Next - GnuPG (GPG) débarque sur Android

Le Guardian Project, qui est déjà à l'initiative de nombreuses petites applications pour Android permettant de chiffrer vos communications, vient d'annoncer l'arrivée de GnuPG (GPG) sur le système d'exploitation mobile de Google. Il s'agit pour le moment d'une version Alpha, utilisable sous la forme d'un terminal, mais elle pourrait permettre une intégration simplifiée à de nombreux outils.

Alors que la surveillance des réseaux se fait de plus en plus présente, les initiatives permettant à chacun de chiffrer ses communications se multiplient. Sur ce terrain, GPG est connu depuis longtemps et exploité sur de nombreux systèmes d'exploitation. Mais le Guardian Project, à qui l'on doit aussi Gibberbot ou Orweb, vient d'annoncer un portage sous Android de sa version 2.1, disponible sur le Play Store.

GnuPG GPG Android

Le code source est distribué via un dépôt GitHub sous licence GPL v3, et il ne s'agit pour l'instant que d'une version Alpha. Le but est ici d'initier les choses afin de permettre à la communauté de participer au projet, mais aussi aux développeurs de commencer à intégrer l'outil au sein de leurs applications. Pour le reste, GPG pour Android peut être exploité sous la forme d'un terminal. Vous pourrez ainsi exploiter l'ensemble des commandes habituellement proposées.

Pour rappel, GPG est une implémentation libre et gratuite d'OpenPGP vous permettant de chiffrer et de signer des données, mais aussi vos communications par un couple de clefs publique et privée. Il est exploité au sein d'outils comme Enigmail, et de nombreuses autres applications, mobiles ou non.

Commentaires (24)

Albirew Abonné

Il y a 11 ans

quel avantage pour le moment par rapport a APG?

5h31k

Une bonne nouvelle, je vais le tester de ce pas " />

Ricard

Je dirais même plus, une excellente nouvelle." />

John Shaft Abonné

Tiens je connaissais pas Enigmail. Ça m’a l’air très sympathique comme outil. M’en vais tester ça ce soir " />

the_Grim_Reaper Abonné

Cool, vu les préco que j’ai fait pour postes bureautique, je pourrai consulter les pièces jointes depuis mon smartphone en déplacement " />

J’attends la version au moins béta pour tester.

Portnawak

Mouais… faut être confiant dans le système Android pour coller sa clé privée sur son phone (moi, j’ai du mal).

mooms

Comme si Gogole n’aura pas accès aux clés….

wget Abonné

Une belle initiative, je vais enfin pouvoir signer mes mails sur mon téléphone lorsque je suis en déplacement, au lieu de devoir attendre d’avoir accès à mon ordinateur pour pouvoir le faire.

Portnawak

mooms

Protégez vos clés privées par une passphrase. ;-) Je ne suis pas fou non plus pour laisser ma clé privée traîner n’importe où sans aucune protection additionnelle.

bzc Abonné

wget a écrit :

Protégez vos clés privées par une passphrase. ;-) Je ne suis pas fou non plus pour laisser ma clé privée traîner n’importe où sans aucune protection additionnelle.

Si ils n’ont pas confiance en Google/Android, déchiffrer la clé en rentrant la passphrase sur le téléphone ne change rien au problème.

bzc a écrit :

Si ils n’ont pas confiance en Google/Android, déchiffrer la clé en rentrant la passphrase sur le téléphone ne change rien au problème.

E même temps, si tu n’as confiance en rien, le mieux ca reste de rien faire. (Les FAI peuvent aussi lire tes mails sur ton ordi !)

5h31k a écrit :

(Les FAI peuvent aussi lire tes mails sur ton ordi !)

Heu … ah non, la clairement pas !

+1 5h31k

bzc a écrit :

Si ils n’ont pas confiance en Google/Android, déchiffrer la clé en rentrant la passphrase sur le téléphone ne change rien au problème.

La seule app qui aura accès éventuellement à la clé dans sa version déchiffrée sera l’application Android gérant le clavier.
Mnt pour savoir si cette dernière n’agit pas comme un keylogger qui retransmet les données acquises en réseau, rien ne t’empèche de checker avec un tcpdump les paquets qui transittent si elles ne sont pas chiffrées ou avec un lsof si les données ne sont pas sauvegardes dans un fichier. " />

Portnawak a écrit :

Heu … ah non, la clairement pas !

