La liste des options proposées est volontairement limitée : tout l’intérêt (ou son absence) de ce type de sondage réside dans le fait de forcer les participants à faire un choix. Les réponses multiples sont interdites pour les mêmes raisons. Il est donc inutile de se plaindre au sujet du faible nombre de réponses proposées ou de l’impossibilité de choisir plusieurs réponses. 76,78 % des personnes sondées estiment que ces sondages sont ineptes.
  • # Pourquoi je ne chiffre jamais mes courriels

    Posté par  . Évalué à 10.

    Parce que c’est contraignant. Je l’ai fait pendant un moment, mais j’ai abandonné parce que ça ne servait qu’avec une seule personne à qui je parlais rarement, de plus j’avais la flemme de configurer la chose pour Android.

    Pour envoyer des courriels chiffrés, il faut générer une clé privée et lui mettre un mot de passe et ne perdre ni l’un ni l’autre. Il faut les mettre en sécurité afin de les protéger des plantages, mais ne pas les copier partout sous peine de se la faire voler.

    On me répondra que si on la perd, il y a toujours la phrase de passe qui protège la clé et qui nous laisse le temps d’avertir nos correspondants. Sauf que si on a beaucoup de correspondants, ça risque de prendre du temps, et une erreur est vite arrivée (ce qui nous fait arriver au point suivant).

    La mise en place peut vite être chiante, il faut installer une extension à notre client de courriel (sauf pour des clients comme Kmail qui intègrent cette fonctionnalités par défaut, mais ils sont plus rares). Il faut y copier les clés publiques de ses correspondants pour pouvoir envoyer des courriels à nos correspondants ainsi que sa propre clé privée pour pouvoir les lire. Et puis il faut rentrer le mot de passe à chaque envoi de courriel (en tout cas à l’époque avec Kmail)…

    Bref, c’est assez contraignant, mais à mon avis on est pas très loin de rendre ça accessible aux débutants. Il faut simplifier la gestion des clés GPG.

    Écrit en Bépo selon l’orthographe de 1990

    • [^] # Re: Pourquoi je ne chiffre jamais mes courriels

      Posté par  . Évalué à 1.

      Certes, mais outre kmail, il y a mutt, c'est facile d'usage et de configuration (quelques lignes dans .muttrc et bien sûr d'avoir configuré gpg). Quoiqu'il en soit, c'est comme pour les vaccinations non obligatoires des maladies épidémiques (rougeole… ), cela n'est d'intérêt que quand un pourcentage élevé l'utilise (ou sont vacciné !).

      • [^] # Re: Pourquoi je ne chiffre jamais mes courriels

        Posté par  (site web personnel) . Évalué à 0.

        Certes, mais outre kmail, il y a mutt, c'est facile d'usage et de configuration (quelques lignes dans .muttrc et bien sûr d'avoir configuré gpg).

        Alors là clairement pas, j’utilise mutt via ssh en tant que « webmail » (envoyer des mails en passant par du web n’est pas du tout envisageable) et ce n’est pas simple à configurer. Pour l’utilisation c’est moins pire mais c’est loin d’être intuitif.

        Quoiqu'il en soit, c'est comme pour les vaccinations non obligatoires des maladies épidémiques (rougeole… ), cela n'est d'intérêt que quand un pourcentage élevé l'utilise (ou sont vacciné !).

        Ça par contre c’est tout à fait vrai, si personne ne chiffre tout le temps, ceux qui le font deviennent vite des cibles.

    • [^] # Re: Pourquoi je ne chiffre jamais mes courriels

      Posté par  . Évalué à 10.

      Perso je chiffre de temps en temps, typiquement pour envoyer des documents importants à quelqu'un (impôts, factures, mots de passe, etc.). Je trouve qu'au final c'est assez peu contraignant, contrairement à chiffrer tous ses emails sans distinction : les gens sont plus sensibles (protéger des documents importants à du sens, ne pas pouvoir les consulter partout depuis le webmail aussi), donc la création de clé passe mieux. Ensuite pour peu qu'on utilise déjà un client genre kmail ou thunderbird, c'est vraiment simple de chiffrer.

      C'est peut-être une étape intermédiaire intéressants entre le tout chiffrement et le aucun chiffrement.

    • [^] # Re: Pourquoi je ne chiffre jamais mes courriels

      Posté par  . Évalué à 5.

