Journal cas d'utilisation de GPG

Posté par . Licence CC by-sa
Tags :
20
4
mar.
2016

Comme certains linuxiens, j'ai une clé GPG, qui me sert très peu, et m'emmerde (ah l'email chiffré illisible depuis mon webmail…). Je me pose donc la question de son utilité actuellement, et j'ai beaucoup de mal à y répondre positivement.

À quel cas d'utilisation répond une clé GPG ?

J'ai besoin de transmettre une donnée confidentielle à quelqu'un : mot de passe, relevé de compte bancaire, données sensible, etc.

Dans ce cas, il vaudra probablement mieux utiliser un chiffrement « jetable », type Off-the-Record_Messaging, ou un conteneur chiffré.

C'est nettement plus simple et compréhensible pour des néophytes que GPG, et mieux sécurisé, puisque si on me vole ma clé, mon historique n'est pas mis en danger.

J'ai besoin d'identifier qu'un message provient de la bonne personne (administration, banque, etc.)

Là ça peut éventuellement être utile, bien que GPG soit très limité, puisqu'il faudra que la personne ait une clé GPG, ce qui est pratiquement jamais le cas. Typiquement ça pourrait être un outil efficace contre le phishing, mais bizarrement aucune grosse entité ne l'a mis en place.

Et la phase de reconnaissance de la clé est parfois très compliquée à mettre en place.

J'ai besoin de garantir ma vie privée sans laisser trop de traces (je veux transmettre à mediapart les dernières frasques de mon patron)

Là encore GPG me semble peu adapté. On l'utilise souvent avec les emails, mais dans ce cas mon attaquant pourra avoir accès à toutes les méta-données… Autant avoir un conteneur chiffré, déposé quelque part sur Internet. Il me suffira ensuite de transmettre tranquillement la clé de décodage à mon interlocuteur, que je vais très probablement rencontrer dans la vraie vie.

De même, la toile de confiance et les serveurs de clé sont de bons outils pour comprendre mon réseau…

Il faut que mon interlocuteur ait une clé, ce qui n'arrive pratiquement jamais dans la vraie vie.

Conclusion

GPG est un bel outil, mais dans le monde d'aujourd'hui il me semble que les cas d'utilisation sont très réduits… l'outil devient obsolète.

Qu'en pensez-vous ? Pouvez-vous trouver des cas pertinents où GPG aurait un intérêt très fort ?

  • # Plutôt d'accord

    Posté par (page perso) . Évalué à 6.

    GPG n'est pas une solution parce que la confidentialité des échanges sur internet n'est pas une priorité, cela n'est qu'une généralité et sans jugement de valeur. Mais cela nuit justement à l'intérêt de distribuer une clef public dont tes interlocuteurs ne savent que faire et ne souhaite pas s'informer ni se former.

    Pour autant il est parfaitement possible que cette situation change et que le recours à la cryptographie s'impose comme certains logiciels libres dont on ne comprenait pas la raison d'être il y a 15 ans.

    GPG a le mérite de fournir une solution en cas de besoin même si ce besoin n'est pas à ce jour évident. Certes c'est complexe, chronophage et en plus ça ne sert à rien mais je prends ça comme une forme d'assurance sur l'avenir.

  • # GPG n'est qu'une brique

    Posté par (page perso) . Évalué à 10. Dernière modification le 04/03/16 à 19:23.

    Je suis plutôt d'accord avec toi et avec la vague de rejet de gpg comme solution (déjà évoqué ici ou ici), j'ai compris que le problème n'est pas gpg en lui-même, mais comme toujours l'horrible expérience utilisateur. Se créer son trousseau de clés et le diffuser est un cauchemar (j'en veux pour preuve les tutos "Comment se créer une clé pgp parfaite en 723 étapes") et que pour améliorer la situation il faudra s'attaquer aux interfaces utilisateurs, et abandonner l’éducation sur le fonctionnement interne du machin, sur comment faire des keysigning parties et tout le tralala semi-social que personne ne fait et qui explique pourquoi gpg est si peu déployé (en valeur relative, hein).

    D'ailleurs c'est pas un constat nouveau, Werner Koch lui-même a identifie le problème et esquisse un début de solution (plus un ensemble de bonnes pratiques qu'un logiciel en tant que tel) avec STEED:

    • Un logiciel qui fait du pgp doit générer une clé correcte des le premier lancement
    • Les clés doivent être diffuses via DNS, sur le domaine de l'utilisateur, de manière a ce qu'un correspondant éventuel puisse les récupérer facilement
    • Un logiciel qui fait du pgp doit faire le maximum pour récupérer les clés pgp des correspondants, ou qu'elles soient, et chiffrer avec. Quitte a ce qu'elles soient fausses parce que …
    • Un logiciel qui fait du pgp doit partir du principe qu'une clé est bonne a partir du moment ou c'est la première qui a été vue pour le contact en question; a partir de la on regarde si la même clé est utilisée dans les échanges futurs, et tout changement est considéré comme suspicieux. Ce mode de fonctionnement n’empêche pas de confirmer la confiance lors d'un rendez-vous physique ultérieur, bien sur.

    Dans la même veine, j'irais même encore plus loin: s'il est possible d'automatiser la création de clés et leur distribution, autant créer une nouvelle cle pour chaque utilisation de manière a réduire l'impact des métadonnées et faire tourner plus fréquemment les clés afin qu'elles ne soient plus utilisées. Il est même possible de ne pas afficher le destinataire d'un message chiffré. Il y a donc ce qu'il faut pour répondre aux points 1 et 3, a condition d'avoir le bon logiciel…

    … Et c'est la qu'on touche le point le plus important. La crypto dans gpg a beau être hideuse et antique, elle reste solide. Il nous faut créer des outils qui utilisent ça et fournissent l’utilisabilité qui permettront a gpg d'avoir de nouvelles utilisations un peu plus modernes et un peu plus utiles, et faire en sorte que plus personne n'ait besoin de taper "gpg" en ligne de commande.

    • [^] # Re: GPG n'est qu'une brique

      Posté par (page perso) . Évalué à 10.

      Se créer son trousseau de clés et le diffuser est un cauchemar (j'en veux pour preuve les tutos "Comment se créer une clé pgp parfaite en 723 étapes")

      For the record, ces tutos, qui sont souvent le fruit de personnes qui croient certainement bien faire, sont largement déconseillés par les développeurs de GnuPG (dernier exemple en date).