S’il utilise la boite mail fournie par son ISP, il y a un risque, oui.

Pour les autres cas, en effet, ça reste de l’https pour ton webmail et du SSL/TLS si tu te connectes en sécurisé en IMAP. Je ne vois pas comment l’ISP pourrait y avoir accès. " />

5h31k a écrit :

E même temps, si tu n’as confiance en rien, le mieux ca reste de rien faire.

En effet, mais moi j’ai pas de soucis confiance dans Android, c’est juste que sa réponse ne répond pas au problème.

(Les FAI peuvent aussi lire tes mails sur ton ordi !)

Ah mon FAI a accès à mon PC ? Tu m’en diras tant …

wget a écrit :

S’il utilise la boite mail fournie par son ISP, il y a un risque, oui.

Il a écrit “sur ton ordi !”, et là, clairement, c’est non.

bzc a écrit :

Ah mon FAI a accès à mon PC ? Tu m’en diras tant …

Portnawak a écrit :

Il a écrit “sur ton ordi !”, et là, clairement, c’est non.

Tu crois vraiment que les flux de son webmail ou logiciel de messagerie ne passe pas par les canaux de ton FAI ? ok, le “sur ton ordi” était mal utilisé. J’aurais du dire “tes mails” tout simplement. Milles excuses.

earendil_fr Abonné

5h31k a écrit :

Tu crois vraiment que les flux de son webmail ou logiciel de messagerie ne passe pas par les canaux de ton FAI ? ok, le “sur ton ordi” était mal utilisé. J’aurais du dire “tes mails” tout simplement. Milles excuses.

S’il utilise une connexion SSL/TLS, il aura bien du mal le FAI.

AnthoniF

PGP <3

5h31k a écrit :

Tu crois vraiment que les flux de son webmail ou logiciel de messagerie ne passe pas par les canaux de ton FAI ? ok, le “sur ton ordi” était mal utilisé. J’aurais du dire “tes mails” tout simplement. Milles excuses.

Tout faux … bon déjà on est sur une news en train de parler de GPG donc si les mails sont chiffrés ça résout le problème.

Ensuite si on parles des mails non chiffrés (du coup HS pour la news mais pourquoi pas), que ça soit le https du webmail ou l’imaps de mon thunderbird ca passe tout par du SSL … donc il faudra m’expliquer par quelle magie mon FAI peut lire mes emails.

Glyphe

bzc a écrit :

Tout faux … bon déjà on est sur une news en train de parler de GPG donc si les mails sont chiffrés ça résout le problème.

Ensuite si on parles des mails non chiffrés (du coup HS pour la news mais pourquoi pas), que ça soit le https du webmail ou l’imaps de mon thunderbird ca passe tout par du SSL … donc il faudra m’expliquer par quelle magie mon FAI peut lire mes emails.

Tu aurais tort de croire que le chiffrement est de bout en bout, il ne se fait qu’entre le client et le server smtp. Donc dans le processus, il y a bien un moment où le mail est non chiffré (dans le cas sans GPG bien sur !) " />

bzc a écrit :

Tout faux … bon déjà on est sur une news en train de parler de GPG donc si les mails sont chiffrés ça résout le problème.

Ensuite si on parles des mails non chiffrés (du coup HS pour la news mais pourquoi pas), que ça soit le https du webmail ou l’imaps de mon thunderbird ca passe tout par du SSL … donc il faudra m’expliquer par quelle magie mon FAI peut lire mes emails.

Je répondais simplement à portnawak en lui disant que si quelqu’un (de la taille de Google ou Orange) voulais lire ses mails, cela ne lui serait pas très compliqué.
Dans tout les cas, suffis d’avoir un petit trojan dans ta box qui envoie tout à ton FAI et tu n’y voie que du feu.

De plus, croire que personne ne peux lire ses mails est une hérésie, si quelqu’un le veux il pourra, qu’importe ton système de protection " />. Faut arrêter la paranoïa à un moment sinon on ne vie plus.

seb2411

5h31k a écrit :

Je répondais simplement à portnawak en lui disant que si quelqu’un (de la taille de Google ou Orange) voulais lire ses mails, cela ne lui serait pas très compliqué.
Dans tout les cas, suffis d’avoir un petit trojan dans ta box qui envoie tout à ton FAI et tu n’y voie que du feu.

