Journal [PGP] Des failles de sécurité sous le sapin pour Thunderbird et Enigmail !

11
25
déc.
2017

Cet automne, l'hébergeur de mail Posteo s'est associé avec Mozilla pour commander un audit de Thunderbird et Enigmail… et c'est pas moins de 22 failles de sécurité qui ont été découvertes par l'équipe de Cure53, dont 3 classées critiques et 5 graves.

Que faire ? Il est vivement conseillé de :

  • mettre à jour immédiatement l'extension Enigmail (qui corrige plusieurs failles)
  • désactiver les autres extensions dans Thunderbird jusqu'à ce que l'architecture du système d'extension soit revue de zéro dans Thunderbird 59
  • (…)

Journal De la distribution des clefs OpenPGP

Posté par  . Licence CC By‑SA.
59
11
mai
2017

Introduction

Un problème fréquemment rencontré avec OpenPGP est celui de la distribution des clefs publiques : comment Alice peut-elle transmettre sa clef publique à Bob, étape préalable indispensable à toute communication sécurisée ?

Depuis les premières versions de PGP, plusieurs méthodes ont été élaborées pour tenter de résoudre ce problème. Cet article les passe en revue.

Les serveurs de clefs

La première méthode, la plus connue et celle historiquement associée au monde OpenPGP, consiste à enregistrer la clef auprès d’un serveur (…)

Journal Google chiffrement de mail end to end

Posté par  . Licence CC By‑SA.
Étiquettes :
15
20
jan.
2017

Bonjour à tous,

Il semblerait qu'il y ait quelques avancements concernant le chiffrement de bout en bout avec google mail.

Google vient de publier le projet keytransparency. Projet devant permettre de construire des clients (web)mail permettant le chiffrement de bout en bout pour monsieur et madame Michou.

Mais corrigez moi si j'ai mal compris.

Blog post à propos de key transparency
Application Chrome
Projet end-to-end

Vous en pensez quoi ?

Journal Échanger des courriels avec Pôle-Emploi, ça peut être compliqué

Posté par  . Licence CC By‑SA.
29
6
jan.
2017

Comme certains d'entre-vous le savent peut-être, depuis quelques mois, il n'est maintenant plus possible de prendre rendez-vous avec Pôle-Emploi en se présentant à leurs bureaux. Le moyen exclusif pour prendre rendez-vous avec son conseiller est de le contacter par courriel (du moins en Rhône-Alpes Auvergne).

Bon, j'aime bien avoir les gens en face par téléphone, pour être efficace et interagir rapidement sur les éventuelles raisons pour lesquelles je demande un rendez-vous, mais je peux m’accommoder d'un simple contact par courriel.

(…)

Sortie de passbolt v1.3.0

28
29
nov.
2016
Sécurité

La version 1.3.0 de passbolt est sortie le 25 novembre 2016. Passbolt est un gestionnaire de mots de passe, conçu pour la collaboration en équipe, sous licence libre AGPL. Cette sortie marque notamment le début de la prise en charge d’un greffon pour le navigateur chrome.

Journal De la confiance dans le monde OpenPGP

Posté par  . Licence CC By‑SA.
62
27
nov.
2016

Introduction

La confiance est l’un des concepts à la fois les plus importants et les plus mal compris d’OpenPGP. Derrière ce terme peuvent se cacher en réalité deux notions bien distinctes, illustrées par les propositions suivantes :

  • Alice est confiante que la clef 0xB4902A74 appartient à Bob ;
  • Alice fait confiance à Bob quand celui-ci lui dit que la clef 0x4B493BB7 appartient à Charlie.

La première proposition fait référence à la validité de la clef 0xB4902A74, tandis que la seconde fait (…)

Passbolt, un nouveau gestionnaire de mots de passe pour les équipes

31
16
avr.
2016
Sécurité

Passbolt est un gestionnaire de mots de passe open source [N. D. M. : licence libre AGPL v3 pour le code, mais licence non libre CC BY-NC-SA pour leur site Web] conçu pour la coopération. Il permet aux membres d’une équipe de stocker et partager leurs mots de passe de manière sécurisée, et d’être intégré à un écosystème existant par l’intermédiaire de son API et de son client console. Le chiffrement des mots de passe se base sur un standard reconnu : OpenPGP.

passbolt logo

Journal OpenPGP, enlarge your privacy

Posté par  . Licence CC By‑SA.
Étiquettes :
23
21
juin
2015

Il y a quelques mois, gouttegd nous faisait un cours magistral sur l'usage d'OpenPGP sur les cartes à puce et récidivait sur le sujet de la gestion des clés.