      La recommendation officielle pour les débutants qui veulent se créer une paire de clefs est : stick to the defaults!

      Et pour les utilisateurs de GnuPG 2.1, c’est concrètement gpg --quick-gen-key mon.adresse@example.com, qui génère une paire de clefs « standard » (avec les fameux réglages par défaut) sans rien demander à l’utilisateur.

      Les clés doivent être diffuses via DNS, sur le domaine de l'utilisateur, de manière a ce qu'un correspondant éventuel puisse les récupérer facilement

      L’enregistrement OPENPGPKEY pour ça est en cours de standardisation à l’IETF. Il est déjà pris en charge par Bind 9.9.7 (ce qui signifie que Bind peut lire un fichier de zone contenant un tel enregistrement, mais il est aussi utilisable avec n’importe quel autre serveur DNS en passant par la syntaxe du RFC 3597) et par GnuPG depuis sa version 2.1.9.

      Un logiciel qui fait du pgp doit faire le maximum pour récupérer les clés pgp des correspondants, ou qu'elles soient, et chiffrer avec.

      --auto-key-locate. Peut retrouver une clef dans le DNS (dans des enregistrements CERT (RFC 4398), OPENPGPKEY (cf. point précédent), ou PKA (bidouillage non-standard spécifique à GnuPG, en passe d’être remplacé par OPENPGPKEY)), dans des serveurs LDAP, dans des serveurs de clefs. D’autres mécanismes de lookup sont encore envisageables.

      Un logiciel qui fait du pgp doit partir du principe qu'une clé est bonne a partir du moment ou c'est la première qui a été vue pour le contact en question;

      Modèle trust-on-first-use, Introduit à partir de GnuPG 2.1.10, sorti en décembre dernier. Ce n’est pas encore le modèle de confiance par défaut (c’est toujours la toile de confiance PGP pour l’instant), mais je pense qu’il est amené à le devenir.

      réduire l'impact des métadonnées

      Il y a des discussions en cours à l’IETF sur la question. Le problème est que la réduction de la fuite de métadonnées ne peut guère se faire sans modification du protocole (changement du contenu et/ou du format des paquets OpenPGP), donc ça ne peut se faire unilatéralement par GnuPG seul (contrairement à l’introduction d’un nouveau modèle de confiance, parce que le standard laisse explicitement le champ libre aux implémentations de ce côté).

      Il nous faut créer des outils qui utilisent ça et fournissent l’utilisabilité qui permettront a gpg d'avoir de nouvelles utilisations un peu plus modernes et un peu plus utiles,

      Tout-à-fait d’accord. GnuPG lui-même est loin d’être obsolète, et progresse constamment. Ce sont les front-ends qui pêchent encore.

  • # GnuPG != OpenPGP

    Posté par (page perso) . Évalué à 6. Dernière modification le 04/03/16 à 20:42.

    D’abord, la minute « sodomie de diptère » : ce n’est pas une clef « GPG », c’est une clef « OpenPGP » (OpenPGP est le standard, GnuPG en est une implémentation). Je précise cela parce que les problèmes que tu soulèves sont en fait davantage lié au protocole plutôt qu’à une implémentation précise (tu aurais les mêmes problèmes si tu utilisais Symantec PGP).

    Là ça peut éventuellement être utile, bien que GPG soit très limité, puisqu'il faudra que la personne ait une clé GPG, ce qui est pratiquement jamais le cas.

    Oui, OpenPGP n’est utile que si les gens s’en servent. C’est le cas de tous les protocoles. (Pour info, j’ai plus de contacts qui utilisent OpenPGP que de contacts qui utilisent OTR — je n’en conclus pas pour autant qu’OTR ne sert à rien).

    Prends S/MIME par exemple, l’autre grand standard de chiffrement et signature des e-mails. Connaît-il un meilleur sort que OpenPGP ? Pas vraiment. Obtiens un certificat X.509, tu te poseras exactement les mêmes questions qu’avec ta clef OpenPGP. Tu ne trouveras pas plus de banques envoyant des messages signés par S/MIME que de banques envoyant des messages signés par OpenPGP.

    Là encore GPG me semble peu adapté.

    Tout-à-fait, et c’est un point sur lequel je tente d’insister dans les crypto- ou keysigning-parties. Trop de débutants se tournent vers GnuPG en pensant que ça va automagiquement protéger leur vie privée, alors que ① OpenPGP ne peut pas grand’chose contre l’analyse de traffic (« à qui il parle », ce qui est souvent plus intéressant que « qu’est-ce qu’il dit »), et ② l’utilisation même d’OpenPGP et surtout de la toile de confiance implique en fait de divulguer certaines informations.

    • [^] # Re: GnuPG != OpenPGP

      Posté par . Évalué à 3.

      Justement, je rebondis sur ta dernière phrase : dans quel cas GPG est l'outil idéal ? Il me semble que le cas d'utilisation est vraiment très restreint aujour'hui.

  • # et si free

    Posté par . Évalué à 4.

    a une époque pour convaincre free de nous mettre ipv6, j'eu signé une pétition en ligne étant prêt a payer pour avoir l'option :).

    pour GPG il faudrait qu'un gros FAI, ou je ne vois que free/ovh qui puisse le mettre en place, envoi tout son courrier électronique, facture, promotion etc … avec une signature GPG et sa clé public dispo sur son site. Libre a toi de vérifier ou pas le mail

    voir même un serveur de clé gpg.free.fr \o/

    Avec le spam, arnaque et autre cochonnerie qui proviennent soit disant de free, ca donnerait une grosse motivation pour le contrôle de l’authenticité du mail coté client.

    Rani si tu me lis …

    • [^] # Re: et si free

      Posté par . Évalué à 10.

      Tu veux dire un peu comme facebook est en train de faire pour ses notifications ? Ils proposent de signer les mails qu'ils envoient avec leur propre clé et de les encrypter avec la clé publique de l'utilisateur si celle si est renseignée sur leur profil.

      Je ne porte pas spécialement Facebook dans mon cœur, mais j'ai été plutôt agréablement surpris par cette approche. Pourquoi les banques et services publics n'en font pas autant ?

