Réunion informelle CAcert.org aux First Jeudi à Paris

Posté par . Édité par Nÿco, baud123 et Benoît Sibaud. Modéré par Nÿco. Licence CC by-sa
11
5
déc.
2012
Communauté

Les First Jeudi sont une réunion bi-mensuelle, organisée par l'association Parinux dans le cadre convivial d'un restaurant ou d'un bar, pour discuter des problématiques du libre et passer un bon moment ensemble. La prochaine réunion se tiendra le Jeudi 6 Décembre 2012 de 19h30 à 23h00 au Père Tranquille.

À cette occasion, des accréditeurs CAcert.org seront présents pour échanger et vous offrir une certification croisée. CAcert diffuse des certificats X.509 gratuits et organise un cercle de confiance entre utilisateurs (WoT Web Of Trust). Les certificats X.509 permettent de signer des emails, de se connecter à des VPN et de mettre en place des sites Web sécurisés par HTTPS. Environ 253.000 utilisateurs ont rejoint CAcert.org.

Si vous souhaitez vous faire certifier à l'occasion des First Jeudi :

  • Créez un compte sur CAcert.org
  • Lors de votre inscription, utilisez un email valide et stable (pas d'email jetable).
  • Munissez-vous de 2 pièces d'identité, de préférence une carte nationale d'identité et un passeport.

L'adresse du Bon père tranquille:

Père Tranquille
16 rue Pierre Lescot
Paris 75001
France
48° 51' 43.4736" N, 2° 20' 53.9196" E

  • # c'est quoi un "assureur" ?

    Posté par . Évalué à  2 .

    À cette occasion, des assureurs CAcert.org seront présents

    • [^] # Re: c'est quoi un "assureur" ?

      Posté par (page perso) . Évalué à  4 .

      un assureur CACert est une personne reconnue de CACert, qui peut a son tour attribuer des points "reconnaissance" en vérifiant votre identité (vous + CNI et passport généralement) sans vous ruinez ( avocat, notaire …)

      Question: toujours pas d'assureur CACert en Afrique de l'ouest ???

  • # Un accréditeur !

    Posté par . Évalué à  6 . Dernière modification : le 06/12/12 à 01:46

    Bonjour,

    Le meilleur terme en français est accréditeur et non assureur (assurer in English)

    C'est donner du crédit à l'identité d'une personne (dans la limite du possible) pour ensuite signer des courriels, se connecter à des sites.

    Pour l'Afrique, l'association progresse lentement mais surement pour remettre en place un système d'accréditation peut-être en passant par un Directeur de Banque ou un autre tiers de confiance.

    Ce projet a un intérêt : promouvoir une sorte de carte d'identité "internationale" (je rêve!) mais surtout d'aider à protéger la vie privée des utilisateurs (courriel par exemple)

    Cordialement,

    Guillaume, utilisateur et membre de l'association CAcert (basée en Australie) et membre de l'April :)

    • [^] # Re: Un accréditeur !

      Posté par . Évalué à  2 . Dernière modification : le 06/12/12 à 01:53

      D'après les stats, l'association tourne sur 15000 à 20000 utilisateurs réellement actif pour créer ou renouveller des certificats. C'est déjà beaucoup.

    • [^] # Re: Un accréditeur !

      Posté par (page perso) . Évalué à  6 .

      « Pour l'Afrique, l'association progresse lentement mais surement pour remettre en place un système d'accréditation peut-être en passant par un Directeur de Banque ou un autre tiers de confiance. »

      Certainement un pré-jugé idiot, mais je n'aurais jamais choisi un directeur de banque comme tiers de confiance. Certes le critère notabilité paraît décisif, mais pour la mise en place d'un système fiduciaire, une notable ayant choisi une carrière altruiste, m'aurait bien mieux convenu. Un directeur d'hôpital, ou d'organisation humanitaire locale par exemple.

    • [^] # Re: Un accréditeur !

      Posté par . Évalué à  5 .

      en passant par un Directeur de Banque ou un autre tiers de confiance.

      En quoi un directeur de banque est particulièrement une personne de confiance ?
      Pourquoi par un toubib ou un ministre pendant que tu y es ?

      • [^] # Re: Un accréditeur !

        Posté par . Évalué à  1 .

        l'accréditation par notaire ou notable a été retirée du processus. Seul les acréditeurs Cacert sont autorisés à donner des points

        Tout le monde a un cerveau. Mais peu de gens le savent.

    • [^] # Re: Un accréditeur !

      Posté par . Évalué à  3 .

      Mais pourquoi deux pièces d'identité ?

