Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

GnuPG (GPG) débarque sur Android

Le chiffrement pour tous

GnuPG (GPG) débarque sur Android

Le 10 mai 2013 à 08h30

Le Guardian Project, qui est déjà à l'initiative de nombreuses petites applications pour Android permettant de chiffrer vos communications, vient d'annoncer l'arrivée de GnuPG (GPG) sur le système d'exploitation mobile de Google. Il s'agit pour le moment d'une version Alpha, utilisable sous la forme d'un terminal, mais elle pourrait permettre une intégration simplifiée à de nombreux outils.

Alors que la surveillance des réseaux se fait de plus en plus présente, les initiatives permettant à chacun de chiffrer ses communications se multiplient. Sur ce terrain, GPG est connu depuis longtemps et exploité sur de nombreux systèmes d'exploitation. Mais le Guardian Project, à qui l'on doit aussi Gibberbot ou Orweb, vient d'annoncer un portage sous Android de sa version 2.1, disponible sur le Play Store.

 

GnuPG GPG Android

 

Le code source est distribué via un dépôt GitHub sous licence GPL v3, et il ne s'agit pour l'instant que d'une version Alpha. Le but est ici d'initier les choses afin de permettre à la communauté de participer au projet, mais aussi aux développeurs de commencer à intégrer l'outil au sein de leurs applications. Pour le reste, GPG pour Android peut être exploité sous la forme d'un terminal. Vous pourrez ainsi exploiter l'ensemble des commandes habituellement proposées. 

 

Pour rappel, GPG est une implémentation libre et gratuite d'OpenPGP vous permettant de chiffrer et de signer des données, mais aussi vos communications par un couple de clefs publique et privée. Il est exploité au sein d'outils comme Enigmail, et de nombreuses autres applications, mobiles ou non.

Commentaires (24)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Une belle initiative, je vais enfin pouvoir signer mes mails sur mon téléphone lorsque je suis en déplacement, au lieu de devoir attendre d’avoir accès à mon ordinateur pour pouvoir le faire.



Portnawak





mooms



Protégez vos clés privées par une passphrase. ;-) Je ne suis pas fou non plus pour laisser ma clé privée traîner n’importe où sans aucune protection additionnelle.

votre avatar







wget a écrit :



Protégez vos clés privées par une passphrase. ;-) Je ne suis pas fou non plus pour laisser ma clé privée traîner n’importe où sans aucune protection additionnelle.







Si ils n’ont pas confiance en Google/Android, déchiffrer la clé en rentrant la passphrase sur le téléphone ne change rien au problème.


votre avatar







bzc a écrit :



Si ils n’ont pas confiance en Google/Android, déchiffrer la clé en rentrant la passphrase sur le téléphone ne change rien au problème.





E même temps, si tu n’as confiance en rien, le mieux ca reste de rien faire. (Les FAI peuvent aussi lire tes mails sur ton ordi !)


votre avatar







5h31k a écrit :



(Les FAI peuvent aussi lire tes mails sur ton ordi !)







Heu … ah non, la clairement pas !


votre avatar

+1 5h31k









bzc a écrit :



Si ils n’ont pas confiance en Google/Android, déchiffrer la clé en rentrant la passphrase sur le téléphone ne change rien au problème.





La seule app qui aura accès éventuellement à la clé dans sa version déchiffrée sera l’application Android gérant le clavier.

Mnt pour savoir si cette dernière n’agit pas comme un keylogger qui retransmet les données acquises en réseau, rien ne t’empèche de checker avec un tcpdump les paquets qui transittent si elles ne sont pas chiffrées ou avec un lsof si les données ne sont pas sauvegardes dans un fichier. <img data-src=" />


votre avatar







Portnawak a écrit :



Heu … ah non, la clairement pas !







S’il utilise la boite mail fournie par son ISP, il y a un risque, oui.



Pour les autres cas, en effet, ça reste de l’https pour ton webmail et du SSL/TLS si tu te connectes en sécurisé en IMAP. Je ne vois pas comment l’ISP pourrait y avoir accès. <img data-src=" />


votre avatar







5h31k a écrit :



E même temps, si tu n’as confiance en rien, le mieux ca reste de rien faire.





En effet, mais moi j’ai pas de soucis confiance dans Android, c’est juste que sa réponse ne répond pas au problème.





(Les FAI peuvent aussi lire tes mails sur ton ordi !)



Ah mon FAI a accès à mon PC ? Tu m’en diras tant …


votre avatar







wget a écrit :



S’il utilise la boite mail fournie par son ISP, il y a un risque, oui.







Il a écrit “sur ton ordi !”, et là, clairement, c’est non.


votre avatar







bzc a écrit :



Ah mon FAI a accès à mon PC ? Tu m’en diras tant …











Portnawak a écrit :



Il a écrit “sur ton ordi !”, et là, clairement, c’est non.







Tu crois vraiment que les flux de son webmail ou logiciel de messagerie ne passe pas par les canaux de ton FAI ? ok, le “sur ton ordi” était mal utilisé. J’aurais du dire “tes mails” tout simplement. Milles excuses.


votre avatar







5h31k a écrit :



Tu crois vraiment que les flux de son webmail ou logiciel de messagerie ne passe pas par les canaux de ton FAI ? ok, le “sur ton ordi” était mal utilisé. J’aurais du dire “tes mails” tout simplement. Milles excuses.







S’il utilise une connexion SSL/TLS, il aura bien du mal le FAI.


votre avatar

PGP &lt;3

votre avatar







5h31k a écrit :



Tu crois vraiment que les flux de son webmail ou logiciel de messagerie ne passe pas par les canaux de ton FAI ? ok, le “sur ton ordi” était mal utilisé. J’aurais du dire “tes mails” tout simplement. Milles excuses.







