Journal Google détient-il vos emails

Posté par . Licence CC by-sa
31
13
mai
2014

Je suis tombé sur article intéressant (en anglais) :
http://mako.cc/copyrighteous/google-has-most-of-my-email-because-it-has-all-of-yours#comment-18319

Comme beaucoup d'entre-nous, il fait attention à sa vie privée, en s'auto-hébergant et en utilisant GPG. Il a fait un petit script (en python+R, pour avoir des jolis graph) pour savoir quelle proportion d'emails à lui google possède, malgré toute son attention (oui, il a des amis). Google possède un tiers de ses emails, et la moitié des emails avec une réponse !

Pour ma part Google possède 25% de mes emails, et 75% des emails avec réponses… quel sera votre score ?

  • # Et oui...

    Posté par (page perso) . Évalué à 3.

    De toute façon, sans chiffrement, croire que l'auto hébergement protège la vie privée est juste stupide, les mails transitent en clair sur le net à un moment donné.

    NB: je m'auto héberge ;)

    • [^] # Re: Et oui...

      Posté par . Évalué à 2.

      Si les deux serveurs d'emails communiquent via TLS et que tu te connectes à ton webmail via https (ou un IMAP SSL/TLS), ce n'est pas chiffré de bout en bout ?

      J'ai d'ailleurs utilisé smtpd_tls_received_header sur mon postfix pour voir en pratique comme cela se passait.

      Je ne connais pas bien le protocole, donc je ne suis pas sûr.

      • [^] # Re: Et oui...

        Posté par (page perso) . Évalué à 1.

        Si les deux serveurs d'emails communiquent via TLS

        Ceci n'est le cas que lorsque tu configures les deux serveurs pour le faire, non?

        • [^] # Re: Et oui...

          Posté par . Évalué à 2. Dernière modification le 13/05/14 à 13:59.

          Oui c'est pour ça que j'ai mis le qualificatif "si" et pas juste "Les deux serveurs échangeant via TLS". Je suis conscient que certains serveurs n'acceptent pas TLS.

          Il me semble que tu peux avec Postfix obliger la connexion TLS, mais du coup certains emails ne vont pas pouvoir être délivrés.
          Dans tous les cas, il semblerait que la plupart des serveurs d'emails populaires (Gmail, Hotmail et autres) acceptent la connexion par TLS.

          Bon ce n'est pas l'idéal mais on peut dire qu'en pratique, pour un usage perso, la communication devrait être chiffrée de bout en bout pour une grande proportion d'emails non ?

      • [^] # Re: Et oui...

        Posté par (page perso) . Évalué à 5.

        Si les deux serveurs d'emails communiquent via TLS et que tu te connectes à ton webmail via https (ou un IMAP SSL/TLS), ce n'est pas chiffré de bout en bout ?

        Pas de bout en bout, non. Dans le meilleurs des cas, si tu te connectes en à ton serveur d’envoi via TLS, que ledit serveur et le serveur de ton correspondant supportent tous deux TLS, et que ton correspondant se connecte à son serveur de réception via TLS, alors le message est chiffré sur chaque portion du trajet, mais il est toujours en clair sur les serveurs d’envoi et de réception. Ça protège le message contre la plupart des yeux indiscrets, sauf ceux des deux fournisseurs de service de messagerie impliqués (le tien et celui de ton correspondant) — ce qui est déjà mieux que rien, évidemment.

        Pour du vrai chiffrement « de bout en bout », où même les intermédiaires chargés de transporter le message sont tenus à l’écart, il faut chiffrer le message lui-même (via S/MIME ou OpenPGP), et non le canal de communication.

        • [^] # Re: Et oui...

          Posté par . Évalué à 8. Dernière modification le 13/05/14 à 14:26.

          Je répondais au message :

          les mails transitent en clair sur le net à un moment donné

          Donc c'était surtout le transit qui était le sujet. Bien évidemment si le fournisseur d'email ne protège pas son serveur correctement, tout est accessible.

          Du coup mon question reste en suspens : le commentaire de gnumdk est-il pertinent ?

          Ou dit autrement, si mon correspondant est auto-hébergé et que je suis auto-hébergé avec nos deux serveurs d'emails bien configurés, on est bien dans une situation où l'auto-hébergement protège la vie privée non ?

          Ou bien est-ce qu'il y a quelque chose qui m'échappe ?

          P.S. : si chaque individu attend que tout le reste du monde change avant de changer, ça ne risque pas de changer très vite effectivement.

          • [^] # Re: Et oui...

            Posté par . Évalué à 4.

            Je répondais au message :

            les mails transitent en clair sur le net à un moment donné

            Oui mais tu répond en parlant de « bout en bout ».

            Ou bien est-ce qu'il y a quelque chose qui m'échappe ?

            Non.

            Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

          • [^] # Re: Et oui...

            Posté par (page perso) . Évalué à 2.

            Ou dit autrement, si mon correspondant est auto-hébergé et que je suis auto-hébergé avec nos deux serveurs d'emails bien configurés, on est bien dans une situation où l'auto-hébergement protège la vie privée non ?