      Et puis il faut rentrer le mot de passe à chaque envoi de courriel (en tout cas à l’époque avec Kmail)…

      Ayant un desktop KDE, mais n'utilisant pas KMail, je me demandais si ça ne vaudrait pas le coup, pour ce dernier, de se reposer sur le gestionnaire de mots de passe KWallet. Il permet, par ex., de ne renseigner qu'une seule fois pas session le mot de passe.

      • [^] # Re: Pourquoi je ne chiffre jamais mes courriels

        Posté par  . Évalué à 2.

        C'est pour ce genre de choses que je parlais d'améliorer la gestion des clés PGP. :)

        Écrit en Bépo selon l’orthographe de 1990

      • [^] # Re: Pourquoi je ne chiffre jamais mes courriels

        Posté par  . Évalué à 2.

        Il faut lancer le démon gpg-agent au démarrage de KDE, ça permet de ne taper qu'une seule fois la phrase de passe par session (ou pour une période donnée, il y a une bonne granularité à la configuration).

        C'est le défaut sur certaine distribution non? (comme ssh-agent)

        • [^] # Re: Pourquoi je ne chiffre jamais mes courriels

          Posté par  . Évalué à 1.

          Tu m'intéresses : comment fais tu ça ?
          Pour ma part, je suis obligé de faire un ssh-add manuellement à chaque connexion pour pouvoir me connecter à un serveur distant sans resaisir ma phrase de passe à chaque connexion, mais thunderbird semble s'en moquer et me redemande très régulièrement ma phrase

          • [^] # Re: Pourquoi je ne chiffre jamais mes courriels

            Posté par  . Évalué à 5. Dernière modification le 20 mai 2014 à 04:46.

            Tu mélanges plusieurs choses.

            L'agent ssh qui stocke les clefs ssh déchiffrés, qui est utilisé pour se connecter en ssh sans redemander la passphrase à chaque fois. Et l'agent gpg qui stocke la clef privée gpg déchiffrée pour éviter de ressaisir la passphrase à chaque fois.

            Là où c'est subtil c'est que le programme gpg-agent fournit les deux services (si on lui demande).

            Pour être plus précis, j'ai déjà utilisé 3 agent ssh:

            • Celui par défaut livré avec openssh. Il faut lui rentrer la clef avant de l'utiliser (via ssh-add) si tu essai de te connecter sur un hôte qui accepterai une clef connue de l'agent mais non déchiffrée, il ne l'ajoute pas.

            • Celui fourni par gnome-keyring. Il est bien, quand tu veut te connecter à un hôte qui accepterai une clef que tu n'as pas déverrouillée, il te propose de la déverrouiller. Le problème c'est qu'il n'a pas de ttl, une fois qu'une clef est déverrouillée, elle l'est pendant la durée de vie de l'agent.

            • Celui fourni par gpg-agent, il a les mêmes caractéristiques que celui fournit par gnome-keyring, mais il gère le ttl. C'est celui que j'utilise maintenant.

            Coté agent gpg, ce qui t'éviterai de retaper sans cesse ta passphrase dans thunderbird, je n'ai utilisé que gpg-agent, et je n'ai rien de mal à en dire.

            Après, personnellement pour j'ai configuré pour la partie agent gpg un ttl très court. Il est important d'avoir ce temps d'arrêt au moment où je signe un mail, de même que quand je signe un courrier. Pour moi c'est l'étape mentale nécessaire à « j'en accepte la pleine et entière responsablilité »

      • [^] # Re: Pourquoi je ne chiffre jamais mes courriels

        Posté par  . Évalué à 3.

        Pour info, dans les dernières versions, kwallet peut utiliser une clé GPG pour chiffrer le trousseau au lieu d'un mot de passe…

    • [^] # Re: Pourquoi je ne chiffre jamais mes courriels

      Posté par  . Évalué à 3.

      Ah et sinon ça marche pas bien pour les listes de discussion (ou conversations à plusieurs) qu'on veut garder secret. Pour ajouter quelqu'un à la conversation il faut que chaque correspondant prenne la clé publique du nouvel arrivant. Et que chaque message soit chiffré une fois avec chaque clé (donc savoir qui participe, pas facile sur une liste de diffusion).

      Écrit en Bépo selon l’orthographe de 1990

      • [^] # Re: Pourquoi je ne chiffre jamais mes courriels

        Posté par  . Évalué à 8.

