GnuPG (GPG) débarque sur Android

GnuPG (GPG) débarque sur Android

Le chiffrement pour tous

Avatar de l'auteur
David Legrand

Publié dans

Logiciel

10/05/2013
24

GnuPG (GPG) débarque sur Android

Le Guardian Project, qui est déjà à l'initiative de nombreuses petites applications pour Android permettant de chiffrer vos communications, vient d'annoncer l'arrivée de GnuPG (GPG) sur le système d'exploitation mobile de Google. Il s'agit pour le moment d'une version Alpha, utilisable sous la forme d'un terminal, mais elle pourrait permettre une intégration simplifiée à de nombreux outils.

Alors que la surveillance des réseaux se fait de plus en plus présente, les initiatives permettant à chacun de chiffrer ses communications se multiplient. Sur ce terrain, GPG est connu depuis longtemps et exploité sur de nombreux systèmes d'exploitation. Mais le Guardian Project, à qui l'on doit aussi Gibberbot ou Orweb, vient d'annoncer un portage sous Android de sa version 2.1, disponible sur le Play Store.

 

GnuPG GPG Android

 

Le code source est distribué via un dépôt GitHub sous licence GPL v3, et il ne s'agit pour l'instant que d'une version Alpha. Le but est ici d'initier les choses afin de permettre à la communauté de participer au projet, mais aussi aux développeurs de commencer à intégrer l'outil au sein de leurs applications. Pour le reste, GPG pour Android peut être exploité sous la forme d'un terminal. Vous pourrez ainsi exploiter l'ensemble des commandes habituellement proposées. 

 

Pour rappel, GPG est une implémentation libre et gratuite d'OpenPGP vous permettant de chiffrer et de signer des données, mais aussi vos communications par un couple de clefs publique et privée. Il est exploité au sein d'outils comme Enigmail, et de nombreuses autres applications, mobiles ou non.

24

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (24)


Albirew Abonné
Le 10/05/2013 à 08h 56

quel avantage pour le moment par rapport a APG?


Le 10/05/2013 à 09h 07

Une bonne nouvelle, je vais le tester de ce pas <img data-src=" />


Le 10/05/2013 à 09h 27

Je dirais même plus, une excellente nouvelle.<img data-src=" />


John Shaft Abonné
Le 10/05/2013 à 09h 34

Tiens je connaissais pas Enigmail. Ça m’a l’air très sympathique comme outil. M’en vais tester ça ce soir <img data-src=" />


Le 10/05/2013 à 09h 37

Cool, vu les préco que j’ai fait pour postes bureautique, je pourrai consulter les pièces jointes depuis mon smartphone en déplacement <img data-src=" />



J’attends la version au moins béta pour tester.


Le 10/05/2013 à 09h 44

Mouais… faut être confiant dans le système Android pour coller sa clé privée sur son phone (moi, j’ai du mal).


Le 10/05/2013 à 10h 17

Comme si Gogole n’aura pas accès aux clés….


wget Abonné
Le 10/05/2013 à 12h 33

Une belle initiative, je vais enfin pouvoir signer mes mails sur mon téléphone lorsque je suis en déplacement, au lieu de devoir attendre d’avoir accès à mon ordinateur pour pouvoir le faire.



Portnawak





mooms



Protégez vos clés privées par une passphrase. ;-) Je ne suis pas fou non plus pour laisser ma clé privée traîner n’importe où sans aucune protection additionnelle.


bzc Abonné
Le 10/05/2013 à 13h 31







wget a écrit :



Protégez vos clés privées par une passphrase. ;-) Je ne suis pas fou non plus pour laisser ma clé privée traîner n’importe où sans aucune protection additionnelle.







Si ils n’ont pas confiance en Google/Android, déchiffrer la clé en rentrant la passphrase sur le téléphone ne change rien au problème.



Le 10/05/2013 à 13h 59







bzc a écrit :



Si ils n’ont pas confiance en Google/Android, déchiffrer la clé en rentrant la passphrase sur le téléphone ne change rien au problème.