            Là d’accord. Mais tu choisis des prémisses plutôt favorables, quand même. ;)

            Mon courrier est auto-hébergé, et d’autres auto-hébergés, je n’en connais pas des masses parmi mes correspondants. J’en connais un seul, en fait, et détail amusant, c’est aussi le seul que je connaisse qui utilise OpenPGP (ce qui n’est sûrement pas une coïncidence d’ailleurs…) — du coup, le fait que nous soyons tous deux auto-hébergés ne sert en fait à rien question protection de la vie privée, puisque nos messages sont chiffrés de bout en bout de toute façon.

            le commentaire de gnumdk est-il pertinent ?

            À mon sens, oui, même si je ne serais pas aussi catégorique. Les mails peuvent circuler en clair sur une partie du transit, et ce quoi que tu fasses, parce que tu n’es responsable que d’une partie de leur transit. Que le message ne circule jamais en clair sur tout son trajet dépend du bon vouloir de tous les acteurs impliqués dans son transport, pas seulement le tien.

            (Tu peux configurer ton serveur pour rendre TLS obligatoire dans les connections de serveur à serveur, mais ça n’affectera que la portion du transit allant de ton serveur au serveur suivant — et tu risques de te couper de pas mal de monde, même si ironiquement, tu ne te couperas pas de tes correspondants utilisant GMail, parce que les serveurs de GMail supportent le TLS de serveur à serveur.)

            • [^] # Re: Et oui...

              Posté par . Évalué à 4. Dernière modification le 13/05/14 à 15:39.

              du coup, le fait que nous soyons tous deux auto-hébergés ne sert en fait à rien question protection de la vie privée, puisque nos messages sont chiffrés de bout en bout de toute façon.

              Cela ne sert pas à rien. Le chiffrement GPG protège le contenu, pas le contenant (qui parle à qui). Si la communication est protégé entre les deux serveurs auto-hébergés par TLS, l'adresse mail source et l'adresse mail destination ne sont pas récupérables.

              Si tu n'es pas auto-hébergé, tu as le risque que TLS ne soit pas activé entre serveurs, et la certitude que ton fournisseur peut savoir à qui tu parles, même avec GPG.

              • [^] # Re: Et oui...

                Posté par (page perso) . Évalué à 8.

                Si la communication est protégé entre les deux serveurs auto-hébergés par TLS, l'adresse mail source et l'adresse mail destination ne sont pas récupérables.

                Bof. Quiconque intercepte le traffic pourra tout de même savoir que tel serveur parle à tel serveur, et dans le cas de serveurs auto-hébergés (qui n’ont en général pas beaucoup d’utilisateurs à part l’auto-hébergeur lui-même), ça revient presque à savoir qui parle à qui.

                Contre l’analyse de traffic, un serveur de GMail qui parle à un serveur de Yahoo est plus discret (sauf vis-à-vis de GMail et Yahoo, évidemment) que mon serveur qui parle à ton serveur.

                • [^] # Re: Et oui...

                  Posté par . Évalué à 3.

                  J'avais laissé ce problème sous le tapis, car si je suis d'accord avec toi dans le cadre d'une attaque ciblée, j'ai tendance à le considérer moins crédible dans le cadre d'un espionnage de masse. Sauvegarder les entêtes pour récupérer les from et to des mails de flux non chiffrés c'est une chose, sauvegarder l'ensemble des communications chiffrées d'un serveur à un autre (potentiellement des listes de diffusions, des messages automatiques, etc) me semble en être un autre.

    • [^] # Re: Et oui...

      Posté par . Évalué à 8.

      J'aimerais bien savoir en quoi c'est si stupide. Il me semble que l'auto-hébergement améliore la vie privée contre l'espionnage massif, même si c'est incomplet, par rapport à une solution genre gmail.

      Qu'une solution ne corrige pas entièrement et complètement un problème ne veut pas dire que ce soit stupide, au contraire.

      • [^] # Re: Et oui...

        Posté par . Évalué à -1.

        J'aimerais bien savoir en quoi c'est si stupide.

        C'est stupide car tu viens de l'expliquer dans ton journal. C'est un effort qui n'atteint pas son objectif, donc c'est stupide.

        Qu'une solution ne corrige pas entièrement et complètement un problème ne veut pas dire que ce soit stupide, au contraire.

        Non. Par contre, ce qui est stupide, c'est de l'utiliser pour la vie privée, alors d'autres solutions, tel que le chiffrement, permettent d'atteindre cet objectif avec une bien meilleure efficacité.

        Par contre, faire de l'auto hébergement pour d'autres raisons, ca n'est pas forcément stupide.

        • [^] # Re: Et oui...

          Posté par . Évalué à 2.

          C'est stupide car tu viens de l'expliquer dans ton journal. C'est un effort qui n'atteint pas son objectif, donc c'est stupide.