        C’est un fait, le chiffrement fonctionne mal pour les informations diffusées publiquement. Ses critiques souligneront que c’est fort dommage car ça ne permet pas de s’assurer que seul un destinataire inconnu parviendra à lire le message. Étonnant, non ?

        • [^] # Re: Pourquoi je ne chiffre jamais mes courriels

          Posté par  . Évalué à 3.

          C’est un fait, le chiffrement fonctionne mal pour les informations diffusées publiquement.

          Je n’ai pas parlé d’informations diffusées publiquement. J’ai parlé de discussion à plusieurs sans intermédiaire ou via une liste de diffusion.

          Écrit en Bépo selon l’orthographe de 1990

          • [^] # Re: Pourquoi je ne chiffre jamais mes courriels

            Posté par  . Évalué à 2. Dernière modification le 20 mai 2014 à 14:48.

            Je réagissais surtout à

            donc savoir qui participe, pas facile sur une liste de diffusion

            C’est évident que l’une des prémisses au chiffrement est de savoir à qui l’on destine son message.

            Ensuite, pour une liste, il est sûrement plus pratique de partager un secret (qui peut toujours être une clé privée commune pour la liste, transmise une seule fois à chaque participant avec sa clé publique à lui, ce n’est pas une limitation de la crypto ou de PGP en soi).

      • [^] # Re: Pourquoi je ne chiffre jamais mes courriels

        Posté par  . Évalué à 5.

        Il existe un serveur de listes de diffusion qui gère gpg (schleuder), mais il faut faire confiance au serveur.
        Chacun donne sa clé publique au serveur, et chiffre les emails avec la clé du serveur. c'est le serveur qui s'occupe de renvoyer l'email à chaque destinataire chiffré avec sa propre clé.

    • [^] # Re: Pourquoi je ne chiffre jamais mes courriels

      Posté par  (site web personnel) . Évalué à -1.

      je n ai rien à cacher

      • [^] # Re: Pourquoi je ne chiffre jamais mes courriels

        Posté par  . Évalué à 4.

        je n ai rien à cacher

        Moi c'est le contraire, je les chiffre car je veux cacher que je n'ai rien à cacher

      • [^] # Re: Pourquoi je ne chiffre jamais mes courriels

        Posté par  . Évalué à 4.

        Alors celle-là fallait que quelqu'un la fasse :/

        Cet argument ne tient pas. Tu faisais peut-être de l'humour mais je vais quand même te répondre sérieusement.

        C'est comme si tu disais : « je n'ai rien à me reprocher. » en fait ce qu'il faut comprendre c'est plutôt : « Ils (ceux qui te gouvernent) n'ont rien à te reprocher. »

        Prenons un exemple, mettons que tu sois un fan de cerf-volant, tu fais du cerf-volant 3 fois par semaine, tu participes à des forums sur les cerf-volants sur le web, tu achètes des cerf-volant dans des boutiques en ligne, bref, tu vis cerf-volant. Et bien imagine que d'un coup le gouvernement de ton pays décrète que le cerf-volant et interdit*, que rien que le fait d'en parler à ton voisin peut t'amener en prison… Et bien là, si le flicage et l'espionnage d'Internet sont la norme, tu ne pourras plus vivre ta passion, même pas en te cachant…

        Bref, tu n'as peut-être rien à cacher, cela ne signifie pas que tu n'aura jamais rien à cacher de toute ta vie… Donc c'est important de continuer à lutter pour conserver les solutions techniques et juridiques permettant de « se cacher », au cas où…

  • # Parfois…

    Posté par  . Évalué à 4.

    Je ne chiffre jamais mes mails avec GPG, je m'y mettrai peut-être un jour mais le rendement effort/résultat ne m'attire pas beaucoup et le retour de sinma plus haut ne m'y encourage pas tellement.

    Par contre, mon serveur auto-hébergé permettant tls, mes mails vers d'autres serveurs auto-hébergés qui permettent aussi le chiffrement sont chiffrés (aux failles de sécurité près). Et tous les membres de ma famille proche utilisent mutt sur le serveur familial à travers ssh pour envoyer et lire leurs mails, ce qui fait qu'une bonne partie des mails que j'envoie ne fait qu'aller d'un utilisateur local du serveur à un autre.

