Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Affaire Snowden : la DarkMail Alliance veut sécuriser les emails

Le monde de la sécurité après Snowden

Affaire Snowden : la DarkMail Alliance veut sécuriser les emails

Le 04 novembre 2013 à 10h15

Les échos Prism ont résonné dans toutes les directions et ont eu des répercussions pour le moins surprenantes. Deux services commercialisant des solutions de courriers électroniques sécurisés, Lavabit et Silent Circle, ont ainsi fait les frais de la traque au lanceur d’alerte Edward Snowden. Mais les fondateurs de ces deux entreprises viennent d’annoncer une union autour du thème de la sécurité des courriers : la DarkMail Alliance.

email

Crédits : Esparta Palma, licence Creative Commons

Deux entreprises affectées par le parcours d'Edward Snowden

En plein mois d’août, lorsque le lanceur d’alerte Edward Snowden envoie un email pour prévenir la presse qu’il donnera une conférence, il n’imagine sans doute pas les répercussions. Il utilise un service de courrier sécurisé, Lavabit, qui reçoit peu à peu des demandes insistantes de la NSA pour fournir un grand nombre de données. Comme nous l’avions relaté, le fondateur Ladar Levison préfère couper l’accès à tous ses serveurs. Peu de temps après, la société Silent Circle stoppait brusquement un service équivalent, avant que l’agence de sécurité n’ait eu le temps d’entrer en piste.

Remplacer SMTP par XMPP 

Désormais, Lavabit et Silent Circle s’associent pour former la DarkMail Alliance. Cette organisation à but non-lucratif aura pour objectif de concentrer et de maintenir l’ensemble du code open-source des technologies qui alimenteront cette nouvelle plateforme de messagerie électronique. Et si l’on parle de messagerie, c’est que les développeurs ont pour ambition de se débarrasser de l’ancien protocole SMTP pour l’expédition des emails en le remplaçant par XMPP.

 

L’Alliance cherche donc à remplacer un protocole de transport par un autre. Et si XMPP vous est familier, c’est qu’il est particulièrement présent dans le monde de la messagerie instantanée. On le trouve ainsi à la racine du chat de Google et de nombreux clients de discussion le prennent en charge. Et comme l’explique Jon Callas, le directeur technique de Silent Circle, le fait de se débarrasser de SMTP a particulièrement du sens car le protocole « a été conçu il y a 40 ans, quand tout le monde sur Internet se connaissait et était ami ». En clair, SMTP n’est pas prévu pour prendre en compte les conditions beaucoup plus drastiques de sécurité dans le contexte moderne.

Une extension pour les fournisseurs de solutions email 

Le but actuellement est de proposer la technologie DarkMail sous la forme d’une extension, ou d’une option, pour les fournisseurs de solutions email. Techniquement, Google pourrait tout à fait proposer DarkMail en option quand le module sera disponible, ce qui devrait être le cas vers la mi-2014. L’utilisateur pourrait alors choisir DarkMail comme moyen d’expédition, débloquant ainsi de très nombreux réglages touchant à la sécurité.

 

Pratiquement aucune information technique n’a été donnée pour renseigner sur le fonctionnement de DarkMail. Tout juste sait-on que le « Silent Circle Instant Messaging Protocol » servira de soubassement au protocole DarkMail, sous la forme d’une version alpha. En outre, comme déjà précisé, l’ensemble de la technologie sera open source et le code sera donc publié. On ne connait pas encore cependant le type de licence qui sera utilisé et quelles seront donc les possibilités en termes de modification.

Un financement participatif à venir 

Cela n’empêche pas l’Alliance d’avoir de grandes ambitions pour DarkMail, notamment en termes de simplicité d’utilisation. Ladar Levison, fondateur de Lavabit, indique à Ars Technica que la solution devra être « assez simple pour que mamie puisse l’utiliser. Notre espoir est qu’un jour, dans un futur proche, toute personne utilisant les emails aujourd’hui puisse utiliser un client DarkMail ».