      C'est pas la panacée non plus: si on est assez distrait/inconscient/ignorant pour se faire avoir par du pishing, on ira probablement pas vérifier que le mail est correctement signé. Mais bon.

      • [^] # Re: et si free

        Posté par . Évalué à 3.

        Pourquoi les banques et services publics n'en font pas autant ?

        C'est toute ma question : est-ce que c'est parce que GPG ne sert pas à grand chose dans ce cas, où est-ce les banques qui raisonnent mal ?

        • [^] # Re: et si free

          Posté par (page perso) . Évalué à 10.

          où est-ce les banques qui raisonnent mal ?

          C’est surtout qu’apparemment, les banques traitent la sécurité informatique par-dessus la jambe…

          L’accès à mon compte Google, qui ne me sert guère qu’à télécharger une application sur le PlayStore tous les 36 du mois, est protégé par un système d’authentification à deux facteurs (mot de passe fort + code TOTP généré par un token). Pour l’accès IMAP au compte GMail associé (si je m’en servais), je peux générer un mot de passe spécifique utilisable seulement par un client mail désigné par moi.

          Mon compte Facebook, qui ne me sert guère qu’à voir des messages non-privés venant de quelques amis, pareil : mot de passe fort + code TOTP.

          Mon compte sur Framagit, où deux malheureux dépôts de code se battent en duel, pareil.

          Mon compte sur le site de ma banque, où se trouve mon argent : « protégé » par un unique « mot de passe » de 6 chiffres

          Les mails envoyés par Facebook ou Google sont systématiquement authentifiés par DKIM, l’expéditeur est validé par SPF, et le message transite à travers une connexion TLS entre les serveurs de Facebook ou Google et le mien (et comme déjà noté, Facebook chiffre aussi le mail lui-même avec OpenPGP).

          Les mails envoyés par ma banque, mon agence immobilière, mon assurance, etc, ? Pas de signature DKIM, pas d’enregistrement SPF, pas de TLS…

          • [^] # Re: et si free

            Posté par (page perso) . Évalué à 3. Dernière modification le 05/03/16 à 13:30.

            Mon compte sur le site de ma banque, où se trouve mon argent : « protégé » par un unique « mot de passe » de 6 chiffres …

            Mauvaise banque, changer de banque. La mienne, demande mot de passe + token ou alors carte d'identité (pin + certificat), uniquement pour avoir accès au compte. Pour un virement, c'est un mot de passe différent que celui de l’authentification. (par contre, pour l'application mobile, il me semble que c'est moins stricte, mais ce n'est pas activé d'office)

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: et si free

            Posté par . Évalué à 2.

            Pour être exact :

            je peux générer un mot de passe spécifique utilisable seulement par un client mail désigné par moi.

            Tu peux générer un mot de passe qui il me semble n'est propre à aucune application (il marche pour imap, pop, smtp, caldav, carddav etc) et qui marche depuis n'importe quel client

            Mon compte sur le site de ma banque, où se trouve mon argent : « protégé » par un unique « mot de passe » de 6 chiffres …

            Mauvaise banque…
            Cela dit, il se bloque probablement au bout de 3 essais faux, et il ne doit pas être possible de tranférer de l'argent vers un compte non déjà référencé dans l'interface sans action spécifique (envoi sms, courrier)

        • [^] # Re: et si free

          Posté par . Évalué à 3.

          est-ce les banques qui raisonnent mal ?

          ah bin non si les banques étaient des gros nuls en sécurité ça se saurait comme même :o

          splash!

          • [^] # Re: et si free

            Posté par . Évalué à 6.

            ⸮ ?

            • [^] # Re: et si free

              Posté par . Évalué à 3.

              re-bin non, si j'étais du jore à faire de l'ironie, ça se saurait comme même :o

              splash!

          • [^] # Re: et si free

            Posté par (page perso) . Évalué à 10.

            si les banques étaient des gros nuls en sécurité ça se saurait comme même

            Ben justement, ça se sait.
            Le porte monnaie électronique troué : tu te mets à côté d'une autre personne, et tu vides le porte monnaie de sa CB.
            L'affaire Serge Humpich : un mec tout seul dans son garage qui pête les CB, ça c'est de la méga sécurité.
            La quasi-nécessité pour les commerçants en ligne d'avoir un système anti-arnaque alors qu'ils sont réglés par CB.
            Bon ok je ne parle que de la CB car je ne connais pas bien le sujet. Mais rien qu'en n'y connaissant pas, ça fait déjà 3 bons gros exemples.
            Sinon il y a simplement le fait qu'en ayant un peu de charisme il soit facile d'ouvrir un compte au nom de n'importe qui.

            La seule chose qui sauve les banques est qu'elles sont très protégées par les gouvernements (par exemple lorsqu'elles font absolument n'importe quoi avec ton fric, ton propre gouvernement t'impose d'éponger), et que si quoi que se soit arrive, ce n'est jamais de la faute de la banque.

            • [^] # Re: et si free

              Posté par . Évalué à 2. Dernière modification le 07/03/16 à 11:25.

              L'affaire Serge Humpich : un mec tout seul dans son garage qui pête les CB, ça c'est de la méga sécurité.

              Je suis agréablement surpris de voir que je ne suis le seul à m'en rappeler. J'ajouterai juste un point qui me semble important et qui m’a toujours choqué: même avec la meilleure volonté de montrer la faille CB, même avec un huissier comme preuve de bonne foi (ie : "je n'ai pas l'intention de cracker"), il à néanmoins été bien jugé et emprisonné par GIE bancaire.

              J'ajouterai d'ailleurs que non seulement les banques sont des arrivistes en sécurité, dans le sens où certificats, mots de passe, email avec accès sécurisés ne viennent d'arriver que quelques années à peine (4 ans pour ma banque). Mais en plus, je rigole toujours de voir (les plantages) Windows sur les distributeurs automatiques. A chacun ses priorités donc.

              ton propre gouvernement t'impose d'éponger

              Oh t'exagère, nous sommes en démocratie quand même ! non ? démocrature ? ah oui….

              • [^] # Re: et si free

                Posté par (page perso) . Évalué à -2. Dernière modification le 07/03/16 à 14:43.

                il à néanmoins été bien jugé et emprisonné par GIE bancaire.