          C'était quoi l'objectif de départ ? Si c'était d'être "rentable" (temps investi vs résultat) alors oui on peut dire que l'objectif n'est pas atteint.

          Si c'était d'améliorer la protection de sa vie privée et d'amorcer une tendance, on peut dire que son objectif est atteint :

          On the upside, there is some indication that the proportion is going down. So far this year, only 51% of the emails I’ve replied to arrived from Google

        • [^] # Re: Et oui...

          Posté par . Évalué à 4.

          Zenitram ?

          Tu peut vouloir limiter dans la mesure du possible de te faire espionner, non ?

          Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

          • [^] # Re: Et oui...

            Posté par . Évalué à 0.

            Tu peut vouloir limiter dans la mesure du possible de te faire espionner, non ?

            Ben après chacun son avis dessus, mais pour moi, en gros le chiffre qu'il faut retirer, c'est 75% des messages avec une réponse. En gros, ca retire les messages issus d'un bot ou de la pub. Ce sont principalement les vrais mails quoi.

            Du moins, je considère ces mails "avec au moins nue réponse" sont de la vraie correspondance, à haute teneur en vie privée.

            En gros, Google a accès à 75% de ces mails. Donc oui "tu peux vouloir", c'est bien c'est une belle intention (des tas de gens ont de belles intentions en faisant des choses a coté de la plaque !), mais pour moi ca reste stupide car l'objectif est raté.

            • [^] # Re: Et oui...

              Posté par . Évalué à 3.

              Attention tout de même: c'est valable pour mon cas particulier.

              Je vous invite à tester avec le script fournit sur le blog pour votre utilisation, ça sera peut-être moins.

              • [^] # Re: Et oui...

                Posté par . Évalué à 4.

                Effectivement. Perso, GMail c’est du bruit dans ma boîte.

                gmail over time

        • [^] # Re: Et oui...

          Posté par (page perso) . Évalué à 10.

          Ce n'est pas stupide pour protéger sa vie privée car ça rend l'exploitation des données personnelles légèrement moins simples (incomplètes et dispersées), même si ce n'est évidemment pas suffisant.

          Ce qui est stupide, c'est juste de croire qu'autohéberger son courrier protège totalement sa correspondance.

          • [^] # Re: Et oui...

            Posté par . Évalué à -5.

            Ce n'est pas stupide pour protéger sa vie privée car ça rend l'exploitation des données personnelles légèrement moins simples (incomplètes et dispersées), même si ce n'est évidemment pas suffisant.

            Pour le "moins simple", ca dépend pour qui. Si on parle de la NSA, il a justement été question d'outils fait pour rendre tout ca aussi facile. Tout a été scripté pour retrouvé la correspondance d'un type en particulier qui était simplement le destinataire. La NSA peut faire des grep sur tous les comptes mails, regarder les champs CC et CCI, et agréger tous les résultats. Ca ne leur pose aucun souci, et pour eux c'est aussi facile que si tu avais un compte Google. Oui, ca fait carrément flipper.

            Après si tu cherches à te cacher de Google, oui ok ca doit etre mieux.

            Ce qui est stupide, c'est juste de croire qu'autohéberger son courrier protège totalement sa correspondance.

            Le totalement est en trop. Ca ne te protège en rien du tout. Le 75% est un chiffre très élevé. C'est une arnaque intellectuelle de faire croire que ca protège "même un peu" quand on vient de lire cet article.

            • [^] # Re: Et oui...

              Posté par . Évalué à 10.

              une arnaque intellectuelle de faire croire que ca protège "même un peu" quand on vient de lire cet article.

              Bah écoute… Je pense arnaquer personne intellectuellement en affirmant que google n'a pas acces aux mail que j'échange avec quelqu'un qui n'a pas de boite gmail. Que Yahoo n'a pas acces a ceux que j'échange avec quelqu'un qui n'a pas yahoo. Et que quand j'échange des mails avec quelqu'un auto-hébergé comme moi, seul les gens qui écoutent le réseau peuvent y avoir accès.

              Franchement, ça me gonfle cette logique binaire "ça ne fonctionne pas à 100% donc ça ne marche pas". C'est stupide. Et ça ne mérite même pas d'être qualifié d'arnaque à ce titre.

              S'il y a traitre mail échangé qui n'arrive ne se retrouve pas à alimenter la base de donnée d'une grosse boite, ça protège UN PEU, et l'arnaque est de prétendre que ce n'est pas le cas.

              Please do not feed the trolls

              • [^] # Re: Et oui...

                Posté par . Évalué à 8. Dernière modification le 14/05/14 à 09:42.

                Franchement, ça me gonfle cette logique binaire "ça ne fonctionne pas à 100% donc ça ne marche pas".

                Ça a peut-être déjà été dit, j'ai pas tout lu [Edit: bon, j'ai lu et ça a déjà été dit…], mais un autre point qui me semble important, c'est que tous les messages n'ont pas la même importance. Donc railler l'idée d'auto-hébergement sur la foi de ce genre de stats, c'est un peu léger.