 

Comme tout organisme à but non-lucratif, le projet a cependant besoin d’argent pour être développé. Voilà pourquoi une campagne de financement participatif sera lancée sur KickStarter, probablement dès demain. La somme demandée n’a pas été annoncée, mais l’Alliance a précisé que les trente-deux premières sociétés qui donneront au moins 10 000 dollars auront accès à une préversion du module qu’ils pourront ainsi intégrer dans leurs systèmes deux mois avant les autres.

 

L’ensemble du projet est une réaction inhérente à l’actualité et aux parcours des deux entreprises impliquées. Les ondes de choc provoquées par les révélations d’Edward Snowden sont encore loin d’être terminées, mais le paysage de la sécurité en ressortira profondément transformé.

Commentaires (55)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



Remplacer SMTP par XMPP





Pas bête du tout sur le papier <img data-src=" />



Çe genre de solution doit aussi pouvoir aider les gens voulant héberger eux même un serveur mail mais qui sont chez un FAI qui bloque le port 25.



A suivre

votre avatar

Google qui implémente Darkmail pour Gmail <img data-src=" />

Autant prendre une adresse mail [email protected]



Sinon l’idée est bonne mais la NSA a certainement déjà fourré son nez dans le protocole XMPP…



Sinon j’aimerai bien que l’on révolutionne le mail (rien que pour le taf, j’aimerai ne plus en recevoir autant comme autant). j’ai pas d’idée pour ça mais punaise, ça me libérerai et je pense que je suis pas le seul …

votre avatar

Une chose que ne dit pas l’article : en quoi le protocole utilisé par DarkMail serait plus sécurisé et moins “écouté” que SMTP ?

votre avatar

Je pense que ce projet sera l’objet de ma première donation via KickStarter

votre avatar



L’ensemble du projet est une réaction inhérente à l’actualité et aux parcours des deux entreprises impliquées. Les ondes de choc provoquées par les révélations d’Edward Snowden sont encore loin d’être terminées, mais le paysage de la sécurité en ressortira profondément transformé.





déjà que c’est pas facile de faire le tri actuellement entre toutes les offres/solutions/… sécurisées, et avec les révélations NSA/autres ça va devenir de plus en plus difficile et je vois bien arriver de pseudo solution à prix d’or

votre avatar







Commentaire_supprime a écrit :



+1. Les tiers, même de confiance, cela reste des tiers.





du coup, il en faut trois à chaque fois ?


votre avatar







WereWindle a écrit :



du coup, il en faut trois à chaque fois ?





Un demi pour moi !



<img data-src=" />


votre avatar

Comme dit plus haut, le chiffrage du contenu et crucial et il y a pleins de solutions disponibles qui seraient faciles à mettre en place.



La grosse difficulté réside dans le fait de chiffrer également le nom de l’expéditeur et du destinataire. Et là, il n’y a pas vraiment de solutions simples ou qui fasse consensus.

votre avatar







polytan a écrit :



Comme dit plus haut, le chiffrage du contenu et crucial et il y a pleins de solutions disponibles qui seraient faciles à mettre en place.



La grosse difficulté réside dans le fait de chiffrer également le nom de l’expéditeur et du destinataire. Et là, il n’y a pas vraiment de solutions simples ou qui fasse consensus.





Ça dépend, il y a bien des réseaux comme TOR, I2P et d’autres qui y arrivent (enfin ils le masquent juste, mais c’est déjà ça). Je pense d’ailleurs que si on veut vraiment protéger les méta-données comme l’expéditeur et le destinataire, entre la possibilité d’écouter qui se connecte à qui sur le réseau et l’éventualité que le serveur soit compromis, les réseaux anonymes décentralisés semblent pour moi une condition sine qua non à terme.


votre avatar







Oungawak a écrit :



Ça dépend, il y a bien des réseaux comme TOR, I2P et d’autres qui y arrivent (enfin ils le masquent juste, mais c’est déjà ça). Je pense d’ailleurs que si on veut vraiment protéger les méta-données comme l’expéditeur et le destinataire, entre la possibilité d’écouter qui se connecte à qui sur le réseau et l’éventualité que le serveur soit compromis, les réseaux anonymes décentralisés semblent pour moi une condition sine qua non à terme.