                C'est beau comme on peut fantasmer…

                1/ Le peuple (par le biais de l'Etat) l'a jugé, sur la base de la loi (qu'il a violé, même de "bonne foi"). Pas le GUI bancaire (qui a porté plainte, rien à voir avec juger ni emprisonner)
                2/ Vu qu'il a eu 10 mois avec sursis, je vois mal comment il a pu être emprisonné (rappels : sursis = rien si tu ne recommences pas, et 10 mois = peine aménageable, ça fait deux trucs qui rendent l'emprisonnement pas crédible)
                3/ le GIE bancaire, c'est quoi? Perso, je connais le GIE des cartes bancaires.

                Note : oui, c'était délirant que le GIE des CB porte plainte vu que c'était bien de bonne foi et public, mais ça ne rend pas plus acceptable la falsification de l'histoire telle que DL le fait. DL ne vaut pas mieux que le GIE des CB sur l'honnêteté intellectuelle.

                Oh t'exagère, nous sommes en démocratie quand même ! non ? démocrature ? ah oui….

                On peut dire pareil sur la falsification de l'histoire de la part de Kerro (vu que l'Etat s'est fait une tonne de fric, oui du positif, en venant au secours des banques lors de la crise financière de 2008, car les prêts ont été fait à plus cher que ce que l'Etat payait lui-même et donc ça a aidé les finances de l'Etat, par exemple dans ce qu'on oublie de dire quand on parle d'éponger, alors perso je suis prêt à éponger tes dettes si ça revient à gagner du fric dessus ce n'est pas mal, alors certes il y a certes l'affaire Crédit Lyoonais, mais c'est le propriétaire qui a pris mal… Oui, l'Etat était le proprio, donc le "n'importe quoi" a été non contrôlé par celui qui devait contrôler, il a payé normal, il devait contrôler et il ne l'a pas fait).

                Bref, on est dans le populisme complet, où la vérité n'est pas la bien venue, où les gens ne veulent que pouvoir cracher leur venin sur "le système" (soyons bien informe, un truc pas précis, pour qu'il n'y ait pas trop de réaction et qu'on n’affronte pas les faits) sans réfléchir bien loin, snif snif monde bien triste.

                Vaut mieux en rire (et surtout ne pas "soutenir" ce genre d'idée, disons que ce genre de discours milite pour que "le système" reste en place, avec une telle "critique" on convainc surtout qu'il ne faut pas changer).

                • [^] # Re: Page de publicité

                  Posté par . Évalué à 6. Dernière modification le 07/03/16 à 18:24.

                  Vous

                  Vous ! oui vous qui ne savez pas comment occuper les conversations inutilement, vous qui souhaitez occuper le centre du sujet coute que coute, qui voulez provoquer quitte à être ridiculement dans le faux, ou quand vous retenez un propos fallacieux et vous êtes trop gêné pour avoir réponse à tout même quand vous avez tort.

                  Ne cherchez plus : dorénavant utilisez le Zenitron

                  En effet, l'avancée de la recherche est telle que maintenant nous avons pu mixer et améliorer les technologies du passé:
                  - le pipotron
                  - Le Jeanclaudotron
                  - l'insultron
                  - LE générateur de langue de bois

                  Avec le Zenitron vous aurez la garantie d'avoir, et ce de façon systématique :

                  • une logorrhée sans fin avec niveau d'exaspération réglable
                  • une volonté de penser de tringle à rideaux
                  • les phrases générées sont 100% garanties avec au minimum des morceaux de : "populisme","xénophobie","racisme","généralité"
                  • provocation gratuite, voire "troll" le Vendredi (jour non garanti) ou accusation, "finger pointing" en jargon technique 2.0
                  • un nombre record de moinssages dans tous les forums et journaux
                  • l'auto-suffisance est disponible en option

                  Technologies 2.0
                  Basé sur des algorithmes issus d'assemblages finement sélectionnés à partir :
                  - de réseaux bayésiens et de réseaux de neurones utilisant des modèles psychorigides (à fortes contraintes d'évolution et faible rétro-popagation d'erreurs)
                  - des restes d'IA de chercheurs de laboratoires en manque de budget

                  "Le Zenitron, un bonheur pour les débats télévisés chez Ruquier ou au bistrot chez gégé"

                  Avec le Zenitron vous pourrez maintenant dire : avant j'avais un avis sur tout, maintenant j'ai surtout un avis

                  Le Zénitron est subventioné par le groupement RMP, "Recherche pour le Mouvement Perpetuel" et l'association des démagnétiseurs de clous rouillés de Pontault-Combault.

                  Témoignages

                  Ils l'ont testé pour vous, ils témoignent :

                  "Génialoïde ! d'envergure galactique. Même nous on n'à pas osé le faire"
                  Igor & Grichka Bogdanoff

                  "Avec le Zenitron mes phrases c'est comme le papier WC de Chuck Norris : ça n'a pas de fin. Chuck Norris n'est jamais au bout du rouleau."
                  Chuck Norris

                  "non mais carrément quoi!, c'est hyper-swag quoi! LOL"
                  Nabila

                  "Ah non attention, [il soupire] meme si on «frime» comme on appelle ça en France, on vit dans une réalité qu'on a créée et que j'appelle illusion et cette officialité peut vraiment retarder ce qui devrait devenir... Et là, vraiment, j'essaie de tout coeur de donner la plus belle réponse de la terre!"
                  Jean CLaude Van Damme

                  "celui-la je ne l'avais pas vu venir, et pourtant j'aurais tant aimé l'utiliser quand Voici m'a proposé une interview"
                  Paco Rabanne

                  "Avant moi il y à eut Dieu, Jesus et les extraterrestres. Nous dans ma grande bonté je dispense toujours mes discours avec le Zenitron"
                  Raël (Sa sainteté)

                  "référnce ultime pour une personallité illustre"
                  Picsou magazine

                  Attention : ce produit est fortement déconseillé aux personnes estimant qu'une discussion est basée sur l'échange d'argumentations et peut à l'usage créer des troubles du cerveau
                  ```

                  • [^] # Re: Page de publicité

                    Posté par (page perso) . Évalué à -6. Dernière modification le 08/03/16 à 07:23.