                Je m'auto-héberge, j'attache de l'important à la protection de la vie privée, mais comme tout le monde, l'essentiel pour pas dire la totalité de mes messages est sans importance.

                Au moins, les choses sont en place de mon côté pour échanger les messages importants en privé.

                Ce qui m'importe, c'est

                • Ne pas laisser Google ou autre fouiner dans mes messages pour me profiler pour me vendre de la pub. Ça serait pas si grave mais ça m'agace. Je pense que je suis pas trop mal protégé. Certes, Google a un max de messages à moi avec des mots-clés qui cernent mes centres d'intérêt, mais je n'utilise pas leur webmail, et par ailleurs, je ne garde pas les cookies entre les sessions, donc il pourrait m'envoyer du spam ciblé, mais pas vraiment utiliser ces données pour m'afficher des pubs (en général bloquées par Adblock…) ou des produits personnalisés dans un magasin en ligne.

                • Nous protéger des polices / milices privées parce que le jour où la révolution sera en marche (je sais plus quel jour c'est), tous les coups seront permis, et là, c'est sûr que les courriels/SMS/réseaux sociaux seront scannés massivement par la force conservatrice. Déjà, pour certaines activités militantes, je pense que c'est utile d'avoir des canaux sécurisés. Et je suis convaincu que les militants ont une longueur de retard. De ce point de vue, avoir des serveurs auto-hébergés en nombre, c'est mieux que centraliser chez un prestataire privé à la solde du pouvoir oppresseur. GPG, ce serait la cerise sur le gâteau.

        • [^] # Re: Et oui...

          Posté par . Évalué à 10.

          C'est un effort qui n'atteint pas son objectif, donc c'est stupide.

          Je suppose que tous les partis politiques et pas mal d'association sont donc stupides à tes yeux, puisque pas un seul n'atteint complètement ses objectifs (écologique, nationaliste, etc.) ?

          Admettons que l'objectif soit de se protéger contre l'espionnage massif de la NSA et éviter que des boîtes comme Google possède une quantité phénoménale d'information.

          La première chose à faire est donc ne pas utiliser ce service. Le blog montre assez bien que c'est un prérequis, mais pas suffisant. D'ailleurs on parle d'auto-hébergement, mais on pourrait simplement parler d'hébergement d'emails, l'auto-hébergement n'est qu'une solution parmis d'autres.

          Ensuite le chiffrement. Si j'utilise gmail+GPG, google+NSA possèdent mes emails. Lorsque la puissance de calcule sera suffisante, ils pourrons déchiffrer mes messages, la seule question est : dans combien de temps. L'objectif est moyennement atteint, puisqu'on ne fait que retarder l'échéance.

          Au final, on a pas le choix, il y a deux visions :
          – on ne peut rien faire, donc effectivement c'est stupide de lutter ;
          – si chacun commence à récupérer un peu le contrôle sur ses données, en choissant des hébergeurs plus propre, en chiffrant (GPG ou S/MIME, SSL avec les autorités de certification foireuses), etc. alors la situation va s'éclaircir.

          • [^] # Re: Et oui...

            Posté par . Évalué à 2.

            Je suppose que tous les partis politiques et pas mal d'association sont donc stupides à tes yeux, puisque pas un seul n'atteint complètement ses objectifs (écologique, nationaliste, etc.) ?

            Non bien sur. Stupide est un peu fort comme terme. Il faut bien essayer des choses et essayer de mesurer si elles répondent aux solutions. Ton journal est intéressant car il nous donne un script et une métrique.

            Une fois qu'on a ce script, la métrique et la conclusion (75% c'est juste une valeur, ton cas particulier, mais c'est tout de même élevé), ben la oui je trouve ca stupide qu'on vienne m'expliquer que ca répond quand même au besoin.

            • [^] # Re: Et oui...

              Posté par . Évalué à 5.

              Une fois qu'on a ce script, la métrique et la conclusion (75% c'est juste une valeur, ton cas particulier, mais c'est tout de même élevé), ben la oui je trouve ca stupide qu'on vienne m'expliquer que ca répond quand même au besoin.

              Sauf que personne ne l'a dis. Ce que les gens disent c'est que ça va dans une meilleure direction. Tu peut lire l'article à l'envers et dire que la conclusion c'est qu'il faut que les solutions alternatives (alternatives aux groupes américains comme l'autohébergement, l'hébergement associatif, etc) soient plus massivement utilisées.

              Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

            • [^] # Re: Et oui...

              Posté par . Évalué à 3.

              Mon propos en publiant ce journal était justement de montrer combien la route est encore longue sur la question de la vie privée, que même si on fait tout comme un geek profond pour se protéger, il y a un truc sur lequel il est très difficile de lutter : la majeure partie des gens se contre-fichent du problème, probablement parce qu'ils ne sont pas directement touchés.

              Comment lutter contre ça ?

              • [^] # Re: Et oui...

                Posté par (page perso) . Évalué à 2. Dernière modification le 13/05/14 à 16:48.