Tu peux faire du SMTP via Tor, ça ne changera rien au fait qu’après le nœud de sortie, les metadonnées seront de nouveau en clair. Et penser qu’on puisse faire héberger tous les servers mails en hidden services est illusoire.



Je pense que l’approche ici de remplacer SMTP par un protocole bien plus récent et qui peut permettre le chiffrement de bout en bout est une solution plus viable.


votre avatar

Je suis d’accord avec le fait que seule une solution décentralisée pourra répondre au besoin.



D’ailleurs on le voit clairement dans les infos de Snowden : les données sont chiffrées entre l’utilisateur et le serveur, mais la NSA se connecte en amont, là où il n’y a pas de chiffrage.

votre avatar







Ricard a écrit :



Comodo… Comodo… Laisse-moi réfléchir.

C’est pas cette boite qui s’est fait pirater tous ses certificats il y a quelques temps ?<img data-src=" />





La clé privé de ton certificat est générée sur ton PC.


votre avatar







trash54 a écrit :



déjà que c’est pas facile de faire le tri actuellement entre toutes les offres/solutions/… sécurisées, et avec les révélations NSA/autres ça va devenir de plus en plus difficile et je vois bien arriver de pseudo solution à prix d’or







au contraire c’est très très facile



suffit de vérifier si le prestataire offre le chiffrement et où est sauvegardé la clé.. peu offre ce service



votre avatar







John Shaft a écrit :



Vu que c’est Open Source, ce sera surtout l’occasion de déployer un serveur chez soi au lieu de passer par des tiers.









Je crains fort que tu ne passes toujours par des tiers au moins au niveau du réseau. La NSA (et les autres hein) pourront toujours taper autre part… je ne vois pas comment il pourrait en être autrement.





Le cryptage a de beaux jours devant lui.


votre avatar







coket a écrit :



Je crains fort que tu ne passes toujours par des tiers au moins au niveau du réseau. La NSA (et les autres hein) pourront toujours taper autre part… je ne vois pas comment il pourrait en être autrement.





Le cryptage a de beaux jours devant lui.







Ah bin ça, à moins de poser ses propres tuyaux oui c’est sûr. <img data-src=" />



Néanmoins, avoir le serveur chez soi permet de contrôler ce qui entre et sort et de s’assurer du chiffrage des communications.


votre avatar

Mes yeux saignent : par pitié utilisez le mot chiffrement à la place de chiffrage et cryptage !!! <img data-src=" />

votre avatar







collinm a écrit :



au contraire c’est très très facile



suffit de vérifier si le prestataire offre le chiffrement et où est sauvegardé la clé.. peu offre ce service







très très facile actuellement oui car peu de prestataires actuellement donc sélection rapide

mais si tu regardes 1 y a de plus en plus de prestataires (valable/bon/peumieuxfaire/douteux/..) 2 plus ça va aller plus tu en auras et bien sur la proportion de valable/bon va se réduire par rapport aux profiteurs douteux





cf l’effet VPN pendant discussion final de la lois Hadopi


votre avatar







Glyphe a écrit :



Mes yeux saignent : par pitié utilisez le mot chiffrement à la place de chiffrage et cryptage !!! <img data-src=" />







Tout à fait !



Chiffrage = terme de comptabilité indiquant l’action de calculer combien quelque chose devrait coûter. Effectuer un chiffrage d’un projet immobilier par exemple.

Cryptage = mettre en une crypte ? <img data-src=" />


votre avatar







John Shaft a écrit :



Ah bin ça, à moins de poser ses propres tuyaux oui c’est sûr. <img data-src=" />



Néanmoins, avoir le serveur chez soi permet de contrôler ce qui entre et sort et de s’assurer du chiffrage des communications.