                    DLotron (appelé aussi Polpulismotron) : prend un fait réel qui ne te convient pas mais peut être une bonne source de populisme si adapte le (par exemple un juge représentant l'Etat voit qu'un loi a été violée, il n'a pas le choix il doit condamner sinon il ne ferait pas son taf, mais il voit la bonne foi donc condamne à du sursis donc pas d'emprisonnement), adapte-le (par exemple le juge est remplacé par une méchante entreprise, une loi appliquée remplacée par le "bon sens", la bonne foi vue est remplacée par un emprisonnement), et réfute tout populisme tout en attaquant la personne te faisant remarquer ton populisme (surtout, ne fait pas ton mea-culpa, et ne démontre pas que tu as dit la vérité).

                    Après, je comprend que tu fasses ça, ça plait de trafiquer les faits pour plaire, c'est plus facile que de regarder les faits en face (la base du populisme donc), je constate avec tristesse la populisme et le fait que les gens n'ont rien à foutre de la vérité ni de la justice, il veulent leur vérité et leur justice uniquement. Sans doute que je grandis.

      • [^] # Re: et si free

        Posté par . Évalué à 2.

        oui tout a fait

        mais je n'ai pas facebook :), même pas un petit compte …

        mais l'idée est là, avec notre bougie il est est difficile d'eclairer une ville, avec un gros FAI c'est plus facile :).

        une fois la possibilité de le faire sur 2, 3 GROS fai cela me permet de le configurer chez michu, tiens regarde la signature est valide tu peux avoir confiance au mail.

        Bon aprés avoir expliquer pdt 5 ans l'interet d'avoir https dans le navigateur (pour faire cour) avec l'icone qui va bien, je suis pret a repartir avec GPG pendant 10 ans !!

    • [^] # Re: et si free

      Posté par (page perso) . Évalué à 2. Dernière modification le 04/03/16 à 23:29.

      EDIT: doublon

  • # Pas obsolete du tout

    Posté par . Évalué à 5.

    J'ai besoin de transmettre une données confidentielle à quelqu'un : mot de passe, relevé de compte bancaire, données sensible, etc.
    Dans ce cas, il vaudra probablement mieux utiliser un chiffrement « jetable », type Off-the-Record_Messaging, ou un conteneur chiffré.

    OTR c'est plutot pour de la messagerie instantannée. Et un conteneur chiffré, je sais pas exactement de quoi tu parles, mais il faut sans doute réussir à transmettre un mot de passe à la personne qui va le recevoir. Quand on sait s'en servir, gpg n'est pas très compliqué à utiliser. Il y a certaines personnes avec qui je ne communique qu'avec gpg, sans y faire attention.

    Typiquement ça pourrait être un outil efficace contre le pishing, mais bizarrement aucune grosse entité ne l'as mis en place.

    Facebook l'a mis en place. On peut meme leur demander de chiffrer les mails de notification, si on leur fourni une clef.

    Mais il est vrai que c'est plutot rare. Peu etre par ce trop peu de monde utilise gpg pour que ca vaille le coup. Et peu de monde utilise gpg car peu d'entités l'ont mis en place.

    Il faudrait que plus de monde fasse comme facebook …

    GPG est un bel outil, mais dans le monde d'aujourd'hui il me semble que les cas d'utilisation sont très réduit… l'outil devient obsolète.
    Qu'en pensez-vous ? Pouvez-vous trouver des cas pertinent où GPG aurait un intérêt très fort ?

    Non ca n'est pas un outil obsolète. En tout cas, pour beaucoup de chose, il n'a pas de remplacant.

    Peu de monde l'utilise pour communiquer par mail, par ce que c'est un peu compliqué, et il y a sans doute des choses à améliorer pour le rendre plus utilisable et utilisé. Mais dans d'autres domaines il est deja largement utilisé. Par exemple la plupars des distributions Linux l'utilisent pour verifier l'authenticité des paquets téléchargés.

    • [^] # Re: Pas obsolete du tout

      Posté par . Évalué à 0.

      Quand on sait s'en servir, gpg n'est pas très compliqué à utiliser. Il y a certaines personnes avec qui je ne communique qu'avec gpg, sans y faire attention.

      Bel rhétorique, beaucoup de chose sont simple lorsqu'on sait s'en servir ;-) En attendant, apprendre à s'en servir est très compliqué pour la majorité des gens, et donc très très peu de gens l'utilisent, même parmis ceux à qui l'outil pourrait être utile : banques, journalistes, etc.

      Donc je me pose des questions : dans quel cas GPG est un outil pertinent ? Tu cites la signature de paquets, effectivement.

      Tu parles de chiffrement d'email, mais tu cherches à te protéger de quoi en chiffrant tes emails avec GPG ?

      • [^] # Re: Pas obsolete du tout

        Posté par (page perso) . Évalué à 4.

        tu cherches à te protéger de quoi en chiffrant tes emails avec GPG ?

        Tu cherches à te protéger de quoi en mettant ton courrier dans des enveloppes ? Pourquoi ne pas utiliser des cartes postales ?

        Ce n’est pas parce que je n’ai rien à cacher que je dois tout faire au grand jour.

        • [^] # Re: Pas obsolete du tout

          Posté par . Évalué à -1.

          Perso j'utilise des enveloppes pour que le contenu ne soit pas abîmé, par la pluie ou autre, rien de plus… Est-ce pareil pour toi ? Répondre à des questions par des questions c'est bien, mais je ne suis pas devin…

          Mais la comparaison avec le courrier à des limites à mon avis. L'utilisation d'une enveloppe est nettement plus simple : le système est facilement compréhensible par rapport à GPG, et je ne demande pas à mon correspondant un échange de clé, ni ne l'oblige à avoir un ouvreur d'enveloppe chez lui…

          Enfin l'enveloppe n'apporte que très peu au niveau sécurité, puisque c'est ouvrable relativement facilement et discrètement. Donc pas grand chose à voir avec GPG au final… non ?

      • [^] # Re: Pas obsolete du tout

        Posté par . Évalué à 3.

        Tu parles de chiffrement d'email, mais tu cherches à te protéger de quoi en chiffrant tes emails avec GPG ?

        Ben proteger le contenu des mails, eviter que quelqu'un d'autre que le destinataire y ait accès.

        Mais sinon tu proposes quoi pour remplacer gpg pour chiffrer les mails ?
        gpg n'est pas parfait, c'est compliqué et y a encore du travail pour ameliorer l'interface, mais je connais rien de plus efficace et utilisable pour le remplacer à l'heure actuelle.

