Journal : Si je peux le lire, je peux en faire ce que je veux. + Question gpg
Posté par ptifeth (page perso, ) le 20 avril 2008
IInfraction au principe n°1 de la gestion de l'information et atteinte grave et délibérée à l'intelligence de l'utilisateur relevée ce matin, en flagrant délit :
La FAQ d'un service de messagerie instantanée prétendument auto-destructible, BigString, explique que votre correspondant ne pourra garder aucune trace de vos messages, ni les imprimer, ni rien.
Je n'ai que peu de crainte que ce genre de publicité mensongère abuse les visiteurs réguliers du présent site, mais je souhaite contribuer à diffuser l'information sur ce genre d'arnaque (parlez-en à vos amis).
II J'en profite pour vous demander quelle solution de chiffrage vous recommandez, cher lazyweb, pour le grand public (kgpg est vraiment facile d'utilisation, et bien intégré à la messagerie et au reste, sous LinuxKDE, mais pour nos correspondants encore sous l'influence du côté obscur ?). Sans oublier les questions la plus fondamentale : comment bien choisir sa passphrase, comment bien stocker sa clef privée quand on n'est pas un geek et qu'on a mauvaise mémoire ?
La FAQ d'un service de messagerie instantanée prétendument auto-destructible, BigString, explique que votre correspondant ne pourra garder aucune trace de vos messages, ni les imprimer, ni rien.
Je n'ai que peu de crainte que ce genre de publicité mensongère abuse les visiteurs réguliers du présent site, mais je souhaite contribuer à diffuser l'information sur ce genre d'arnaque (parlez-en à vos amis).
II J'en profite pour vous demander quelle solution de chiffrage vous recommandez, cher lazyweb, pour le grand public (kgpg est vraiment facile d'utilisation, et bien intégré à la messagerie et au reste, sous LinuxKDE, mais pour nos correspondants encore sous l'influence du côté obscur ?). Sans oublier les questions la plus fondamentale : comment bien choisir sa passphrase, comment bien stocker sa clef privée quand on n'est pas un geek et qu'on a mauvaise mémoire ?
> Lire le journal (63 commentaires, moyenne: 3).
Vous avez demandé le commentaire #924383.
Run by 
Cette page a été générée par Templeet en 0.0537s (dont 0.0054 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
WinPT
II J'en profite pour vous demander quelle solution de chiffrage vous recommandez, cher lazyweb, pour le grand public encore sous l'influence du côté obscur ?
WinPT : http://winpt.sourceforge.net/fr/
Il paraît que c'est bien. Ca utilise la version windows de GPG.
[^]Re: WinPT
mouaip, winpt, ca m'a toujours paru un peu roots ...
Si le but est d'utiliser le chiffrement pgp/gpg pour votre email, y compris sous windows, je conseille violemment et des deux mains ENIGMAIL : extension pour thunderbird qui permet d'utiliser gpg.
Il inclus par ailleurs un gestionnaire de clés très ergonomique, très bien traduit, et tout.
et s'ils utilisent outlook ou outlook express, commencez d'abord par comprendre (et faire comprendre) que le premier probleme de sécurité est dans l'obscurité, l'instabilité, (la mauvaise implémentation des protocoles pour les plus ouverts) et que thunderbird pour windows est un excellent client de messagerie ;)
après (plus tard) on pourra leur parler d'enigmail hein ;)
Utiliser pgp sous outlook, c'est ... comment dire ... particulier. Cela me rappelle les principes furieux de sécurité des grands groupes, paranos à souhaits, mais qui laissent les utilisateurs sans aucune formation de base à la sécurité, et laissent donc ces derniers ouvert au plus petit social engineer ;)
[^]Re: WinPT
Enigmail est sympa, mais la dernière fois que je l'ai utilisé il imposait quand même d'installer sa propre version de GnuPG. Non que ça m'ait pris longtemps, mais ça reste un peu "chiant" à recommander à un utilisateur lambda.
Surtout quand on pense que TB gère "hors-de-la-boîte" le chiffrement et la signature par X509. Par moments, j'hésite à monter une petite PKI pour les gens dont je suis amené à gérer la messagerie, mais je regrette qu'il n'existe pas de truc centralisé pour échanger les clés publiques des certificats racines des "perso-PKIs" de ce genre...
[^]Re: home-made-pki
LDAP ?
Normalement, X509 prévoit une URL de vérification des certificats. Je ne sais plus trop si cela permet aussi (mais je crois que oui) de télécharger les certificats automagiquement, mais bon ...
globalement, X509 ca pue quand même pas mal de part son aspect centralisé. GPG, avec son côté "web-of-trust" est quand même bien plus adapté aux concepts de base de la vie privée qui est aussi de ne dépendre de personne, y compris d'une autorité de certification en qui nous devons, finalement, avoir confiance pour ne pas générer dans notre dos un second certificat valide à notre adresse dont ils disposeront de la clé privée et qui leur permettra de se faire passer pour nous ...
Bref, en résumé : vivement qu'enigmail pour windows soit packagé avec un ch'tit installeur de GPG tout propre ... ah, on me souffle dans mon oreillette que ça existe (...) (pas retrouvé cela dit)
[^]Re: home-made-pki
Non, pas LDAP, justement par son côté centralisé.
X509 est prévu pour être centralisé, et j'irais pas jusqu'à dire que ça pue, ne serait-ce que parce qu'en entreprise c'est _très_ pratique. Mais on peut imaginer simplement truc à mi-chemin entre les deux mondes : des "petits" admins de messagerie qui s'échangent leurs racines respectives de manière à ce que leurs ouailles puissent communiquer simplement (i.e. sans extension requise, notamment).
Par contre, si tu retrouve l'installeur "complet", je suis preneur. Mais je reste dubitatif quant à la manière dont les "gens normaux" vont gérer leur "confiance". Quand on voit le comportement des gens face à Facebook (entre autres), je les voit assez mal avoir une gestion "saine" de leur réseau de confiance.