Tu peux avoir ton serveur de mail chez toi mais si tes destinateurs sont tous chez gmail cela ne sert pas à grand chose.


votre avatar







millman42 a écrit :



Tu peux avoir ton serveur de mail chez toi mais si tes destinateurs sont tous chez gmail cela ne sert pas à grand chose.







Bin si :



1/ même si ça part chez Google & Co, je préfère avoir ma BàL chez moi



2/ étant du genre partageur je peux filer une adresse sur mon serveur à mes amis et leur dire d’arrêter d’utiliser les cochonneries des autres. <img data-src=" />



Bon pour l’instant, je bute sur le serveur IMAP qui lors de mes derniers tests était capricieux, mais je l’aurai un jour… je l’aurai ! <img data-src=" />


votre avatar







JCLB a écrit :



La clé privé de ton certificat est générée sur ton PC.





Autant ne pas utiliser Comodo alors, tu transmets ton certificat auto-signé d’une façon où une autre à tes correspondants ça sera plus sûr que d’utiliser un tiers “de confiance” qui a montré qu’on ne pouvait lui faire confiance.


votre avatar







John Shaft a écrit :



Bin si :



1/ même si ça part chez Google & Co, je préfère avoir ma BàL chez moi



2/ étant du genre partageur je peux filer une adresse sur mon serveur à mes amis et leur dire d’arrêter d’utiliser les cochonneries des autres. <img data-src=" />



Bon pour l’instant, je bute sur le serveur IMAP qui lors de mes derniers tests était capricieux, mais je l’aurai un jour… je l’aurai ! <img data-src=" />







Le point 2/ marche bien je fais moi aussi j’ai réserver un nom de domaine qui correspond à mon non de famille comme ça j’ai pu facilement convertir ma famille.



Pour mes amis geek j’ai réservé le nom de domaine estungeek.com <img data-src=" />


votre avatar







millman42 a écrit :



Pour mes amis geek j’ai réservé le nom de domaine estungeek.com <img data-src=" />







Ah pas bête ça…



(m’en vais réserver grosseraclure.com <img data-src=" /><img data-src=" />)


votre avatar







Khalev a écrit :



Autant ne pas utiliser Comodo alors, tu transmets ton certificat auto-signé d’une façon où une autre à tes correspondants ça sera plus sûr que d’utiliser un tiers “de confiance” qui a montré qu’on ne pouvait lui faire confiance.





Bah non, si tu veux que tes mails apparaissent signés et valides sans effort chez tes destinataires il faut que la clé publique soit hébergée chez une PKI publique type comodo, VeriSign,…


votre avatar







Glyphe a écrit :



Mes yeux saignent : par pitié utilisez le mot chiffrement à la place de chiffrage et cryptage !!! <img data-src=" />









Ouais… c’est comme “ardoise numérique” chiffrement… C’est mes doigts qui saignent à force de taper des expressions à rallonge <img data-src=" />





On fait bien de la cryptographie et pas de la “chiffrementographie”… et bien que le terme soit contesté, ce n’est pas plus illégitime à mon goût… ça vient du grec; comme une bonne partie de notre langue.



Vive l’enrichissement !



Désoptusez-vous! <img data-src=" />


votre avatar







John Shaft a écrit :



…A suivre







  • 1



    (et soyons fous, ça intégrerait peut être des filtres plus efficaces contre le spam ?)


votre avatar







FrenchPig a écrit :



Une chose que ne dit pas l’article : en quoi le protocole utilisé par DarkMail serait plus sécurisé et moins “écouté” que SMTP ?





Peut être que n’importe quel protocole serait plus sécurisé que SMTP ?