      Les faux sont si nombreux que ça ? Même les banques en France… et la police française pourtant une des plus [bip] du monde ne l'exige pas. Mêmes les cartes françaises périmées sont légalement acceptées.

      Personnellement, je ne possède qu'une seule pièce valide et encore elle est très vieille.

  • # Accréditateurs

    Posté par . Évalué à  2 .

    CAcert progresse en France, bien qu'il soit encore difficile de trouver un accréditateur. CAcert a beaucoup d'utilisateurs, mais il faudrait rapidement augmenter le nombre d'accréditateurs pour densifier la présence et augmenter le maillage. D'autant qu'il faut au minimum 3 accréditateurs pour atteindre 50 points. L'idée pour simplifier le processus d'acquisition des points serait d'organiser un rendez-vous fixe à Paris ou dans chaque grande ville, chaque mois, avec un nombre suffisant d'accréditateurs pour atteindre 50 points à 100 points. Dans le même état d'esprit, nous encourageons les membres actifs des associations à se faire accréditer. Par exemple, si plusieurs membres actifs des associations Parinux devenaient accréditeurs, cela simplifierait les démarches des membres de CAcert cherchant à se faire accréditer.

    • [^] # Re: Accréditateurs

      Posté par . Évalué à  0 .

      Il fallait lire "Accréditeur".

    • [^] # Re: Accréditateurs

      Posté par (page perso) . Évalué à  2 .

      il faut au minimum 3 accréditateurs pour atteindre 50 points.

      Rectificatif : un accréditeur peut rapidement attribuer 35 points, 3 accréditations permettent donc d'obtenir une centaine de points.

      • [^] # Re: Accréditateurs

        Posté par . Évalué à  1 .

        Non ils faut ou minimum 2 accréditeurs à 35pts pour être confirmé. Mais il te faut 100 pts pour passer le test et devenir accréditeur.

        Tout le monde a un cerveau. Mais peu de gens le savent.

    • [^] # Re: Accréditateurs

      Posté par (page perso) . Évalué à  2 .

      Je suis moi-même accréditeur CAcert depuis 2007, mais je n'en ai jamais fait la publicité (Shame on me).

      J'imagine que pour pouvoir être contacté, il faut que je me rende visible sur le site de CAcert dans "Mes détails / Mon référençage"
      Ce que je viens de faire au nom de mon LUG PauLLA (Pau Logiciel Libre Association)

      Cela fera au moins une personne visible dans le Béarn…

    • [^] # Re: Accréditateurs

      Posté par . Évalué à  1 .

      Il existe un forum pour trouver un accréditeur. Ce forum est encore jeune mais a le mérite d'exister. forum.cacert-france.fr

      Tout le monde a un cerveau. Mais peu de gens le savent.

      • [^] # Re: Accréditateurs

        Posté par (page perso) . Évalué à  3 .

        Intéressant, mais est-ce vraiment nécessaire ? CAcert proposent déjà un formulaire pour rechercher des accréditeurs à une distance au choix d'une ville au choix…

        • [^] # Re: Accréditateurs

          Posté par . Évalué à  1 .

          Ce n'est pas nécessaire mais l'avantage est que les accréditeurs eux même peuvent se donner rv pour pouvoir se connaître et augmenter les point accréditation croisées recommandé par Cacert

          Tout le monde a un cerveau. Mais peu de gens le savent.

  • # Événements

    Posté par (page perso) . Évalué à  8 .

    Pour les prochains événements, il faudrait :

    • les annoncer un peu plus tôt ;
    • les signaler à CAcert pour qu'ils soient officiellement annoncés : CAcert propose un système d'alertes pour signaler aux utilisateurs les événements proches de chez eux !

    http://wiki.cacert.org/Events/UpcomingEvents

  • # Signature des emails, OpenPGP vs CAcert

    Posté par (page perso) . Évalué à  4 .

    Pour la signature des emails, CAcert est-il plus intéressant ou simple à utiliser que OpenPGP ?

    • [^] # Re: Signature des emails, OpenPGP vs CAcert

      Posté par . Évalué à  3 .

      si je ne me trompes ca, ce n'est pas incompatible.

      CACert te fournit les certificats utilisateurs et un "tiers de confiance" avec leur serveur.

      et tu vas utiliser les certificats pour coder/decoder tes emails avec openPGP

      • [^] # Re: Signature des emails, OpenPGP vs CAcert

        Posté par (page perso) . Évalué à  1 .

        D'accord, je ne savais pas, je vais essayer de me renseigner là dessus, merci :)

      • [^] # Re: Signature des emails, OpenPGP vs CAcert

        Posté par (page perso) . Évalué à  4 . Dernière modification : le 06/12/12 à 12:01

        si je ne me trompes ca, ce n'est pas incompatible.