    Pour les autres mails je pars du principe que je dois les considérer comme publics, comme lorsque j'écris sur une liste de diffusion.

    • [^] # Re: Parfois…

      Posté par  . Évalué à 10.

      tous les membres de ma famille proche utilisent mutt sur le serveur familial à travers ssh

      Toi aussi t'es orphelin et célibataire ?

      • [^] # Re: Parfois…

        Posté par  . Évalué à 8.

        C'est sûr que c'est pas forcément évident, et j'aurais beaucoup de mal à réussir cela de n'importe qui (j'ai déjà du mal à sensibiliser un tant soi peu au libre la plupart des gens que je connais), mais mon père, ma mère et ma sœur ont très bien pris cette méthode, et aucun d'eux n'est informaticien loin s'en faut. Bien sûr, ça demande de répondre aux questions et de mettre en place le système d'abord, et un peu d'optimisme de la part de tout le monde. Je suis d'accord que pour ceux qui regardent leurs mails une fois par semaine c'est pas du tout rentable, mais en l'occurrence on échange assez de mails pour que ça ait un sens.

        Et au prix de leur apprendre à utiliser ssh (un peu d'optimisme et ça vient tout seul), je n'ai plus de serveur pop/imap ni de complications de relaie authentifié pour le serveur smtp. Plus besoin non plus de nfs ou samba pour copier des fichiers entre les ordis. Plus de fetchmail et ce genre d'histoires : les mails atterrissent direct là où il faut. Bref, ça a quelques inconvénients (impossibilité de regarder des images en attachement ou ce genre de choses sans les copier avant), mais ça simplifie quand même les choses niveau services et configuration côté serveur, ce qui est important quand on n'est pas sysadmin. Et au final je dois expliquer moins de choses qu'avant.

        Enfin, quoiqu'on en pense, apprendre à un débutant à utiliser des outils en ligne de commande simplement en lui mâchant la plupart du travail n'est pas si difficile : je ne suis pas sûr du tout que ma mère serait capable de configurer et utiliser un thunderbird ou autre client de courrier toute seule, et pourtant elle arrive bien à faire ssh puis "mutt".

        • [^] # Re: Parfois…

          Posté par  . Évalué à 6.

          C’est possible de faire en sorte que Thunderbird reconnaisse ton serveur de courriel et s’auto-configure.

          https://developer.mozilla.org/en-US/docs/Mozilla/Thunderbird/Autoconfiguration

          Écrit en Bépo selon l’orthographe de 1990

        • [^] # Re: Parfois…

          Posté par  . Évalué à 2.

          chapeau !

        • [^] # Re: Parfois…

          Posté par  (site web personnel) . Évalué à 3.

          Enfin, quoiqu'on en pense, apprendre à un débutant à utiliser des outils en ligne de commande simplement

          Wai, enfin faut vraiment en vouloir à ses parents pour leur faire utiliser un outils comme mutt à travers ssh!! Genre il font des scp pour récupérer les pièces jointes?

          • [^] # Re: Parfois…

            Posté par  . Évalué à 1.

            Genre il font des scp pour récupérer les pièces jointes?

            Tout à fait ;) Avec de bons alias pour les noms de machines pour ne pas avoir à taper d'IPs ce n'est pas très différent de cp à l'usage après tout. En tous cas, je n'ai pas reçu de plaintes :) (par contre j'en recevrais sans doute si je leur disais d'utiliser une autre méthode maintenant)

    • [^] # Re: Parfois…

      Posté par  . Évalué à 2.

      Je ne chiffre jamais mes mails avec GPG, je m'y mettrai peut-être un jour mais le rendement effort/résultat ne m'attire pas beaucoup et le retour de sinma plus haut ne m'y encourage pas tellement.

      Bah en fait le truc c’est que le pallier à franchir n’est pas haut, mais une fois que tu l’as franchi c’est bon. J’ai installé plusieurs fois Arch Linux avant de la conserver définitivement: au début c’est chiant mais en fait après c’est naturel on y pense même plus.

      Écrit en Bépo selon l’orthographe de 1990

      • [^] # Re: Parfois…

        Posté par  . Évalué à 1.

        C'est surtout le fait qu'il faudrait que je réussisse à convaincre mes correspondants de l'utiliser aussi : quand c'est pas la famille c'est plus dur :) Du coup je me retrouverais sans doute comme toi à l'utiliser avec une personne ou deux à qui j'écris rarement.