(ça se voit que je maitrise pas le sujet ?) <img data-src=" />


votre avatar







JCLB a écrit :



Bah non, si tu veux que tes mails apparaissent signés et valides sans effort chez tes destinataires il faut que la clé publique soit hébergée chez une PKI publique type comodo, VeriSign,…





Et si Comodo,VeriSign,… ne sont pas fiables ça réduit la sécurité.



Toute la sécurité des PKI repose sur la fiabilité de l’autorité de certification et dans le cas où on cherche entre autre à se mettre à l’écart des écoutes gouvernementales on peut considérer que les CA qui ont leurs HQ aux US ne sont pas fiables. Et c’est encore pire quand c’est un CA qui laisse des certificats dans la nature.



Entre avoir un CA “non-fiable” qui peut certifier des certificats en mon nom sans que j’en sois au courant et un système sans CA où chacun gère soi-même de façon décentralisé la création et révocation de certificats, je préfère la 2nde solution.

C’est un peu moins user-friendly puisque l’authentification doit se faire entre les deux utilisateurs au lieu d’utiliser le tiers de confiance pour ça, mais tant que ma clé privée reste privée, valide et qu’on a eu une authentification sûre 1 fois, mon correspondant sera sûre que la signature est juste.


votre avatar

Le mieux c’est de donner une valise de ‘0’ et de ‘1’ en main propre et de xorer avec quand on communique. Facile <img data-src=" />

votre avatar







XalG a écrit :



Le mieux c’est de donner une valise de ‘0’ et de ‘1’ en main propre et de xorer avec quand on communique. Facile <img data-src=" />





Le PSK, c’est tellement plus sûr. <img data-src=" />



Le problème c’est le transport de la clé, ça coûte rapidement cher.


votre avatar







Winderly a écrit :



(et soyons fous, ça intégrerait peut être des filtres plus efficaces contre le spam ?)







Bonne question,



à priori, il devrait y avoir peu de spam à circuler au début via ce protocole… Ensuite, si il devient populaire, il est évident que les spammeurs s’y INtéresseront


votre avatar







Khalev a écrit :



Entre avoir un CA “non-fiable” qui peut certifier des certificats en mon nom sans que j’en sois au courant et un système sans CA où chacun gère soi-même de façon décentralisé la création et révocation de certificats, je préfère la 2nde solution.







Si la CA change la clé publique de son côté pour la faire correspondre à une privée générée de son côté et te voler des données, tu le saura puisque lorsque ton contact va t’envoyer un mail tu ne va pas pouvoir le lire puisque le cert que tu as installé ne va pas correspondre à la clé publique modifiée qu’il a utilisée.



La seule solution d’attaque est que lors de son passage sur le réseau, la clé publique de Bob soit modifiée pour en mettre une autre, et qu’Alice reçoive cette clé modifiée qu’elle va utiliser pour chiffrer, sauf qu’elle va signer avec sa privée et tu vas valider avec sa clé publique. Il faudrait donc une attaque Man in the Middle dans les 2 sens, modifiant l’échange de clés publique pour pouvoir sniffer puis re-chiffrant avec les vrais clés. Un peu comme le déchiffrement SSL à la volée.



Mais dans le cas du S/MIME on échange généralement les clés au rythme des échanges de mail, pas en une fraction de seconde comme le HTTPS. Donc il est super difficile de mettre en oeuvre une attaque MITM.

Et même si c’était mis en oeuvre, si tu continues la conversation une fois l’attaque MITM terminée tu vas détecter le problème.



Et là le prob est le même que PGP ou GPG et ne vient pas dans tout les cas de l’autorité.