Tout faux … bon déjà on est sur une news en train de parler de GPG donc si les mails sont chiffrés ça résout le problème.



Ensuite si on parles des mails non chiffrés (du coup HS pour la news mais pourquoi pas), que ça soit le https du webmail ou l’imaps de mon thunderbird ca passe tout par du SSL … donc il faudra m’expliquer par quelle magie mon FAI peut lire mes emails.


votre avatar







bzc a écrit :



Tout faux … bon déjà on est sur une news en train de parler de GPG donc si les mails sont chiffrés ça résout le problème.



Ensuite si on parles des mails non chiffrés (du coup HS pour la news mais pourquoi pas), que ça soit le https du webmail ou l’imaps de mon thunderbird ca passe tout par du SSL … donc il faudra m’expliquer par quelle magie mon FAI peut lire mes emails.









Tu aurais tort de croire que le chiffrement est de bout en bout, il ne se fait qu’entre le client et le server smtp. Donc dans le processus, il y a bien un moment où le mail est non chiffré (dans le cas sans GPG bien sur !) <img data-src=" />


votre avatar







bzc a écrit :



Tout faux … bon déjà on est sur une news en train de parler de GPG donc si les mails sont chiffrés ça résout le problème.



Ensuite si on parles des mails non chiffrés (du coup HS pour la news mais pourquoi pas), que ça soit le https du webmail ou l’imaps de mon thunderbird ca passe tout par du SSL … donc il faudra m’expliquer par quelle magie mon FAI peut lire mes emails.







Je répondais simplement à portnawak en lui disant que si quelqu’un (de la taille de Google ou Orange) voulais lire ses mails, cela ne lui serait pas très compliqué.

Dans tout les cas, suffis d’avoir un petit trojan dans ta box qui envoie tout à ton FAI et tu n’y voie que du feu.



De plus, croire que personne ne peux lire ses mails est une hérésie, si quelqu’un le veux il pourra, qu’importe ton système de protection <img data-src=" />. Faut arrêter la paranoïa à un moment sinon on ne vie plus.


votre avatar







5h31k a écrit :



Je répondais simplement à portnawak en lui disant que si quelqu’un (de la taille de Google ou Orange) voulais lire ses mails, cela ne lui serait pas très compliqué.

Dans tout les cas, suffis d’avoir un petit trojan dans ta box qui envoie tout à ton FAI et tu n’y voie que du feu.



De plus, croire que personne ne peux lire ses mails est une hérésie, si quelqu’un le veux il pourra, qu’importe ton système de protection <img data-src=" />. Faut arrêter la paranoïa à un moment sinon on ne vie plus.





Le HTTPS se fait du client au serveur. Ta box entre les deux voit passer un flux SSL qu’elle ne peut pas lire. Les seul qui le peuvent ce sont la machine client et le serveur d’arrivée.


votre avatar







Glyphe a écrit :



Tu aurais tort de croire que le chiffrement est de bout en bout, il ne se fait qu’entre le client et le server smtp. Donc dans le processus, il y a bien un moment où le mail est non chiffré (dans le cas sans GPG bien sur !) <img data-src=" />







En effet le chiffrement ne se fait pas de bout en bout mais le traffic inter-serveurs est le plus souvent chiffré avec SSL/TLS aussi (ça devient rare les serveurs SMTP ne supportant pas le SSL). La seule vrai façon pour mon FAI de voir l’email serait si le destinataire de mon email est lui aussi client de ce FAI et qu’il n’utilise pas de SSL/TLS. A ce moment là j’ai plutôt envie de dire que le FAI lis les mails de mon destinataire que de moi …







5h31k a écrit :



Je répondais simplement à portnawak en lui disant que si quelqu’un (de la taille de Google ou Orange) voulais lire ses mails, cela ne lui serait pas très compliqué.

Dans tout les cas, suffis d’avoir un petit trojan dans ta box qui envoie tout à ton FAI et tu n’y voie que du feu.







cf #22





De plus, croire que personne ne peux lire ses mails est une hérésie, si quelqu’un le veux il pourra, qu’importe ton système de protection <img data-src=" />. Faut arrêter la paranoïa à un moment sinon on ne vie plus.



Il y a plein de façons de lire mes emails : serveur d’email compromis, trojan sur mon pc, vols de mes identifiants IMAP … mais certainement pas en sniffant simplement le réseau comme pourrait le faire mon FAI … c’est tout ce que j’ai dit.


votre avatar

quel avantage pour le moment par rapport a APG?

votre avatar

Une bonne nouvelle, je vais le tester de ce pas <img data-src=" />

votre avatar

Je dirais même plus, une excellente nouvelle.<img data-src=" />

votre avatar

Tiens je connaissais pas Enigmail. Ça m’a l’air très sympathique comme outil. M’en vais tester ça ce soir <img data-src=" />

votre avatar

Cool, vu les préco que j’ai fait pour postes bureautique, je pourrai consulter les pièces jointes depuis mon smartphone en déplacement <img data-src=" />



J’attends la version au moins béta pour tester.

votre avatar

Mouais… faut être confiant dans le système Android pour coller sa clé privée sur son phone (moi, j’ai du mal).

votre avatar

Comme si Gogole n’aura pas accès aux clés….

votre avatar







Portnawak a écrit :



Mouais… faut être confiant dans le système Android pour coller sa clé privée sur son phone (moi, j’ai du mal).





Tout à fait, vaut mieux continuer à tout envoyer en clair, c’est plur sûr


GnuPG (GPG) débarque sur Android

Fermer