        Sinon gpg je suppose que dans l'utilisation ce n'est pas très différent de ssh, avec le gpg-agent pour pas avoir à taper sa phrase de passe en permanence.

    • [^] # Re: Parfois…

      Posté par  . Évalué à 3.

      Par contre, mon serveur auto-hébergé permettant tls, mes mails vers d'autres serveurs auto-hébergés qui permettent aussi le chiffrement sont chiffrés

      Et tu requiert un certificat valide pour envoyer ton message ? Sinon, un petit MitM et ce n'est plus chiffré.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Parfois…

        Posté par  . Évalué à 1.

        Je suis d'accord, et non, je ne requiert pas un certificat valide, parce dans ce cas je mettrais de côté la plupart des auto-hébergés avec un certificat auto-signé, du coup ça n'aurait plus grand intérêt. Disons qu'au moins les messages ne vont pas en clair d'un bout à l'autre par défaut. Mais je considère ça comme un petit plus : les seuls mails que je considère comme fiables dans ma configuration sont ceux qui restent sur mon serveur, et vont au home d'un autre utilisateur.

        • [^] # Re: Parfois…

          Posté par  . Évalué à 8.

          Selon le serveur mail que tu utilises, tu peux valider les certificats auto-signés si l’administrateur du serveur distant a publié ledit certificat dans le DNS via un enregistrement TLSA — et j’invite tous les utilisateurs de certificats auto-signés à le faire.

          Postfix, au moins (et peut-être d’autres) permet une telle validation, qui peut être exigée (« dane-only », pas de connexion possible en l’absence d’enregistrements TLSA, ce qui est probablement exagéré pour l’instant) ou optionnelle (validation du certificat si des enregistrements TLSA existent, sinon comme avant on prend le risque d’accepter un certificat non-vérifié).

  • # Chiffrer rarement, signer toujours

    Posté par  . Évalué à 10.

    Je chiffre rarement mes messages, simplement parce que peu de mes contacts ont une paire de clefs.

    En revanche, je signe systématiquement. Au fil du temps, c’est devenu aussi naturel pour moi que d’apposer une signature manuscrite au bas d’un courrier traditionnel, et je le fais d’ailleurs pour la même raison : pour affirmer que c’est bien moi qui a écrit le courrier et que j’en assume pleinement le contenu.

    C’est un réflexe très pratique avant d’envoyer un message sur une liste de diffusion : il m’est déjà arrivé plusieurs fois de préparer un message inutile (réponse à un troll, message qui se résume à « moi aussi je pense pareil », etc.) et d’annuler son envoi au moment de le signer, parce que je réalise à cet instant que je ne veux pas assumer publiquement un message qui n’apporte rien à la discussion.

    (Comment ça, je devrais faire pareil sur linuxfr.org ?)

    • [^] # Re: Chiffrer rarement, signer toujours

      Posté par  . Évalué à 2. Dernière modification le 18 mai 2014 à 23:29.

      Ah moi c’est le contraire, je fais ça sur Linuxfr, sans doute un peu grâce à la prévisualisation (et un peu par courriel aussi, mais il y a moins de troll).

      Écrit en Bépo selon l’orthographe de 1990

    • [^] # Re: Chiffrer rarement, signer toujours

      Posté par  . Évalué à 7. Dernière modification le 19 mai 2014 à 08:28.

      Les messages signés, au pire tes correspondants ne vont pas comprendre de quoi il s'agit, au mieux ils vont faire ça :
      XKCD

    • [^] # Re: Chiffrer rarement, signer toujours

      Posté par  . Évalué à 4.

      [Utopiste invétéré]
      Quand la signature sera généralisé, peut-être qu'un jour on pourra se servir des signatures GPG ou S/MIME comme moyen de lutter contre le spam et surtout contre le pishing…
      [/Utopiste]

      • [^] # Re: Chiffrer rarement, signer toujours

        Posté par  . Évalué à 6.

        Hi,

        Moi aussi je signe systématiquement mais par contre je ne chiffre jamais.
        Je voudrais bien signer et chiffrer tout le temps, mais mes copains/copines ne sont pas intéressés.
        Une copine qui élève des moutons dans le Sud (loin de chez moi !!!), bien que sensibles aux questions de vie privée ne veut pas se compliquer la vie informatique.