La seule solution inviolable reste donc de s’échanger les clés publiques par un autre moyen que l’email avant de commencer à chiffrer et signer ou de les vérifier en appelant la personne et en lisant la clé <img data-src=" />


votre avatar







JCLB a écrit :



[…]







Tout ça pour dire que tu es d’accord avec moi? <img data-src=" />


votre avatar







Khalev a écrit :



Tout ça pour dire que tu es d’accord avec moi? <img data-src=" />







Et que le système décentralisé d’échange de clés de GPG est finalement pas si mal que ça ! <img data-src=" />


votre avatar







Khalev a écrit :



Tout ça pour dire que tu es d’accord avec moi? <img data-src=" />





Je vais acheter un lot de pigeons voyageurs <img data-src=" />



Pour ceux que ça intéresserait, SMail sur Android permet de signer et chiffrer (S/MIME) facilement les mails sur de l’exchange, IMAP et POP3.



De plus il permet l’import facile des clés publiques depuis les mails des amis en 2 pressions, là où d’autres clients demandent d’enregistrer sur la SD puis de réimporter et associer à la main à un contact…


votre avatar







JCLB a écrit :



Je vais acheter un lot de pigeons voyageurs <img data-src=" />



Pour ceux que ça intéresserait, SMail sur Android permet de signer et chiffrer (S/MIME) facilement les mails sur de l’exchange, IMAP et POP3.



De plus il permet l’import facile des clés publiques depuis les mails des amis en 2 pressions, là où d’autres clients demandent d’enregistrer sur la SD puis de réimporter et associer à la main à un contact…





J’utilise K-9mail + APG ça marche plutôt pas mal (et ça associe automatiquement au contact aussi).


votre avatar

et gnupg dans tout ça ? ça a quand même l’avantage d’être compatible avec tout l’existant.



Par ailleurs je vois pas trop ce que va changer leur solution puisque de toute façon, google et cie balancent tout à la nsa si j’ai bien compris, donc si on peut lire ses mails dans gmail, google aussi…

A moins que tout les messages soient chiffrés et de toujours passer par un logiciel externe et de juste utilisé gmail comme “stockage”, je ne vois pas trop comment on peut vouloir sécuriser ça.

votre avatar

Gmail, Yahoo et Outlook devraient proposer l’intégration de PGP dans leurs services email, ça serait l’occasion de prouver qu’ils sont du côté des citoyens (à moins qu’ils s’en foutent).

votre avatar

Au delà de l’aspect technique, il faudra porter une attention au pays de la société qui hébergera vos futures données.



Sinon, ça risque de finir sous la menace, façon Lavabit …


votre avatar







unCaillou a écrit :



Gmail, Yahoo et Outlook devraient proposer l’intégration de PGP dans leurs services email, ça serait l’occasion de prouver qu’ils sont du côté des citoyens (à moins qu’ils s’en foutent).







Et stocker les clés privées chez eux ? Difficile d’utiliser facilement GPG sur des webmails comme cela sans leur envoyer de clés privées ou sans utiliser d’extension navigateur.



On peut toujours imaginer envoyer la clé privée avec une passphrase, et que tout le traitement soit fait coté navigateur, mais il faut quand même avoir bien confiance en eux.


votre avatar







trash54 a écrit :



déjà que c’est pas facile de faire le tri actuellement entre toutes les offres/solutions/… sécurisées, et avec les révélations NSA/autres ça va devenir de plus en plus difficile et je vois bien arriver de pseudo solution à prix d’or







Ça c’est évident. Il y a toujours des profiteurs dans les périodes de crise.


votre avatar







Groumfy a écrit :



Au delà de l’aspect technique, il faudra porter une attention au pays de la société qui hébergera vos futures données.



Sinon, ça risque de finir sous la menace, façon Lavabit …







Vu que c’est Open Source, ce sera surtout l’occasion de déployer un serveur chez soi au lieu de passer par des tiers.


votre avatar







FrenchPig a écrit :



Une chose que ne dit pas l’article : en quoi le protocole utilisé par DarkMail serait plus sécurisé et moins “écouté” que SMTP ?