                En les buttant ?

                C'est marrant, pour moi c'est encore un exemple où la plèbe éteint son cerveau dès qu'elle est face à un écran, et accepte sans réfléchir donc des choses qui serait inadmissibles sous une forme matérielle. Je ne sais pas trop ce qu'on peut faire contre ça, à part éduquer laborieusement les gens.

                • [^] # Re: Et oui...

                  Posté par . Évalué à 4. Dernière modification le 13/05/14 à 17:34.

                  Ou bien, la plebe a fait tourner son cerveau, et n'arrive pas aux mêmes conclusions que toi. Ca reste possible, non ?

                  "Attention, Google peut lire tes mails ! C'est affreux.
                  -mouaip… Ca leur sert surtout à cibler leurs pubs. Si ils ont pas l'info, j'aurai pas moins de pub, j'aurais juste de la pub moins bien ciblée
                  -ah oui, mais la NSA aussi du coup peut lire tes mails !
                  -j'en ai rien a foutre que la NSA recoive la recette de la tarte aux pommes que tata janine m'a envoyé hier ! Et surtout, dans tous les cas, si la NSA veut une info sur moi, elle l'aura, quoi que je fasse.
                  -euh oui mais attention, c'est quand meme dangereux tu dois réagir pour… euh… pour… Parce que c'est important !
                  -…"

                  • [^] # Re: Et oui...

                    Posté par (page perso) . Évalué à 5.

                    Moi, dans les discussions que j'ai, c'est plutôt « Mais c'est bien que la NSA puisse lire mes mails, ça prouve que je ne suis pas un terroriste ».

                    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                    • [^] # Re: Et oui...

                      Posté par (page perso) . Évalué à 2.

                      Pourtant le maccarthysme n'est pas si vieux.

                      • [^] # Re: Et oui...

                        Posté par (page perso) . Évalué à 3.

                        Je ne serrais pas étonné que ces mêmes personnes pensent que ce n'était pas une bonne idée dans le fond.

                        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                    • [^] # Re: Et oui...

                      Posté par (page perso) . Évalué à 3.

                      Ah ouais quand même.

                      Écrit en Bépo selon l’orthographe de 1990

                  • [^] # Re: Et oui...

                    Posté par (page perso) . Évalué à 2.

                    Sauf que ce n'est pas réaliste, un raisonnement pareil, il suffit de voir comment les gens donnent leur numéro de carte bancaire à des entreprises qui vont l'enregistrer pour pouvoir débiter à leur discrétion sur leur compte, alors qu'ils n'accepteraient jamais cela de la part de leur boulanger par exemple.

                    Récemment, j'ai par exemple vu quelqu'un galérer à fermer d'urgence un compte d'écoute de musique en ligne qui faisait doublon avec un service semblable fourni par son fournisseur d'accès. Pourquoi galérer ? Parce que le formulaire de clôture de compte était hors service. Pourquoi d'urgence ? Parce que ce compte était payant, chaque mois, et payé automatiquement par carte bancaire, dont il avait donné le numéro à l'ouverture du compte, sans penser aux conséquences.

                    S'il avait réfléchi au départ donc, il n'aurait jamais donné son numéro de carte bancaire, mais aurait établi un paiement par virement automatique, ou à la rigueur autorisation de prélèvement — intermédiaire entre le virement automatique et la carte bancaire du point de vue du risque — et aurait pu leur couper les vivres de lui-même, et attendre qu'ils se manifestent pour leur expliquer qu'il avait demandé à fermer son compte et que s'ils ne l'avaient pas pris en compte, c'était leur problème. Ou simplement leur écrire : « Je vous prise de résilier mon abonnement à votre service et de noter que toute facture ultérieure serait indue et sera par conséquent refusée. »

                    • [^] # Re: Et oui...

                      Posté par . Évalué à 4.

                      Quel rapport entre le sujet (vie privée, mails, gmail et autohebergement) et ton commentaire ?

                      • [^] # Re: Et oui...

                        Posté par (page perso) . Évalué à 7.

                        Que les gens éteignent leur cerveau quand ils sont face à un écran, et acceptent sans réfléchir des trucs qu'il n'auraient jamais accepté dans un environnement bien concret. Par exemple, donner son numéro de carte bancaire à un commerçant pour qu'il ne note et le réutilise plus tard.

                        • [^] # Re: Et oui...

                          Posté par (page perso) . Évalué à 4.

                          Oui, mais du coup, ton exemple ne sert qu'à ignorer ses arguments…

                          A savoir que tout le monde s'en fou de savoir si Google/NSA et autres lise le contenu de leur boite mail.

                          • [^] # Re: Et oui...

                            Posté par (page perso) . Évalué à 8.

                            A savoir que tout le monde s'en fou de savoir si Google/NSA et autres lise le contenu de leur boite mail.

                            Mais seraient les premiers à hurler si leur facteur lisait leur courrier…
                            (j'ai bossé à la Poste, je peux vous dire que si une enveloppe arrive ouverte le coup de fil du client est immédiat)

                            Finalement, l'analogie de Tanguy Ortolo n'est pas si loin du sujet que ce que tu parais penser.

