phishing n’existe pas encore.





Sans AUCUN soucis, puisque j’utilise GPG.<img data-src=" />


votre avatar







Ricard a écrit :



Sans AUCUN soucis, puisque j’utilise GPG.<img data-src=" />







Gnia gnia gnia …



Osef on aura tes métadonnées ! (On se rattrape comme on peut)





Edit : Et j’aurais peut-être du être plus explicite sur le fait que je parlais de mail non chiffré. Sinon le soucis ne concerne plus le mail en lui-même, mais le chiffrement.


votre avatar







Impli a écrit :



Ouai enfin, il a intérêt à se lever de bonne heure pour le casser …







Ricard a écrit :



Ben, si t’arrives à cracker AES 256, tu peux te faire des sous…<img data-src=" />



ce que je voulais dire c’est que un chiffrage asymétrique demande plus (beaucoup plus) de ressource que le symétrique d’où l’utilisation des deux en même temps <img data-src=" /> on pale la clé symétrique en asymétrique et hop


votre avatar

Suffit de communiquer “en clair” mais de coder son message par mots clés, les allemands ont intercepté tous les messages de Radio Londres sans avoir pu (sauf tortures) en comprendre le sens alors que pendant ce temps là, les bombes de la bande de Turing cassait tout les codes et méthodes de chiffrements adverses ^^

votre avatar







127.0.0.1 a écrit :



Utilisons tous la messagerie de Facebook.



<img data-src=" />





Tu rigoles mais c’est pas si con comme idée. Sachant que Facebook utilise XMPP, je pense qu’utiliser un logiciel qui gère XMPP et OTR est déjà plus sécurisé que le mail bon ok c’est de l’instant messaging mais au moins la confidentialité et l’authenticité sont assurées.



Maintenant y a un truc que j’ai du mal à saisir, comment ils ont pu savoir que le mail provenait de Snowden sachant que le gamin il est pas con ([email protected] ; subject : NSA LEAK INFORMATION). Je vois pas en quoi PGP ne suffit pas. Suffit de ne pas mettre [email protected] et aucun sujet et ça passe non ?


votre avatar







salak a écrit :



Maintenant y a un truc que j’ai du mal à saisir, comment ils ont pu savoir que le mail provenait de Snowden sachant que le gamin il est pas con ([email protected] ; subject : NSA LEAK INFORMATION). Je vois pas en quoi PGP ne suffit pas. Suffit de ne pas mettre [email protected] et aucun sujet et ça passe non ?







Par nature, un email contient en clair l’identifiant de l’émetteur et du destinataire. Et c’est cela qui pose problème.



Que cet identifiant ne soit pas le vrai nom de l’individu, ca repousse juste un peu le problème. La NSA finira par trouver des associations individu/adresse-emails possibles et ne mettra pas longtemps a trouver la bonne association.


votre avatar







Ricard a écrit :



<img data-src=" /> Nawak…





Je crois que certains mettent leurs infos dans les headers.

C’est quoi cette histoire d’informations compromettantes dans les headers ? <img data-src=" />


votre avatar







127.0.0.1 a écrit :



Par nature, un email contient en clair l’identifiant de l’émetteur et du destinataire. Et c’est cela qui pose problème.



Que cet identifiant ne soit pas le vrai nom de l’individu, ca repousse juste un peu le problème. La NSA finira par trouver des associations individu/adresse-emails possibles et ne mettra pas longtemps a trouver la bonne association.





Je vois ce que tu veux dire mais à partir du moment où le fournisseur de mail est de confiance (hébergement hors US, no log des IP, etc) et que l’émetteur ne met comme infos perso uniquement l’email et le mdp. En supposant aussi qu’il soit derrière un proxy avec un VPN en plus. Je ne pense pas que les agences nationales savent faire quelque chose pour identifier le possesseur de l’email. Si aucune trace n’est laissée, c’est physiquement impossible on est d’accord ?


votre avatar







salak a écrit :



Je vois ce que tu veux dire mais à partir du moment où le fournisseur de mail est de confiance (hébergement hors US, no log des IP, etc) et que l’émetteur ne met comme infos perso uniquement l’email et le mdp. En supposant aussi qu’il soit derrière un proxy avec un VPN en plus. Je ne pense pas que les agences nationales savent faire quelque chose pour identifier le possesseur de l’email. Si aucune trace n’est laissée, c’est physiquement impossible on est d’accord ?



hummm il suffit que le mail aille vers une boite dont le serveur est sur le sol américain… après c’est un petit jeux de remonter l’arbre qui lie les individus


Pour Phil Zimmermann, créateur de PGP, l’email a fait son temps

  • Une attention néfaste 

  • Une décision brutale 

  • Toujours le problème des métadonnées

  • Le peer-to-peer, encore et toujours lui 

Fermer