        Tu te trompes, c'est incompatible. Il existe deux normes de chiffrement et de signature de messages : PGP/MIME et S/MIME.

        CACert te fournit les certificats utilisateurs et un "tiers de confiance" avec leur serveur.

        Exact, mais il s'agit de certificats X.509 et non de certificats OpenPGP.

        et tu vas utiliser les certificats pour coder/decoder tes emails avec openPGP

        Non : déjà, OpenPGP est une norme et non un logiciel, et ensuite, ces certificats X.509 sont utilisables pour chiffrer — et non coder, autant utiliser la bonne terminologie — ou vérifier la signature de messages à la norme S/MIME uniquement.

        En revanche, ce qui est possible — mais pas facile à mettre en œuvre en pratique —, c'est d'utiliser une même paire de clef avec OpenPGP et S/MIME, mais ça n'apporte pas grand chose.

    • [^] # Re: Signature des emails, OpenPGP vs CAcert

      Posté par (page perso) . Évalué à  9 .

      Plus intéressant, ça dépend de tes critères. Les administrations et autres grosses organisations officielles adorent le modèle de confiance pyramidal imposé par la norme X.509, dont CAcert participe. Ce modèle est par ailleurs dangereux, en ce qu'il encourage de gros problèmes d'organisation et de sécurité (concrètement, une guilde d'autorités très restreinte, et qui font mal leur travail de vérification).

      Note que ce modèle pyramidal peut être mis en œuvre au sein du modèle de réseau de confiance d'OpenPGP, qui ne fait que l'étendre, mais que ce n'est pas utilisé comme cela en pratique : les utilisateurs de PGP sont généralement trop sérieux et soigneux pour se permettre de faire des vérifications hâtives comme les autorités de certification X.509.

      Plus simple, pas vraiment, c'est là une question d'ergonomie des logiciels, et en pratique une fois que tu disposes d'une paire de clefs OpenPGP et ou X.509, c'est aussi simple que de cocher une case « signer », ou pour tes correspondants de cocher une case « chiffer » s'ils disposent de ta clef. Ce qui est plus compliqué, c'est la gestion du réseau de confiance OpenPGP, qui n'a pas lieu d'être avec X.509 puisqu'on s'en charge pour toi.

      • [^] # Re: Signature des emails, OpenPGP vs CAcert

        Posté par . Évalué à  2 .

        A la mini-conférence Debian day organisée à Paris en 2010, j'ai vu un utilisateur GPG présenter une carte de visite d'étudiant, imprimée sur un simple service d'impression en ligne, se faire certifier sa clé GPG. La carte comportait des informations du type : Monsieur Foo Bar, étudiant à XXXX, membre de l'association ZZZ. Quand j'ai protesté, il a sorti sa carte Vitale (sans photo) et j'ai refusé de signer sa clé. le gars était assez agressif. Il s'est alors tourné vers un Néerlandais, qui a accepté de signer sur la seule foi de sa carte vitale (pas de carte d'identité).

        Cet individu a ainsi réussi à se faire signer sa clé PAR TOUT LE MONDE PRESENT.
        Dès qu'il a réussi à faire signer sa clé 2 ou 3 fois, tous ont signé, comme des moutons.

        J'en ai déduit que GPG était complètement pipeau et j'ai arrêté d'utiliser GPG.
        Bien entendu, il s'agit de mon expérience personnelle.

        Par opposition, le processus CAcert est bien plus strict : il commence par l'énoncé des obligations conjointes du CA, de l'utilisateur et de l'acréditeur. Ensuite, on valide 1) Le nom et prénom 2) la photo et la signature 3) La date de naissance. La validation est limitée aux papiers d'identité comportant Nom/Prénom et email. Le certificateur ne fait que certifier la concordance des informations avec les papiers d'identité. Aucune copie de papier d'identité n'est conservée.

        • [^] # Re: Signature des emails, OpenPGP vs CAcert

          Posté par (page perso) . Évalué à  7 .

          J'en ai déduit que GPG était complètement pipeau et j'ai arrêté d'utiliser GPG.

          Ça c'est idiot. Ce qui serait pertinent, c'est de cesser d'utiliser la toile de confiance, mais pas le système de chiffrement et de signature lui-même !

          Ensuite, je te signale qu'avec les mises en œuvre de PGP, en particulier GnuPG, c'est toi qui indiques au logiciel à qui tu fais confiance pour vérifier les identités des gens.

    • [^] # Re: Signature des emails, OpenPGP vs CAcert

      Posté par . Évalué à  1 .