        Ma copine qui utilise Thunderbird sous Windows voudrait bien s'y mettre, mais depuis son iOS, elle ne pourrait plus les lire (en utilisant un client e-mail Libre, par choix. Oui je sais contradiction iOS cpalibre. Je ne vais pas changer toutes ses habitudes en un mois !).

        En signant, je voudrais sensibiliser les gens autour de moi, générer des interrogations chez eux pour ensuite en parler avec eux.

        +

      • [^] # Re: Chiffrer rarement, signer toujours

        Posté par  . Évalué à 1. Dernière modification le 19 mai 2014 à 10:07.

        J’avais jamais pensé à ça, mais les spammeurs peuvent quand même signer un courriel non? À moins que l’opération ralentisse l’envoie des courriel? Ou sinon si on utilisait XMPP à la place d’IMAP on aurait beaucoup moins de spam d’après ce que j’ai pu lire quelque part car il faut avoir un compte sur le serveur pour pouvoir envoyer un message XMPP (c’est peut-être pas exactement ça mais l’idée c’est ça).

        Écrit en Bépo selon l’orthographe de 1990

        • [^] # Re: Chiffrer rarement, signer toujours

          Posté par  . Évalué à 3.

          Le gros intérêt que je vois est dans le pishing : fini l'email « votre service info demande de changer le mot de passe ici : http://lol-url.

          Au moins là on aura un gros avertissement « attention la signature est fausse !!! », ce qui peut empêcher certains de se faire avoir.

          Pour le spam, je ne vois pas encore comment l'utiliser, mais peut-être que d'autres gens ont de bonnes idées. Par exemple avec un certificat S/MIME, on peut jeter tout ceux qui ne sont pas reconnus par les autorités de certification…

          Mais bon, ça reste du domaine de l'utopie pour le moment, vu le peu d'adoption du système.

          • [^] # Re: Chiffrer rarement, signer toujours

            Posté par  (site web personnel) . Évalué à 2.

            Pour le spam, je ne vois pas encore comment l'utiliser, mais peut-être que d'autres gens ont de bonnes idées. Par exemple avec un certificat S/MIME, on peut jeter tout ceux qui ne sont pas reconnus par les autorités de certification…

            S/MIME a son paquet de problèmes aussi :

            • Il ne peut être utilisé que avec X509, donc doit passer par le système de CA verolé et couteux.

            • Diffuser des Cert X509 sur tous les postes clients est le meilleur moyen de se retrouver avec un cert volé et "trusté": Un paquet de softs ignorent les "Usage Extensions" de X509 et autoriseront le cert vérolé pour une utilisation serveur ou d'authentification Web.

            • S/MIME utilise généralement le même certificat pour la signature ET le chiffrement, ce qui est fortement déconseillé par le principe de "non répudiation".

            • Distribué des Certificats "trusté" à tous les membres d'une organisation est bien plus contraignant que de laisser les personnes utiliser leur propre clé GPG et signer/révoquer celles-ci…

        • [^] # Re: Chiffrer rarement, signer toujours

          Posté par  (site web personnel, Mastodon) . Évalué à 3.

          En effet, l'explicaton de XMPP est confuse et, je soupçonne, fausse. XMPP est un système fédéré (comme le courrier) et donc (heureusement !) il n'y a pas besoin d'un compte sur le système destination.

      • [^] # Re: Chiffrer rarement, signer toujours

        Posté par  (site web personnel) . Évalué à 2. Dernière modification le 19 mai 2014 à 10:23.

        C'est pas forcement utopiste

        Mais il faudrait pour ça plusieurs GROS changements et simplification dans les clients mails / GPG.

        La plupart des gens ont déja un mal de chien à saisir ce que veut dire "un certificat non valide" dans un navigateur Web. Imaginer que le grand publique va essayer de comprendre les concepts de toile de confiance, de certification de clés, de serveur de clés, de niveau de confiance, et de clé de révocation. C'est du grand délire.

        Personnellement, je signe 90% de mes mails ( les 10% restants viennent du client android qui ne supporte pas GPG ), mais c'est loin d'etre accessible au grand publique.

        Le chiffrement/signature des mails devrait être aussi simple et intégré que le système de chiffrement de TextSecure par exemple. TOFU, initialisé de manière transparente, complètement invisible pour l'utilisateur lambda et le néophyte.