                            • [^] # Re: Et oui...

                              Posté par (page perso) . Évalué à 3.

                              Mais seraient les premiers à hurler si leur facteur lisait leur courrier…
                              (j'ai bossé à la Poste, je peux vous dire que si une enveloppe arrive ouverte le coup de fil du client est immédiat)

                              Parce que c'est le facteur (du moins le client le pense). Si c'était la police qui l'avait lu (ou du moins, s'il le pensait), il n'y aurait quasiment pas de coup de fil. Pour lire le courrier, il suffit d'un cachet « Terrorist free ®, approved by Federal Police ».

                              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                              • [^] # Re: Et oui...

                                Posté par (page perso) . Évalué à 2.

                                Je confirme pour les colis ouverts par la douane, les clients râlent au sujet de la taxe à payer mais ne téléphonent pas pour se plaindre d'atteinte à leur vie privée.

                  • [^] # Oui, mais non

                    Posté par (page perso) . Évalué à 6.

                    Par contre si Taty Janine habite aux US et cherche à acheter un auto-cuiseur pour les lentilles sur internet, et que Tonton cherche à acheter des sacs de randonnée en même temps…

                    http://www.theguardian.com/world/2013/aug/01/new-york-police-terrorism-pressure-cooker

                    • [^] # Re: Oui, mais non

                      Posté par . Évalué à 5.

                      Enfin, il a quand même fallu que l'ancien employeur du mari le balance à la police, et c'était après l'utilisation d'un auto-cuiseur dans les attentats de Boston. À côté, Breivik a pu tranquillement exposer son plan pour l'attentat d'Utøya des mois à l'avance sans que ça n'alerte personne chez PRISM &cie.

                      En fait, ça illustre plutôt qu'on ne trouve que ce qu'on cherche, et que plus une db est généraliste, moins elle est pertinente (d'ailleurs il me semble me rappeler que feu-les RG s'émouvaient régulièrement du taux d'erreur des fichiers français, suite à leurs diverses inflations).

              • [^] # Re: Et oui...

                Posté par . Évalué à 3.

                la majeure partie des gens se contre-fichent du problème, probablement parce qu'ils ne sont pas directement touchés

                Ben oui il n'y a ici que des religieux (sexistes) hackant (ergonomiquement) via vim en (rapide mais prudente) moto leur (simple) script systemd sur leur Macbook (innovant) en se rendant aux (fiables) urnes électroniques pour voter contre (l'injuste) TCE.

                Bref, il n'y a pas de corrélation simple entre le fait d'être directement touché et s'intéresser à un problème. ;-)

                Je pense que c'est plutôt une histoire d'abstraction.

                Exemple : on utilise une enveloppe fermée plutôt qu'une carte postable car c'est rapide, simple et pas cher. Par contre je pense que si tu faisais payer 1€ par an pour un service équivalent à Gmail mais respectueux de la vie privée, je ne suis pas sûr que beaucoup de monde l'adopterait.

                Autre exemple : on peut régulièrement faire un détour de 10 mn pour avoir de l'essence pas chère, mais par contre on ne s'intéresse pas à la fiabilité ou à la performance d'un moteur à l'achat de la voiture (juste au design).

                Les communications électroniques, cela devient tellement abstrait, que l'on arrive tout simplement pas à s'y intéresser.

                • [^] # Re: Et oui...

                  Posté par . Évalué à 0.

                  Donc en gros la conclusion c'est vraiment que les gens sont trop cons et qu'on peut rien y faire ?
                  Sob…

                  • [^] # Re: Et oui...

                    Posté par (page perso) . Évalué à 3.

                    Pourquoi con ? Juste illettrés. Savoir comprendre l'intention derrière un programme s'apprend.

                    Et je pense que le fond de la question est là. Les gens ont des recettes pour manipuler un outil dont ils ne savent pas grand chose et finalement, ils ne lisent pas. Ils reconnaissent.

                  • [^] # Re: Et oui...

                    Posté par . Évalué à 7.

                    J'aime bien comment à partir de commentaires modérés on arrive à avoir des réponses extrêmes :

                    L'article et le journal :

                    The numbers are higher than I imagined and reflect somewhat depressing news. They show how it’s complicated to think about privacy and autonomy for communication between parties. I’m not sure what to do except encourage others [snip].

                    il fait attention à sa vie privée, en s'auto-hébergant et en utilisant GPG. [snip] malgré toute son attention [snip] Google possède un tiers de ses emails, et la moitié des emails avec une réponse.

                    Quelques réponses :

                    sans chiffrement, croire que l'auto hébergement protège la vie privée est juste stupide

                    C'est un effort qui n'atteint pas son objectif, donc c'est stupide.

                    Ce qui est stupide, c'est juste de croire qu'autohéberger son courrier protège totalement sa correspondance.