      Cacert peu signer ta clef GPG. Donc une valeur en plus pour ta clef.

      Tout le monde a un cerveau. Mais peu de gens le savent.

      • [^] # Re: Signature des emails, OpenPGP vs CAcert

        Posté par (page perso) . Évalué à  2 .

        Oui, c'est exact, et la clef PGP de CAcert est également signée par des tas d'inconscients qui n'ont jamais rencontré CAcert en personne pour vérifier son identité…

        • [^] # Re: Signature des emails, OpenPGP vs CAcert

          Posté par . Évalué à  2 .

          J'explique un peu.
          Un inconcient qui c'est vu vérifier son identité par au minimum deux inconscients qui eux ont vu au minimum 28 autres inconscients pour avoir le droit aux 35 pts, et se faire signer sa clef gpg (désolé je préfère parler libre donc gpg et pas pgp) je trouve que inconscience n'a plus sa place .

          Tout le monde a un cerveau. Mais peu de gens le savent.

          • [^] # Re: Signature des emails, OpenPGP vs CAcert

            Posté par (page perso) . Évalué à  2 .

            Tu n'as pas compris son message (ou alors c'est moi) : si j'ai bien compris, Tanguy critique le fait que la clef institutionnelle de CACert soit signé par des gens, alors que ce n'est pas possible de vérifier l'identité de CACert (qui n'est pas une personne physique). C'est raisonnable que cette clé soit utilisée pour signer, mais qu'elle soit signée elle-même (par n'importe qui) semble lui poser problème.

            • [^] # Re: Signature des emails, OpenPGP vs CAcert

              Posté par (page perso) . Évalué à  2 .

              Bah, de toutes façons, ce n’est pas parce qu’on a vu les papiers d’identité d’une personne qu’il faut signer sa clef aveuglément. Ce qui importe, c’est d’être certain que l’adresse mail que l’on signe est bel est bien utilisée par la personne qui le prétend.

              En l’occurrence, c'est bien ce que la procédure d’échange de signature de clefs avec CAcert permet de faire.

              • [^] # Re: Signature des emails, OpenPGP vs CAcert

                Posté par (page perso) . Évalué à  4 .

                Bah, de toutes façons, ce n’est pas parce qu’on a vu les papiers d’identité d’une personne qu’il faut signer sa clef aveuglément. Ce qui importe, c’est d’être certain que l’adresse mail que l’on signe est bel est bien utilisée par la personne qui le prétend.

                Non, sauf cas particulier, dans une identité « Nom (commentaire)  », les gens s'attendent à ce que tu aies vérifié le nom et l'adresse. Le commentaire n'est pas censé faire l'objet d'une vérification quelconque puisqu'il ne s'agit que d'un commentaire, mais le nom si, sauf s'il s'agit d'un pseudo.

                • [^] # Re: Signature des emails, OpenPGP vs CAcert

                  Posté par (page perso) . Évalué à  2 .

                  On est d'accord, dans le cas d'une personne physique, on vérifie que celui qui prétend être Jean Michu a des papiers d'identité prouvant qu'il est bien Jean Michu, et que c'est bien lui qui utilise l'adresse tanguy.ortolo@michu.name.

                  Par contre, dans le cas d'une personne morale, d'un pseudo, ou d'une adresse utilisée par la/les personne(s) qui rempli(ssen)t une fonction, c'est l'échange de mails par un canal réputé sûr qui permettra d'établir un bon niveau de confiance.

        • [^] # Re: Signature des emails, OpenPGP vs CAcert

          Posté par (page perso) . Évalué à  3 .

          Ce n'est pas tres grave tant que tu n'a pas confiance en ces inconscients.

  • # On peut venir plus tard ?

    Posté par . Évalué à  1 .

    La prochaine réunion se tiendra le Jeudi 6 Décembre 2012 de 19h30 à 23h00

    Ça veux dire que l'on doit être présent dès 19h30, ou on peut arriver plus tard, voire beaucoup plus tard ?

  • # Merci à tous pour votre présence

    Posté par . Évalué à  2 .

    Bonjour à tous,

    C'était un événement sympa, merci pour votre présence.

    PARINUX était au premier étage et nous avons fait une rapide présentation de CAcert à une grande table du rez-de-chaussée.

    Trois assureurs CAcert étaient présents. Personnellement, j'ai assuré 6 utilisateurs.

    Je pense organiser une réunion CAcert mensuelle sur Paris, pour permettre à tous d'atteindre immédiatement 100 points. CAcert a surtout besoin de nouveaux assureurs pour un meilleur maillage du territoire français.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.