Le soucis de SMTP, ce sont les entêtes qui se récupèrent facilement (destinataire, expéditeur, objet, etc). Toutes ces métadatas sont déjà une mine d’or d’information en elles-même.


votre avatar







djey37 a écrit :



Google qui implémente Darkmail pour Gmail <img data-src=" />

Autant prendre une adresse mail [email protected]



Sinon l’idée est bonne mais la NSA a certainement déjà fourré son nez dans le protocole XMPP…



Sinon j’aimerai bien que l’on révolutionne le mail (rien que pour le taf, j’aimerai ne plus en recevoir autant comme autant). j’ai pas d’idée pour ça mais punaise, ça me libérerai et je pense que je suis pas le seul …





révolutionner je sais pas, mais éduquer les gens et les boites oui : entre les mails d’automates divers (dev/prod etc), les communication d’agence, de groupe, France ou monde, les newsletters (<img data-src=" /> suggestion de Firefox : lunetteries <img data-src=" /> ) à la noix etc, ou encore les mails d’incident technique quand on est pas concernés et j’en passe; on a vite fait d’en supprimer un bon tas.

Quelques règles de tri et ça va, mais dans la masse de mails échangés, c’est vrai que c’est compliqué de s’y retrouver.


votre avatar

ça ne sert à rien de proposer de chiffre la transmission du message.

gmail, outlook.com etc sont chiffrés lors des échanges via TLS, ça n’empêche pas qu’une fois transmis c’est accessible puisque ça s’affiche dans votre webmail.



D’ailleurs le SMTP peuvent chiffrer les échanges entre 2 serveurs, ça fait partie des fonctionnalités.





Si vous voulez avoir la paix chiffrez vos MAILS et pas seulement la connexion <img data-src=" />

Utilisez soit

-PGP

-S/MIME avec des certificats.



Je préfère cette dernière solution car elle est standardisée, fonctionne bien sous outlook et thunderbird.

Comodo fournit des certificats de mails gratos. <img data-src=" />



Ensuite il suffit d’ajouter les expéditeurs à ses contacts, et s’il ont une clé publique en PJ ça l’ajoute tout seul.

Et hop ensuite on peut signer et chiffrer.





Je cherche encore une bonne app android par contre, capable d’importer toute seule les clés publiques des expéditeurs.

votre avatar







NeVeS a écrit :



Et stocker les clés privées chez eux ? Difficile d’utiliser facilement GPG sur des webmails comme cela sans leur envoyer de clés privées ou sans utiliser d’extension navigateur.



On peut toujours imaginer envoyer la clé privée avec une passphrase, et que tout le traitement soit fait coté navigateur, mais il faut quand même avoir bien confiance en eux.





Oui, tout doit se faire chez l’internaute, ils ont montré qu’ils sont incapables de sécuriser nos données dès qu’elles quittent notre paire de cuivre.

Et les ingés de google ont créé un navigateur multifonctions, ils peuvent y ajouter un gestionnaire de clés PGP (opensource of course) compatible avec leur webmail, nan ?


votre avatar

À PGP, je préfère GPG et avec des clés fabriquées sur ma machine et conservées au fond de ma poche. Les solutions “magiques” proposées actuellement me paraissent bien fragiles.





-S/MIME avec des certificats.



Je préfère cette dernière solution car elle est standardisée, fonctionne bien sous outlook et thunderbird.

Comodo fournit des certificats de mails gratos.





Les tiers de confiance ont montrés que justement on ne pouvait pas leur faire confiance.

votre avatar







FrenchPig a écrit :



Une chose que ne dit pas l’article : en quoi le protocole utilisé par DarkMail serait plus sécurisé et moins “écouté” que SMTP ?







En clair, SMTP n’est pas prévu pour prendre en compte les conditions beaucoup plus drastiques de sécurité dans le contexte moderne.

<img data-src=" />


votre avatar







djey37 a écrit :



Sinon l’idée est bonne mais la NSA a certainement déjà fourré son nez dans le protocole XMPP…





JVachez, sors de ce corps….<img data-src=" />


votre avatar







unCaillou a écrit :



Gmail, Yahoo et Outlook devraient proposer l’intégration de PGP dans leurs services email, ça serait l’occasion de prouver qu’ils sont du côté des citoyens (à moins qu’ils s’en foutent).