E même temps, si tu n’as confiance en rien, le mieux ca reste de rien faire. (Les FAI peuvent aussi lire tes mails sur ton ordi !)



Le 10/05/2013 à 14h 32







5h31k a écrit :



(Les FAI peuvent aussi lire tes mails sur ton ordi !)







Heu … ah non, la clairement pas !



wget Abonné
Le 10/05/2013 à 15h 53

+1 5h31k









bzc a écrit :



Si ils n’ont pas confiance en Google/Android, déchiffrer la clé en rentrant la passphrase sur le téléphone ne change rien au problème.





La seule app qui aura accès éventuellement à la clé dans sa version déchiffrée sera l’application Android gérant le clavier.

Mnt pour savoir si cette dernière n’agit pas comme un keylogger qui retransmet les données acquises en réseau, rien ne t’empèche de checker avec un tcpdump les paquets qui transittent si elles ne sont pas chiffrées ou avec un lsof si les données ne sont pas sauvegardes dans un fichier. <img data-src=" />



wget Abonné
Le 10/05/2013 à 15h 55







Portnawak a écrit :



Heu … ah non, la clairement pas !







S’il utilise la boite mail fournie par son ISP, il y a un risque, oui.



Pour les autres cas, en effet, ça reste de l’https pour ton webmail et du SSL/TLS si tu te connectes en sécurisé en IMAP. Je ne vois pas comment l’ISP pourrait y avoir accès. <img data-src=" />



bzc Abonné
Le 10/05/2013 à 16h 38







5h31k a écrit :



E même temps, si tu n’as confiance en rien, le mieux ca reste de rien faire.





En effet, mais moi j’ai pas de soucis confiance dans Android, c’est juste que sa réponse ne répond pas au problème.





(Les FAI peuvent aussi lire tes mails sur ton ordi !)



Ah mon FAI a accès à mon PC ? Tu m’en diras tant …



Le 10/05/2013 à 18h 44







wget a écrit :



S’il utilise la boite mail fournie par son ISP, il y a un risque, oui.







Il a écrit “sur ton ordi !”, et là, clairement, c’est non.



Le 11/05/2013 à 17h 20







bzc a écrit :



Ah mon FAI a accès à mon PC ? Tu m’en diras tant …











Portnawak a écrit :



Il a écrit “sur ton ordi !”, et là, clairement, c’est non.







Tu crois vraiment que les flux de son webmail ou logiciel de messagerie ne passe pas par les canaux de ton FAI ? ok, le “sur ton ordi” était mal utilisé. J’aurais du dire “tes mails” tout simplement. Milles excuses.



Le 11/05/2013 à 18h 48







5h31k a écrit :



Tu crois vraiment que les flux de son webmail ou logiciel de messagerie ne passe pas par les canaux de ton FAI ? ok, le “sur ton ordi” était mal utilisé. J’aurais du dire “tes mails” tout simplement. Milles excuses.







S’il utilise une connexion SSL/TLS, il aura bien du mal le FAI.



Le 11/05/2013 à 20h 08

PGP &lt;3


bzc Abonné
Le 12/05/2013 à 09h 45







5h31k a écrit :



Tu crois vraiment que les flux de son webmail ou logiciel de messagerie ne passe pas par les canaux de ton FAI ? ok, le “sur ton ordi” était mal utilisé. J’aurais du dire “tes mails” tout simplement. Milles excuses.







Tout faux … bon déjà on est sur une news en train de parler de GPG donc si les mails sont chiffrés ça résout le problème.



Ensuite si on parles des mails non chiffrés (du coup HS pour la news mais pourquoi pas), que ça soit le https du webmail ou l’imaps de mon thunderbird ca passe tout par du SSL … donc il faudra m’expliquer par quelle magie mon FAI peut lire mes emails.



Le 12/05/2013 à 13h 54







bzc a écrit :



Tout faux … bon déjà on est sur une news en train de parler de GPG donc si les mails sont chiffrés ça résout le problème.



Ensuite si on parles des mails non chiffrés (du coup HS pour la news mais pourquoi pas), que ça soit le https du webmail ou l’imaps de mon thunderbird ca passe tout par du SSL … donc il faudra m’expliquer par quelle magie mon FAI peut lire mes emails.