                    Le totalement est en trop. Ca ne te protège en rien du tout. Le 75% est un chiffre très élevé. C'est une arnaque intellectuelle de faire croire que ca protège "même un peu" quand on vient de lire cet article.

                    Mon commentaire :

                    Les communications électroniques, cela devient tellement abstrait, que l'on arrive tout simplement pas à s'y intéresser.

                    La réponse :

                    la conclusion c'est vraiment que les gens sont trop cons et qu'on peut rien y faire

                    • [^] # Re: Et oui...

                      Posté par . Évalué à 1.

                      Tu noteras le point d'interrogation, qui marque la recherche d'une conclusion plus réjouissante.

                • [^] # Re: Et oui...

                  Posté par . Évalué à 4.

                  Bref, il n'y a pas de corrélation simple entre le fait d'être directement touché et s'intéresser à un problème. ;-)

                  Effectivement :) Après je suppose que sur linuxfr il y a une forte proportion d'admin sys, de développeur, qui sont eux en première ligne sur par exemple les questions d'espionnage industriel, d'enjeu de recherche, de souveraineté nationale, etc.

        • [^] # Re: Et oui...

          Posté par . Évalué à 5.

          C'est stupide car tu viens de l'expliquer dans ton journal. C'est un effort qui n'atteint pas son objectif, donc c'est stupide.

          Quand je vais au toilettes je ne me lave pas les mains après. Ce serait stupide de le faire il y a des gens qui ne le font pas.

          Please do not feed the trolls

          • [^] # Re: Et oui...

            Posté par (page perso) . Évalué à 8.

            Quand je vais au toilettes je ne me lave pas les mains après. Ce serait stupide de le faire il y a des gens qui ne le font pas.

            Les intellectuels se lavent les mains après, alors que les manuels se les lavent avant.

  • # Problème de raisonnement

    Posté par (page perso) . Évalué à 10.

    J'ai un peu du mal dans l'article avec le raisonnement de son ami de l'EFF, qui explique qu'il utilise Gmail parce que de toute façon vu que tout le monde l'utilise dans tous les cas ses ses données ne seront pas protégées. Soit, sauf que tu peux aussi tenir le raisonnement dans l'autre sens : en utilisant Gmail, non seulement ce qui te concerne n'est pas protégé, mais tu participes en plus à « compromettre » tes interlocuteurs qui n'utilisent pas Gmail, donc si tu t'attaches à la vie privée il me semble que ça devrait te pousser à encore moins utiliser Gmail, non ?

  • # Heureusement...

    Posté par (page perso) . Évalué à 9.

    Les impôts, la sécu, edf, ma boite, mon dealer et ma maîtresse sont tous autohébergés et respectent ma vie privée!

    http://devnewton.bci.im

    • [^] # Re: Heureusement...

      Posté par . Évalué à 7.

      Oui, mais ils utilisent google analytics pour monitorer les visites sur leurs serveurs…

      Plus sérieusement, il y a de vrai question à soulevés derrière l'hébergement de ces services public. Par exemple il me semble légitime que le CNRS mette en place de « l'auto-hébergement de cloud », pour éviter d'utiliser dropbox ou autre. Par contre recourir à un prestataire qui s'illustre dans PRISM (MS) pour s'occuper des données recherche de la France, c'est bof bof.

  • # Et les listes de diffusion...

    Posté par (page perso) . Évalué à 6.

    Since these mailing lists often “hide” the true provenance of a message, I exclude all messages that are marked as coming from lists using the (usually invisible) “Precedence” header.

    Les chiffres seraient encore plus mauvais en prenant en compte les listes de diffusion : personnellement, je ne dois pas avoir une seule liste de diffusion à laquelle je suis abonné sur laquelle il n'y ait pas au moins un compte google (ceci comprenant des listes techniques, des listes d'activistes, des listes de défenseurs de la vie privée, etc.). Et vu qu'on peut être abonné à une liste sans s'exprimer dessus, c'est même impossible d'avoir le chiffre sans avoir accès à tous les listes de membres en @gmail d'une liste. Et encore on peut avoir des abonnés silencieux en @mondomaine.example.com qui en fait récupèrent/traitent via gmail.

    • [^] # Re: Et les listes de diffusion...

      Posté par (page perso) . Évalué à 3.

      Si ce sont des listes publiques, avec des archives accessibles à tous, voire répliquées sur Gmane, ce n'est pas grave.

      • [^] # Re: Et les listes de diffusion...

        Posté par (page perso) . Évalué à 5.

        Ça comprend effectivement des listes publiques (ok pas de souci), mais aussi des listes privées comme des listes de veille ou décisionnelle (bureau/conseil d'administration d'association, suivi de projets de loi/directives, etc.) ou avec du traitement de données personnelles (secrétariat, modération, trésorerie/facturation, etc.) ou sensibles (certificats, clés, mots de passe, etc.).

  • # 100%

    Posté par . Évalué à -2.