    • [^] # Re: Chiffrer rarement, signer toujours

      Posté par  . Évalué à 4.

      Je chiffre rarement mes messages, simplement parce que peu de mes contacts ont une paire de clefs.

      Je ne chiffre pas pour une autre raison, dans beaucoup de clients mails, la recherche ne fonctionne pas sur les mails chiffrés, les mails chiffrés ne sont pas indexé (mac mail?).
      Donc je ne chiffre que quand c'est nécessaire (échange de passwords, coordonnées, etc), mais je signe tous mes mails automatiquement.

  • # Bov-jna Xrabov

    Posté par  . Évalué à 3.

    Vy snhg neeêgre q'bhoyvre qrf pubvk rffragvryf.

  • # Commits

    Posté par  . Évalué à 2.

    Moi je ne signe mes mails que de temps en temps. Mais systematiquement mes commits git.

    • [^] # Re: Commits

      Posté par  . Évalué à 1.

      Je faisais ça pour git.
      Puis un jour, j'ai pushé des commit signés sur un dépot qui était mouliné avec grit, les commit signés n'étaient pas gérés, et j'ai tout pété :)

      Au final, c'est pas un usage très courant et potentiellement mal géré, donc je ne signe plus mes commit pour éviter de casser les mauvais scripts qui moulinent/parsent les historiques de commit. Eventuellement, on peut signer les tags uniquement.

  • # Avec qui??

    Posté par  . Évalué à 4.

    Signer ses emails, ça suppose qu'on demande un effort supplémentaire à l'interlocuteur, et ça dépend également de sa compréhension de la manoeuvre.

    La presque totalité de mes interlocuteurs se repose à 100% sur le service qui leur est fourni clé en main. C'est-à-dire que s'il n'y a pas un bouton "utiliser des emails chiffrés quand c'est possible" validé par défaut dans la config, ça n'arrivera jamais. (et je n'ai jamais vu un client qui avait ça par défaut).

    Et puis les clés GPG des interlocuteurs, c'est sympa, mais il faudra les garder synchro entre un pc portable, un pc de bureau, un smartphone et une tablette?
    Non, il faut stocker ça sur un nuage et faire en sorte que le client ait une extension qui marche avec le nuage. Voilà, maintenant, les interlocuteurs ont besoin d'un nuage privé!
    Si un jour le public le réclame pour de vrai, aucun doute que FB et Google se proposeront généreusement de stocker toutes les clés de tout le monde…

    Bref: non, parce que ce n'est pas prêt pour le grand public!

    • [^] # Re: Avec qui??

      Posté par  . Évalué à 10.

      Signer ses emails, ça suppose qu'on demande un effort supplémentaire à l'interlocuteur

      Signer, non : ce n’est pas parce que tu signes tes mails que tes interlocuteurs sont tenus d’avoir ta clef publique et de vérifier systématiquement que la signature est bonne. Ils peuvent le faire (tout comme ils peuvent vérifier en recevant un courrier papier de ta part que la signature manuscrite ressemble bien à celle qu’ils connaissent), mais le simple fait que tu signes ne les contraint à rien.

      Chiffrer, là d’accord. Mais si tu chiffres, c’est que de toute façon ton interlocuteur avait déjà fait l’effort nécessaire (sinon tu ne pourrais pas avoir sa clef publique), donc tu ne lui demandes rien non plus.

  • # Difficile

    Posté par  . Évalué à 2.

    C'est difficile de signer ses mails quand ses contactes oublient, ou qu'ils n'ont pas de clé PGP et qu'ils disent "bha on s'en fou".
    Mais depuis un certain temps je chiffre automatiquement mes mails avec Thunderbird+Enigmail du coup ca reste très simple.

    De plus il existe la solution BitMessage qui chiffre de façon transparente les mails et qui m'est très sympathique et qu'il m'arrive d'utiliser.

  • # De la difficultée du chiffrement / signature

    Posté par  . Évalué à 3.

    Dire que c'est "difficile", est bidon.

    Deux choses différentes :
    - le chiffrement. Requiert une paire de clef, et la connaissance de la clef publique du destinataire. Avec un client mail, tu n'as .. rien à faire.
    - la signature. Requiert une paire de clef uniquement. Avec un client mail, tu n'as .. rien à faire.