        • [^] # Re: Pas obsolete du tout

          Posté par . Évalué à 1.

          Comme je l'ai dit dans le journal, il me semble qu'une messagerie instantanée + OTR, ou bien un conteneur chiffré (TrueCrypt, Luks, etc.) sont plus pertinents que email + GPG pour transmettre des informations confidentielles : les méta-données sont plus facile à contrôler, et je bénéficie d'une confidentialité persistante (forward secrecy), et c'est plus simple à mettre en place avec des néophytes.

          Pour une organisation (entreprise, association, etc.), il y a aussi une autre solution : utiliser un serveur email de confiance. En effet, si mon serveur est sous contrôle, et qu'il est correctement sécurisé (TLS, etc.), il me semble que le secret de la correspondance est bien assuré, d'un point de vue de l'organisation.

          Par comparaison, chiffres-tu le contenu de ton courrier postal ? C'est une situation similaire.

          • [^] # Re: Pas obsolete du tout

            Posté par . Évalué à 2.

            J'utilise xmpp+otr, mon disque est chiffré avec Luks, mais tout ca n'a rien à voir avec gpg que j'utilise aussi pour échanger des mails.

            Le forward secrecy c'est bien, mais pas quand on veut pouvoir acceder à ses mails dans plusieurs années. Et d'ailleurs ton "conteneur chiffré" il n'est pas forward secret non plus. Pour les méta-données, OTR ne les protège pas plus que gpg, et le conteneur chiffré ca n'est pas un moyen de communication donc je vois pas ce que les metadonnées viennent faire la. Si tu décides d'envoyer un conteneur chiffré par mail les metadonnées sont autant la qu'avec gpg.

            Pour une organisation (entreprise, association, etc.), il y a aussi une autre solution : utiliser un serveur email de confiance. En effet, si mon serveur est sous contrôle, et qu'il est correctement sécurisé (TLS, etc.), il me semble que le secret de la correspondance est bien assuré, d'un point de vue de l'organisation.

            Ca n'est pas la meme chose. Un serveur de confiance ca implique d'avoir confiance dans l'admin du serveur et les gens du datacenter dans lequel se trouve le serveur. Et puis un serveur online 24h/24 ca se pirate. Une clef gpg ca peut se mettre sur une yubikey.

            Par comparaison, chiffres-tu le contenu de ton courrier postal ? C'est une situation similaire.

            Non c'est pas similaire. Pour chiffrer un mail j'ai juste à appuyer sur une touche. Pour le courrier postal je ne connais pas de standard de chiffrement rapide à utiliser et accepté par des gens avec qui je communique.

  • # Intégration de gpg

    Posté par (page perso) . Évalué à 3.

    Dans mon association j'ai fait une initiation à GPG, et j'ai été bloqué pour le chiffrement des fichiers. La ligne de commande fonctionne bien sûr, mais pour que tout le monde puisse l'utiliser, une meilleure intégration dans les interfaces graphiques serait bienvenue.

    Dans Ubuntu et Debian Gnome, il y a bien un plugin pour Nautilus (seahorse). Mais lors de tests avec Linux Mint Cinnamon et Mate, il n'y a rien de disponible. Pareil pour Debian avec Cinnamon, que j'utilise actuellement.

    L'application gpa est à mon goût trop contraignante, et buguée (messages d'erreurs fréquents…). Quelle solution reste-t-il alors pour que tout le monde puisse accéder au chiffrement GPG en graphique?

    • [^] # Re: Intégration de gpg

      Posté par . Évalué à 1. Dernière modification le 05/03/16 à 18:22.

      Quelle solution reste-t-il alors pour que tout le monde puisse accéder au chiffrement GPG en graphique?

      Je cherchais aussi un "GPG GUI", mais apparemment, il n'y en as pas beaucoup dans le monde Linux.

      Celui que je préfère : gpg4usb, un peu vieillotte mais l'interface est très simple d'utilisation ( voir capture ). À la base conçu pour être portable avec gpg v1, à l'aide de liens, on peux le forcer à utiliser les clés système et gpg v2 ;)

      Sinon, il y a le petite nouveau Pyrite , mais que je trouve moins simple à prendre en main.

      • [^] # Re: Intégration de gpg

        Posté par (page perso) . Évalué à 0.

        gpg4usb est le genre de logiciel que je cherche. J'ai téléchargé, il faut que je teste davantage. Dommage qu'ils ne l'incluent pas dans les dépôts, un logiciel comme ça devrait être mis à jour automatiquement.
        Pour utiliser gpg2, je suppose qu'il faut faire pointer pg4usb/bin/gpg vers la bonne bibliothèque? Ça ne pose pas d'autre souci?

        • [^] # Re: Intégration de gpg

          Posté par . Évalué à 0.

          L’application a été prévu pour gpg1 , mais personnellement je n'ai pas rencontré de problèmes vu que gpg2 est rétrocompatible ( plus de details dans cet article ).

          Oui c'est ça, faire pointer "pgp4usb/bin/gpg" vers "/usr/bin/gpg2".

          Tu peux aussi "pgp4usb/keydb/" vers "~/.gnupg/", cela te permettra d'utiliser gpg globalement avec d'autres logiciels.

    • [^] # Re: Intégration de gpg

      Posté par (page perso) . Évalué à 10.

      S’il s’agit uniquement de chiffrer des fichiers depuis un gestionnaire de fichiers, ça peut se faire très facilement avec le standard (proposé) DES-EMA.