Tu aurais tort de croire que le chiffrement est de bout en bout, il ne se fait qu’entre le client et le server smtp. Donc dans le processus, il y a bien un moment où le mail est non chiffré (dans le cas sans GPG bien sur !) <img data-src=" />



Le 12/05/2013 à 14h 06







bzc a écrit :



Tout faux … bon déjà on est sur une news en train de parler de GPG donc si les mails sont chiffrés ça résout le problème.



Ensuite si on parles des mails non chiffrés (du coup HS pour la news mais pourquoi pas), que ça soit le https du webmail ou l’imaps de mon thunderbird ca passe tout par du SSL … donc il faudra m’expliquer par quelle magie mon FAI peut lire mes emails.







Je répondais simplement à portnawak en lui disant que si quelqu’un (de la taille de Google ou Orange) voulais lire ses mails, cela ne lui serait pas très compliqué.

Dans tout les cas, suffis d’avoir un petit trojan dans ta box qui envoie tout à ton FAI et tu n’y voie que du feu.



De plus, croire que personne ne peux lire ses mails est une hérésie, si quelqu’un le veux il pourra, qu’importe ton système de protection <img data-src=" />. Faut arrêter la paranoïa à un moment sinon on ne vie plus.



Le 12/05/2013 à 14h 14







5h31k a écrit :



Je répondais simplement à portnawak en lui disant que si quelqu’un (de la taille de Google ou Orange) voulais lire ses mails, cela ne lui serait pas très compliqué.

Dans tout les cas, suffis d’avoir un petit trojan dans ta box qui envoie tout à ton FAI et tu n’y voie que du feu.



De plus, croire que personne ne peux lire ses mails est une hérésie, si quelqu’un le veux il pourra, qu’importe ton système de protection <img data-src=" />. Faut arrêter la paranoïa à un moment sinon on ne vie plus.





Le HTTPS se fait du client au serveur. Ta box entre les deux voit passer un flux SSL qu’elle ne peut pas lire. Les seul qui le peuvent ce sont la machine client et le serveur d’arrivée.



bzc Abonné
Le 12/05/2013 à 16h 26







Glyphe a écrit :



Tu aurais tort de croire que le chiffrement est de bout en bout, il ne se fait qu’entre le client et le server smtp. Donc dans le processus, il y a bien un moment où le mail est non chiffré (dans le cas sans GPG bien sur !) <img data-src=" />







En effet le chiffrement ne se fait pas de bout en bout mais le traffic inter-serveurs est le plus souvent chiffré avec SSL/TLS aussi (ça devient rare les serveurs SMTP ne supportant pas le SSL). La seule vrai façon pour mon FAI de voir l’email serait si le destinataire de mon email est lui aussi client de ce FAI et qu’il n’utilise pas de SSL/TLS. A ce moment là j’ai plutôt envie de dire que le FAI lis les mails de mon destinataire que de moi …







5h31k a écrit :



Je répondais simplement à portnawak en lui disant que si quelqu’un (de la taille de Google ou Orange) voulais lire ses mails, cela ne lui serait pas très compliqué.

Dans tout les cas, suffis d’avoir un petit trojan dans ta box qui envoie tout à ton FAI et tu n’y voie que du feu.







cf #22





De plus, croire que personne ne peux lire ses mails est une hérésie, si quelqu’un le veux il pourra, qu’importe ton système de protection <img data-src=" />. Faut arrêter la paranoïa à un moment sinon on ne vie plus.



Il y a plein de façons de lire mes emails : serveur d’email compromis, trojan sur mon pc, vols de mes identifiants IMAP … mais certainement pas en sniffant simplement le réseau comme pourrait le faire mon FAI … c’est tout ce que j’ai dit.



Le 13/05/2013 à 09h 25







Portnawak a écrit :



Mouais… faut être confiant dans le système Android pour coller sa clé privée sur son phone (moi, j’ai du mal).





Tout à fait, vaut mieux continuer à tout envoyer en clair, c’est plur sûr