    Bawé les gars.
    Avec un client mail alacon, tu définis des règles. Comme, par exemple, toujours signer les messages. Je signe tout mes messages. Ce n'est pas contraignant, je ne le sais même pas (enfin, si, mais je n'ai rien à faire), c'est tout benef pour le type en face (dans le pire des cas, il s'en fout). De même, il est possible de toujours chiffrer les mails, lorsque tu possèdes la clef publique du destinataire.
    Et là encore, tu n'as rien à faire.

    Bref, dans tout ça, il s'agit juste de prendre le temps (un néophyte de mes connaissances à mis 15min il y a peu ..) d'installer un plugin / configurer / jesaispasquoi en fonction de votre soft

    C'est cher payé, non ?

    • [^] # Re: De la difficultée du chiffrement / signature

      Posté par  . Évalué à 4.

      Tu ne semble pas avoir compris la problématique. Ce n'est pas les 15 minutes de configuration d'un client desktop qui pose le plus gros problème, c'est le fait de gérer correctement les clefs, de gérer correctement la confiance dans les différents clefs des autres, d'utiliser un webmail, d'utiliser un smartphone (et non, K9-mail n'est pas la solution, cf ce qu'il en a été dit plus haut). La problématique, ce n'est pas d'arriver à l'utiliser une fois, c'est de l'utiliser tous les jours de manière sûre.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: De la difficultée du chiffrement / signature

      Posté par  . Évalué à 7.

      Préambule: Je suis un utilisateur de GnuPG, je signe tous mes mails, et certaines de mes conversations sont intégralement chiffrés (et fait celles qui contiennent des infos confidentielles). Je trouve ça génial, et j'essaie d'inciter les gens autour de moi à utiliser les moyens cryptographiques mis à leurs dispositions. Mais je ne suis pas d'accord avec toi.

      […] un néophyte de mes connaissances à mis 15min il y a peu […]

      C'est cher payé, non ?

      Bien en 15 minutes ton néophyte à une clef publique une clef privée, et c'est tout.

      Ça prends combien de temps à former quelqu'un à OpenPGP à ton avis ? Personnellement, avec des gens interessés et un bon niveau en informatique je dis au moins deux heures. Pour moi, être formé ça consiste en:

      • avoir des certificats de révocations prêts
      • savoir générer des certificats de révocation
      • avoir compris la notion d'expiration de clef
      • savoir mettre à jour l'expiration de sa clef
      • avoir séparé la clef de signature et la clef de certification, et de ne pas garder la clef de certification sur une machine allumée
      • avoir compris la notion de validité
      • avoir compris la notion de confiance en le propriétaire de la clef (de ce coté là GnuPG n'aide pas en parlant de trust pour designer la validity ou le owner trust suivant le contexte)
      • avoir compris la notion de réseau de confiance et ses règles de propagation
      • savoir certifier des clefs (ce qui implique avoir expliqué la notion de fingerprint et l'importance de la vérifier en intégralité. J'ai même illustré cette partie là dans un de mes précedents journaux, ça ne se fait pas en 20 secondes)
      • savoir mettre à jour son réseau de confiance
      • savoir révoquer une certification

      et enfin bien sûr

      • savoir signer un message
      • savoir chiffrer un message
      • savoir vérifier une signature d'un message
      • savoir déchiffrer un message.

      Mais j'ai plûtot l'impression que pour toi, les 15 minutes necessaires à ton néophytes ont permis d'atteindre l'objectif de ces quatre derniers points, mais pas du reste. Ou alors tu es un formateur de génie.

      • [^] # Re: De la difficultée du chiffrement / signature

        Posté par  . Évalué à -2.

        Bawé, en 15 min, mon sbire à trouver comment chiffrer, déchiffrer, signer et faire des clefs;
        Autrement dit, il sait s'en servir.

        Après, évidement, la théorie et les moindres détails lui échappent

        • [^] # Re: De la difficultée du chiffrement / signature

          Posté par  . Évalué à 4.

          Ben non il ne sais pas s'en servir. Désolé de te décevoir.

          Il est vulnérable à toutes les arnaques inimaginables, de la plus simple comme une clef avec une fausse identité, à la plus complexe. Ce n'est pas ce que j'appelle savoir s'en servir.

          Et c'est même encore pire, puisqu'il a un faux sentiment de sécurité. En fait je ne pense pas que tu lui a rendu service.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.