      Chez moi, j’ai les fichiers suivants dans $XDG_DATA_HOME/file-managers/actions :

      • decrypt.desktop:
      [Desktop Entry]
      Name = Decrypt
      Name[fr] = Déchiffrer
      Tooltip = Decrypt the file with GnuPG
      Tooltip[fr] = Déchiffrer le fichier avec GnuPG
      Profiles = on_pgp_file
      
      [X-Action-Profile on_pgp_file]
      Name = Decrypt
      MimeTypes = application/pgp;
      SelectionCount = 1
      Exec = gpg2 --decrypt %f
      
      • encrypt.desktop:
      [Desktop Entry]
      Name = Encrypt
      Name[fr] = Chiffrer
      Tooltip = Encrypt the file with GnuPG
      Tooltip[fr] = Chiffrer le fichier avec GnuPG
      Profiles = on_file
      
      [X-Action-Profile on_file]
      Name = Encrypt
      MimeTypes = all/allfiles
      SelectionCount = 1
      Exec = gpg2 --armor --encrypt %f
      
      • sign.desktop:
      [Desktop Entry]
      Name = Sign
      Name[fr] = Signer
      Tooltip = Sign the file with GnuPG
      Tooltip[fr] = Signer le fichier avec GnuPG
      Profiles = on_file
      
      [X-Action-Profile on_file]
      Name = Encrypt
      MimeTypes = all/allfiles
      SelectionCount = 1
      Exec = gpg2 --armor --detach-sign %f
      

      Ce qui ajoute automatiquement les commandes Encrypt, Decrypt, et Sign dans le menu contextuel de tous les gestionnaires de fichier compatibles.

      Quelle solution reste-t-il alors pour que tout le monde puisse accéder au chiffrement GPG en graphique?

      La même solution que celle que je viens de présenter, mais mise en place par défaut par les distributions ?

      • [^] # Re: Intégration de gpg

        Posté par (page perso) . Évalué à 3.

        Hum, en fait j’ai ajouté ces custom actions sans les avoir jamais réellement utilisées (parce que je n’utilise quasiment jamais de gestionnaire de fichiers…), et je me rends compte qu’elles ne sont pas tout-à-fait au point, mea culpa.

        Dans le fichier decrypt.desktop, le type MIME permettant d’identifier les fichiers chiffrés est apparemment application/pgp-encrypted, et non application/pgp.

        Ensuite, il serait intéressant de n’afficher la commande de chiffrement que sur les fichiers qui ne sont pas déjà chiffrés, plutôt que sur tous les fichiers. D’après la spécification DES-EMA, il devrait être possible de faire quelque chose comme ça :

        # Activer sur tous les types de fichier,
        # *sauf* les fichiers déjà chiffrés
        MimeTypes = all/allfiles; !application/pgp-encrypted;
        

        … mais ça n’a pas l’air de fonctionner avec PCManFM qui affiche la commande sur tous les fichiers, même ceux dont le type MIME est application/pgp-encrypted.

        Looks like a bug to me, parce que la spec dit bien :

        Mimetypes may be negated (e.g. "audio/*; !audio/mpeg;").

        Contournement (sale) possible :

        ShowIfTrue = file --mime-type %f | grep -v -q application/pgp && echo true
        

        (Oui, file renvoie application/pgp et non application/pgp-encrypted, ne me demandez pas pourquoi…)

  • # Exemple de cas d'utilisation réel : emails

    Posté par . Évalué à 1.

    Un exemple de cas d'utilisation de GPG est le suivant.

    Plusieurs entreprises industrielles échangent des emails dont le contenu doit rester confidentiel. L'usage de GPG permet de préserver cette confidentialité face aux attaques suivantes :

    • écoute des échanges d'email
    • accès au cloud de l'hébergeur d'email (avec IMAP les emails restent sur le serveur)

    Pour illustrer mon propos, beaucoup d'entreprises utilisent les services de Microsoft pour l'hébergement des emails. Si la NSA peut accéder à la base de données de Microsoft, alors elle peut faire bénéficier les entreprises US concurrentes d'informations privilégiées (sauf si les emails sont chiffrés).

    • [^] # Re: Exemple de cas d'utilisation réel : emails

      Posté par (page perso) . Évalué à 3.

      C’est un cas d’utilisation réel ça, ou un cas d’utilisation que tu imagines ?

      Dans les cas réels, moi je citerais plutôt les échanges :

      • entre un journaliste et sa source (p. ex. entre Edouard Snowden et Glenn Greenwald et Laura Poitras) ;
      • entre un avocat et son client (lire par exemple l’appel aux armes de Maître Eolas (vers la fin du billet)) ;
      • entre un développeur et quelqu’un qui lui rapporte une vulnérabilité exploitable dans son logiciel.
      • [^] # Re: Exemple de cas d'utilisation réel : emails

        Posté par . Évalué à 1.

        C’est un cas d’utilisation réel ça, ou un cas d’utilisation que tu imagines ?

        C'est un cas réel.
        Des milliers d'entreprises industrielles ont des besoins de confidentialité des emails. Certaines que je connais utilisent GPG.

        • [^] # Re: Exemple de cas d'utilisation réel : emails

          Posté par (page perso) . Évalué à -9.

          Ha le fantasme des milliers d'entreprises qui seraient une cible de la NSA qui serait main dans la main avec des milliers d'entreprises US concurrentes et pour lesquels un mail serait utile…
          Avec comme solution évidente de se faire chier avec GPG et la sécurité de sa clé plutôt que de prendre un hébergeur de mail Européen.

          Qu'il y ait des entreprises "sensibles" (et uniquement certaines personnes de cette entreprise) qui aient besoin de confidentialité, je n'en doute pas, mais parler de "milliers" et parler de GPG pour contrer ça (alors que GPG laisse des metas importantes comme la date, l'expéditeur et le destinataire en clair, et surtout il suffit de choper la clé une seule fois et tout est en clair, faute de Forward Secrecy), on part dans l'humour.

          • [^] # Re: Exemple de cas d'utilisation réel : emails

            Posté par (page perso) . Évalué à 4.

            plutôt que de prendre un hébergeur de mail Européen

            Nos « amis les américains » ont probablement accès à ce genre de chose.
            Ils écoutent le téléphone de n'importe qui, alors les emails…

          • [^] # Re: Exemple de cas d'utilisation réel : emails

            Posté par . Évalué à 9. Dernière modification le 06/03/16 à 18:52.

            Le fantasme c’est surtout de croire que le seul scénario d’attaque envisageable c’est la NSA, et prétendre que si on est pas une cible de la NSA on a pas besoin de sécurité.

            Pour moi le scénario n°1 en sécurité, en terme d’impact, c’est mitiger les « oups ». « Oups, après remplacement notre ancien serveur de backup a été revendu/recyclé/refilé sans que les données aient été effacées ». « Oups la règle qui fermait SSH sur le serveur de prod a sauté, et on y a pas mis de fail2ban ». « Oups le stagiaire de la DSI a ouvert un mail vérolé… sur la session admin ».