    Google possède 100% de mes mails. Soit.
    Sauf qu'ils s'en servent pas pour m'espionner mais pour me vendre des trucs ou plutôt les trucs de leurs clients. Le plus ciblé possible pour que maximiser les chances que j'achète.
    D'ailleurs ils ne gardent pas plus de 6 mois d'information car ils considèrent que passé ce délai mon profile n'est plus assez à jour.
    Donc c'est pas google le risque, c'est les agences gouvernementales. Humblement, je ne pense pas les intéresser mais admettons que je veuille renverser le système. Clairement je n'utiliserai pas le mail pour m’organiser.

    Donc c'est quoi le solution ? S'auto-héberger ? J'ai peur que le remède soit pire que le mal. Entre les spams, les virus, les failles exploitables, l'effort d'administration.
    Bref pour le moment je reste utilisateur des services de big brother mais je garde un œil sur les possibilités d'émancipation.

    Je vais faire le calcul (hors moi) par curiosité.

    • [^] # Re: 100%

      Posté par (page perso) . Évalué à 8.

      D'ailleurs ils ne gardent pas plus de 6 mois d'information

      Ah, ils suppriment tes messages après six mois ? C'est brutal…

      • [^] # Re: 100%

        Posté par . Évalué à -1.

        ouai, c'est dur.
        idéalement faudrait deux backup days par an et pas un seul.

    • [^] # Re: 100%

      Posté par . Évalué à 4.

      D'ailleurs ils ne gardent pas plus de 6 mois d'information car ils considèrent que passé ce délai mon profile n'est plus assez à jour.

      source ?

      Donc c'est pas google le risque, c'est les agences gouvernementales

      Récapitulons le pb : les plus grosses entreprises américaines font une énorme collecte de données sur les gens, à but commercial. Le gouvernement les oblige à donner toutes ces données à la NSA. Que font ses sociétés ? Stocker toujours plus de données, en connaissance de cause.

      On peut donc dire qu'elles sont collabo, ou à minima complice de cet espionnage. D'ailleurs je ne serais pas étonné qu'une partie de l'espionnage industriel de la NSA reviennent finalement à Google et compagnie.

      Donc c'est quoi le solution ?

      Si tu veux te protéger de la NSA, alors la première chose à faire est de ne pas utiliser de service soumis à la loi américaine. Typiquement une box OVH est probablement mieux, puisque soumis à la loi française. Si tu veux te protéger de tous les gouvernements… là c'est plus compliqué.

      • [^] # Re: 100%

        Posté par . Évalué à 2.

        Si tu veux te protéger de tous les gouvernements… là c'est plus compliqué.

        Un francais résidant en France à plus à craindre de la NSA ou du gouvernement francais ?

        • [^] # Re: 100%

          Posté par . Évalué à 3.

          Chacun à ses idées là-dessus. Perso je crains bien plus la NSA que le gouvernement français pour le moment, car je peux voter pour décider un peu des orientations de celui-ci. Je n'ai pas contre aucune prise dessus.

          • [^] # Re: 100%

            Posté par . Évalué à 3.

            Perso je crains bien plus la NSA que le gouvernement français pour le moment, car je peux voter pour décider un peu des orientations de celui-ci

            Justement, c'est ce point là qui fait que le gouvernement francais aurait interet à me surveiller. Alors que la NSA, franchement, quel interet peut-elle avoir à me surveiller ? Savoir que j'ai dit du mal de Bush à des gens qui étaient déja convaincu du fait que c'est un gros con ? Bof ! Si la NSA veut dépenser son pognon pour ca, qu'elle le fasse !

            PS : oui, je sais, Bush c'est fini. Mais il m'aura bien fait rigoler quand meme (quand il ne me faisait pas peur).

            • [^] # Re: 100%

              Posté par . Évalué à 6.

              Je te conseille de lire le bouquin « La théorie du drone ». Il montre très le tournant actuel dans les lois sur la guerre. Aujourd'hui, est considéré comme zone de conflit la zone autour d'une cible d'un drone. Ainsi les frontières n'ont plus d'importance, tout le monde peut être touché. C'est par exemple vrai au Pakistan, en Somalie, au Yemen.

              La collecte d'info de la NSA sert justement à alimenter les killing list, avec plus ou moins de succès. De parfait innnocent se retrouve donc visée, sans aucune raison, si ce n'est d'avoir des relations avec des gens « louchent », et ça n'est pas à la marge, malheureusement.

              Dans un autre registre, si la NSA surveille tous les français, alors les nord-américains n'aurons aucun mal à nous dépasser dans les domaines de recherche, industriels, etc. Tout comme la sécurité, la lutte contre l'espionnage n'est pas QUE protéger des points ultra-stratégique, mais aussi améliorer l'état général.

              De même, si un jour nous voudrions des sanctions contre les États-Unis (pour leurs crimes politiques, écologique, je ne sais quoi), c'est un peu emmerdant que la France soit intégralement fiché depuis des années, et que cette population soit dépendante des services nord-américains. La résilience est très très mauvaise en cas de conflit.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.