De plus, croire que personne ne peux lire ses mails est une hérésie, si quelqu’un le veux il pourra, qu’importe ton système de protection " />. Faut arrêter la paranoïa à un moment sinon on ne vie plus.

Le HTTPS se fait du client au serveur. Ta box entre les deux voit passer un flux SSL qu’elle ne peut pas lire. Les seul qui le peuvent ce sont la machine client et le serveur d’arrivée.

Glyphe a écrit :

Tu aurais tort de croire que le chiffrement est de bout en bout, il ne se fait qu’entre le client et le server smtp. Donc dans le processus, il y a bien un moment où le mail est non chiffré (dans le cas sans GPG bien sur !) " />

En effet le chiffrement ne se fait pas de bout en bout mais le traffic inter-serveurs est le plus souvent chiffré avec SSL/TLS aussi (ça devient rare les serveurs SMTP ne supportant pas le SSL). La seule vrai façon pour mon FAI de voir l’email serait si le destinataire de mon email est lui aussi client de ce FAI et qu’il n’utilise pas de SSL/TLS. A ce moment là j’ai plutôt envie de dire que le FAI lis les mails de mon destinataire que de moi …

5h31k a écrit :

Je répondais simplement à portnawak en lui disant que si quelqu’un (de la taille de Google ou Orange) voulais lire ses mails, cela ne lui serait pas très compliqué.
Dans tout les cas, suffis d’avoir un petit trojan dans ta box qui envoie tout à ton FAI et tu n’y voie que du feu.

cf #22

De plus, croire que personne ne peux lire ses mails est une hérésie, si quelqu’un le veux il pourra, qu’importe ton système de protection " />. Faut arrêter la paranoïa à un moment sinon on ne vie plus.

Il y a plein de façons de lire mes emails : serveur d’email compromis, trojan sur mon pc, vols de mes identifiants IMAP … mais certainement pas en sniffant simplement le réseau comme pourrait le faire mon FAI … c’est tout ce que j’ai dit.

nirgal76

Portnawak a écrit :

Mouais… faut être confiant dans le système Android pour coller sa clé privée sur son phone (moi, j’ai du mal).

Tout à fait, vaut mieux continuer à tout envoyer en clair, c’est plur sûr

GnuPG (GPG) débarque sur Android

Le chiffrement pour tous

Tiens, en parlant de ça :

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Tout plus mieux qu'avant

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

CyberCom'

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

Des mini datacenters… Ouais une baie quoi ?

Sommaire de l'article

Introduction

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

Plainte contre l’alternative paiement ou publicité comportementale de Meta

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

La Commission européenne et Google proposent deux bases de données de fact-checks

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Le poing Dev – round 6

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Usages et frugalité : quelle place pour les IA dans la société de demain ?

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Semi-conducteurs : un important accord entre l’Europe et l’Inde

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

651e édition des LIDD : Liens Intelligents Du Dimanche

#Flock, le grand remplacement par les intelligences artificielles

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Encapsulation de clés et chiffrement d’enveloppes

Empreintes digitales : les capteurs Windows Hello loin d’être exemplaires

#LeBrief : succès du test d’Ariane 6, réparer plutôt que remplacer, Broadcom finalise le rachat de VMware

Hébergeurs, éditeurs, espaces de conversation ? La difficile régulation des réseaux sociaux

Silicium : un matériau indispensable et omniprésent, mais critique

Panneaux solaires en autoconsommation : on décortique le kit Play de Sunology

Un think tank propose d’autoriser les opérations de « hack back »

#LeBrief : Ariane 6 sur le banc de test, arrestation algorithmique, entraînement d’IA par des mineurs

Chrome : Google corrige plusieurs failles sévères, dont une déjà exploitée

Des cadres supérieurs invités à n’utiliser que des téléphones jetables à Hong Kong

La Dreamcast de Sega fête ses 25 ans

Démantèlement d’un groupe ukrainien de rançongiciels

Commentaires (24)