Ce comportement inadmissible mérite que l'on s'y intéresse de plus près. J'ai donc décidé de me lancer dans l'aventure et de générer moi aussi ma clé PGP. J'espère donc ici apporter un complément aux excellents articles pondus par gouttegd en expliquant comment j'ai posé les premières pierres de (…)

Quelques brèves sur OpenPGP

Posté par  . Édité par ZeroHeure, Nils Ratusznik, Nÿco, palm123, Benoît Sibaud, tuiu pol et rakoo. Modéré par palm123. Licence CC By‑SA.
Étiquettes :
37
5
juin
2015
Sécurité

NdM : gouttegd livre régulièrement des journaux traitant d'OpenPGP. Il vient de réaliser une petit tour d'horizon de quelques brèves à ce propos.

Au sommaire :

  • La reprise d'activité sur OpenPGP ;
  • Une nouvelle version de la carte OpenPGP ;
  • Facebook se met à OpenPGP.

Bonne lecture !

Certification de clés PGP et CAcert à Paris le 20 avril 2015

Posté par  . Édité par Benoît Sibaud, Ontologia et bubar🦥. Modéré par ZeroHeure. Licence CC By‑SA.
9
15
avr.
2015
Sécurité

CAcert est une « autorité de certification communautaire qui émet gratuitement des certificats pour tous ». Elle peut donc fournir des certificats X.509 pour vos serveurs web, vos navigateurs web ou vos logiciels de courriel. Elle peut aussi signer les clés PGP/GPG.

Un rendez-vous est organisé le 20 avril 2015, à 19h00, pour valider vos identités CAcert, à l'hôtel Novotel Les Halles, 8, place Marguerite de Navarre 75001 Paris.

Le réseau de confiance de CAcert repose sur l'attribution de points : plus vous avez de points, plus la confiance dans le fait que vous êtes qui vous prétendez est grande (et plus vous pouvez attribuer de points à d'autres).

Si vous pouvez aussi donner des points, manifestez vous, soit ici ou sur meetup.

NdM : LinuxFr.org utilise un certificat CAcert (cf l'aide 1, 2 et 3), ainsi que GPG.

Journal Try To Listen Me, nouveau site Open Source de communication chiffrée

Posté par  (site web personnel) . Licence CC By‑SA.
17
27
fév.
2015

Bonjour Nal,

Si je viens te parler directement, pour la première fois, c'est pour te présenter un projet personnel qui me tient à cœur.

TryToListen.Me un site web de communication chiffrée de bout en bout dans le navigateur.

Ce site est sous Licence Apache 2.0 et tu trouveras les sources sur la forge propriétaire en vogue GitHub

En quoi consiste ce site web ?

Il se base sur

“OpenPGP card”, une application cryptographique pour carte à puce

Posté par  . Édité par BAud, ZeroHeure, Benoît Sibaud, jben, Pierre Jarillon, khivapia, Nicolas Boulay, palm123, Davy Defaud, M5oul et vaxvms. Modéré par ZeroHeure. Licence CC By‑SA.
79
18
déc.
2014
Sécurité

À la demande générale de deux personnes, dans cette dépêche je me propose de vous présenter l’application cryptographique « OpenPGP » pour cartes à puce au format ISO 7816. Une carte à puce dotée d’une telle application vous permet d’y stocker et de protéger vos clefs OpenPGP privées.

Signing party au salon Solutions Linux le 20 mai 2014

Posté par  (site web personnel) . Édité par Nÿco, Benoît Sibaud et patrick_g. Modéré par ZeroHeure. Licence CC By‑SA.
17
17
avr.
2014
Sécurité

En ces temps troublés, il est important de sécuriser nos échanges d'information — en chiffrant — ainsi que la distribution de logiciels — en signant les publications.

À cette fin, le salon Solutions Linux, Libres et Open Source sera l'occasion d'une signing party PGP, le 20 mai 2014 à 18h près du stand Debian France. Cette signing party est ouverte à tous les visiteurs et exposants du salon.

Pour faciliter les échanges d'empreintes de clefs en cas d'affluence, il est possible que nous utilisions une liste officielle de participants selon le protocole de Zimmermann-Sassaman. Pour préparer cela, il est demandé aux participants de me contacter en m'envoyant leur clef publique. Selon la méthode de signing party retenue, je publierai ultérieurement des instructions plus précises.

Forum Astuces.divers Thunderbird messages pouvant être frauduleux

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
0
28
mai
2013

Comme certains d'entre-vous je suppose j'ai plusieurs adresses mails dont certaines sont des alias de mon adresse principale, et que je gère comme identités dans Thunderbird. Par ailleurs j'utilise openpgp et enigmail pour signer mes messages envoyés.

Pour mon adresse principale tout se passe bien. Par contre pour un alias quand je m'envoie un mail sous l'identité qui va bien Thunderbird m'affiche un beau "Ce message peut-être frauduleux" alors que dans le même temps OpenPGP m'indique "Signature correcte". Ceci ce (…)