          • [^] # Re: Exemple de cas d'utilisation réel : emails

            Posté par . Évalué à 7.

            Ouais ok, gpg protège pas les meta données et est pas forward secret, donc il faut tout envoyer en clair, bien sur.

            Toi t'es du genre à dire qu'il faut pas mettre la ceinture en voiture par ce que dans certains cas ca n'evite pas les accidents mortels ?

            • [^] # Re: Exemple de cas d'utilisation réel : emails

              Posté par . Évalué à -1.

              Ne pas utiliser GPG ne veut pas dire être tout nu sur internet.

              D'ailleurs beaucoup d'organisation sensible ont des contraintes sur l'hébergement de leur données, sur la sécurisation de leurs serveurs, sur l'utilisation de chiffrements reconnus, etc.

              Bref, il n'y a pas forcément besoin de GPG pour chiffrer ses données.

              • [^] # Re: Exemple de cas d'utilisation réel : emails

                Posté par . Évalué à 2.

                Et pour rendre confidentiel l'échange d'emails, quelles alternatives meilleures que GPG existent ?
                Les emails, c'est l'exemple typique d'échange entre deux organisations qui n'ont pas d'autre moyen simple pour échanger des informations.

                • [^] # Re: Exemple de cas d'utilisation réel : emails

                  Posté par . Évalué à 2.

                  OK j'ai du mal à exprimer mon idée on dirait :

                  Au lieu de focaliser sur l'outil (email+gpg), j'aimerais m'intéresser aux usages. Quand tu transmets un email chiffré, ça correspondant à quel besoin derrière ? envoyer un document confidentiel ? avoir un échange sur un sujet confidentiel ? Avoir une preuve très forte que mon interlocuteur est le bon ? C'est ça que j'ai du mal à voir, parce que pour les usages que je vois, l'outils email+gpg est pas terrible face à la concurrence.

                  Par exemple pour envoyer des données confidentielles entre deux entreprises, il me semble bien plus facile et efficace d'utiliser un conteneur TrueCrypt, déposé sur le Cloud de la société plutôt que d'utiliser GPG. Mais ça n'est que mon avis, basé sur mon expérience.

                  • [^] # Re: Exemple de cas d'utilisation réel : emails

                    Posté par (page perso) . Évalué à 5.

                    Quand tu transmets un email chiffré, ça correspondant à quel besoin derrière ? envoyer un document confidentiel ? avoir un échange sur un sujet confidentiel ?

                    Ça correspond au besoin d’avoir une conversation privée, tout bêtement.

                    Ça n’a pas besoin d’être confidentiel, sensible, illégal, secret-défense, for-your-eyes-only ou je ne sais quoi. Simplement, le détail de ce que je raconte dans un mail chiffré ne te regarde pas (ni toi ni personne d’autre), c’est pour ça que je le chiffre.

                    Quant aux signatures (en pratique je signe beaucoup plus souvent que je ne chiffre, mes correspondants ayant une clef OpenPGP n’étant pas nombreux — même s’il y a des progrès de ce côté), je les utilise dans le même sens qu’une signature manuscrite : pour assumer la responsabilité de ce que j’ai écrit.

                  • [^] # Re: Exemple de cas d'utilisation réel : emails

                    Posté par . Évalué à 2.

                    Au lieu de focaliser sur l'outil (email+gpg), j'aimerais m'intéresser aux usages. Quand tu transmets un email chiffré, ça correspondant à quel besoin derrière ?

                    Au meme besoin que des mails classiques, mais en gardant le contenu confidentiel.

                    Par exemple pour envoyer des données confidentielles entre deux entreprises, il me semble bien plus facile et efficace d'utiliser un conteneur TrueCrypt, déposé sur le Cloud de la société plutôt que d'utiliser GPG. Mais ça n'est que mon avis, basé sur mon expérience.

                    Et le mot de passe TrueCrypt tu le transmets comment ? Dans un mail chiffré avec gpg ?

                    • [^] # Re: Exemple de cas d'utilisation réel : emails

                      Posté par . Évalué à 1.

                      Au meme besoin que des mails classiques, mais en gardant le contenu confidentiel.

                      C'est sympa de ne pas répondre à la question. On dirait du le Foll tiens. Bref.

                      Et le mot de passe TrueCrypt tu le transmets comment ? Dans un mail chiffré avec gpg ?

                      Je dirais si tu veux faire ça bien , tu fais comme pour GPG : il faudra une rencontre physique, pour transmettre le mot de passe, ou signer ta clé. Avec GPG tu peux esquiver le truc avec le réseau de confiance, avec TrueCrypt c'est par l'organisation interne de l'organisation.

                  • [^] # Re: Exemple de cas d'utilisation réel : emails

                    Posté par . Évalué à 2.

                    Quand tu transmets un email chiffré, ça correspondant à quel besoin derrière ?
                    envoyer un document confidentiel ? avoir un échange sur un sujet confidentiel ?

                    Oui c'est ça : envoyer des documents, poser des questions, demander un devis, donner des réponses (tout cela de manière confidentielle).

                    il me semble bien plus facile et efficace d'utiliser un conteneur TrueCrypt, déposé sur le Cloud de la société

                    Mais quand la PME n'a pas de cloud ? ou que la personne d'un service lamba d'une entreprise du CAC40 n'a pas accès à un cloud dédié à ce genre d'usage ?
                    GPG me semble plus facile à mettre en oeuvre, notamment pour des échanges qui s'étendent sur quelques mois seulement, ou qui se résument à une dizaine d'emails.

              • [^] # Re: Exemple de cas d'utilisation réel : emails

                Posté par . Évalué à 3.

                Bref, il n'y a pas forcément besoin de GPG pour chiffrer ses données.

                Je ne crois pas avoir lu quelqu'un écrire ici que gpg était la seule solution pour chiffrer des données.

  • # pass

    Posté par . Évalué à 1.

    Je me sert de GPG avec pass (gestionnaire de mot de passe en ligne de commande utilisant GPG). Ça permet de scripter des interventions (genre récupérer ses courriels) de façon transparente. Tant que ma Smartcard est insérée, mes courriels sont récupérés tous les 10 minutes sans que j'ai à entrer de mot de passe (sauf au début) et sans que mes mots de passe soient stockés en clair dans mes scripts.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.