Ben faut bien qu’ils lisent tes mails pour te profiler.<img data-src=" />


votre avatar







JCLB a écrit :



Si vous voulez avoir la paix chiffrez vos MAILS et pas seulement la connexion <img data-src=" />

Utilisez soit

-PGP

-S/MIME avec des certificats.



Je préfère cette dernière solution car elle est standardisée, fonctionne bien sous outlook et thunderbird.

Comodo fournit des certificats de mails gratos. <img data-src=" />





Comodo… Comodo… Laisse-moi réfléchir.

C’est pas cette boite qui s’est fait pirater tous ses certificats il y a quelques temps ?<img data-src=" />


votre avatar

Dans tous les cas, même sans considérer la sécurité, SMTP est un vieux protocole, mal conçu (pensé pour un encodage ANSI 7bits, texte uniquement) qui aurait besoin d’être remplacé par quelques chose de mieux construit, pensé pour les usages d’aujourd’hui (et de demain).





Actuellement, il est patché de partout pour supporter les pièces jointes, les encodages étendus (lettres accentuées, unicode, etc.), chiffrement par certificats, etc.



Evidemment, ce qui rend compliquer la chose, c’est qu’il faut TOUT mettre à jour, les serveurs, les clients, les webmails et ceci dans une période courte ou avec un mode compatibilité avec l’existant…

votre avatar







John Shaft a écrit :



Vu que c’est Open Source, ce sera surtout l’occasion de déployer un serveur chez soi au lieu de passer par des tiers.







+1. Les tiers, même de confiance, cela reste des tiers.







unCaillou a écrit :



Oui, tout doit se faire chez l’internaute, ils ont montré qu’ils sont incapables de sécuriser nos données dès qu’elles quittent notre paire de cuivre.

Et les ingés de google ont créé un navigateur multifonctions, ils peuvent y ajouter un gestionnaire de clés PGP (opensource of course) compatible avec leur webmail, nan ?







+1 aussi.


votre avatar







dam1605 a écrit :



et gnupg dans tout ça ? ça a quand même l’avantage d’être compatible avec tout l’existant.



Par ailleurs je vois pas trop ce que va changer leur solution puisque de toute façon, google et cie balancent tout à la nsa si j’ai bien compris, donc si on peut lire ses mails dans gmail, google aussi…

A moins que tout les messages soient chiffrés et de toujours passer par un logiciel externe et de juste utilisé gmail comme “stockage”, je ne vois pas trop comment on peut vouloir sécuriser ça.









En utilisant leur solution + un chiffrement du contenu du mail via PGP, la NSA a l’obligation de s’infiltrer dans nos PC pour récupérer nos clés privées.

Il n’y a aucune solution parfaite, ni simple pour contrer un acteur qui espionne de la taille de la NSA, disons même que les solutions techniques sont les seules chosent que l’on puisse faire en attendant la vrai solution qui est politique !


votre avatar







JCLB a écrit :









<img data-src=" />

Bonne analyse qui à coupé court à ce que je voulais suggérer : Centraliser les clés publiques (chez les fournisseurs d’e-mails), et garder les clés privées chez soi =&gt; pas “man-in-the-middle-proof” (par le fournisseur lui-même, généralement américain, et NSA oblige) <img data-src=" />







Glyphe a écrit :



Et que le système décentralisé d’échange de clés de GPG est finalement pas si mal que ça ! <img data-src=" />





Du coup comme dit Glyphe, faudrait décentraliser ça aussi … mais comment ? <img data-src=" />


Affaire Snowden : la DarkMail Alliance veut sécuriser les emails

  • Deux entreprises affectées par le parcours d'Edward Snowden

  • Remplacer SMTP par XMPP 

  • Une extension pour les fournisseurs de solutions email 

  • Un financement participatif à venir 

Fermer