"le Sénat a rejeté les amendements visant à purger du texte hadopi 2 l'expression de Communication électronique. Le ministre de la Culture a expliqué que suite à la décision du conseil constitutionnel sur la DADVSI, tous les échanges devaient être traités de la même façon. Dès lors, comme le P2P, les pièces jointes aux emails pourront faire l'objet d'une surveillance /.../"
Extrait de http://www.pcinpact.com/actu/news/51631-hadopi-communication(...)
N'ayant absolument pas besoin d'avoir une sécurité renforcée lors de mes échanges électroniques (si je faisais de l'espionnage, je n'utiliserais sans doute pas ce moyen d'échange), mais détestant me faire prendre pour un abruti par des gens qui le sont visiblement plus que moi (cf le fameux "il ne faut pas prendre les gens pour des cons mais il ne faut pas oublier qu'il le sont" des Inconnus), je me suis ENFIN décidé à mettre en place le chiffrement électronique de mes messages.
Pour le principe.
Bien entendu, tout comme passer au protocole Jabber lorsqu'on est tout seul à l'utiliser ne sert pas à grand chose, il faut que ses correspondants utilisent un tel système pour que cela soit intéressant.
C'est pour cela que je pense qu'il est nécessaire que tout le monde s'y mette pour que cela signifie quelque chose.
Tout d'abord, je vais indiquer les raisons qui m'ont empêchée jusque là de m'y pencher plus que cela :
- Pas de raison valable. Franchement même si je suis pour la sécurité de la vie privée, je n'ai rien à cacher à ce niveau. => Maintenant on a une raison valable de le faire, on ne peut pas prendre les gens pour des idiots comme cela sans rien en retour : prétexter la défense d'artistes miteux juste pour voter une loi liberticide digne du roman 1984, c'est hypocrite et minable.
- Paresse de gérer la clé : si j'ai une clé privée, il me faut être certain de ne pas la perdre, mais si je la duplique partout sans protection, cela perd sa raison d'être. => Donc j'ai créé un espace chiffré sur mon disque dur, où je garde une copie de ma clé, ainsi je peux dupliquer ce fichier chiffré sans problème si nécessaire et sans risquer de compromettre sa sécurité.
- Peur que cela soit compliqué à utiliser, peur que cela ne soit pas pratique d'échanger des clés. => Il est en fait possible d'exporter sa clé publique sur un serveur de clé (comme par exemple http://keys.gnupg.net/ ), et ainsi les destinataires de vos messages qui recevront l'entête pourront récupérer votre clé publique sur le serveur s'ils ne l'ont pas déjà. (mais est-ce que cela pose un risque à long terme ? Risque de se faire spammer si son adresse internet est visible et récupérable ? Est-ce qu'il est possible de retirer sa clé d'un serveur si on change d'avis par la suite ?)
- Je pensais que le chiffrement des messages était incompatible avec les webmails. Évidemment cela reste problématique en déplacement, mais il existe des projets pour rajouter le chiffrement pgp dans le navigateur : http://fr.getfiregpg.org/
Si vous avez des retours d'expérience intéressants à ce sujet, merci d'en faire part ici.
J'ai testé l'installation d'enigmail et gnupg sur des postes avec windows, et cela n'était pas très compliqué, aussi je pense que cela reste à la portée de néophytes.
Quelques liens sur la question :
- GNUPG : http://www.gnupg.org
- Comment utiliser Enigmail avec Thunderbird : http://fr.security.ngoinabox.org/thunderbird_utiliserenigmai(...)
Journal Hadopi 2 ne passera pas comme une carte postale à la poste...
16
juil.
2009
# Michael Jackson le fait aussi
Posté par passant·e . Évalué à 8.
- http://www.20minutes.fr/article/338900/People-Le-corps-de-Mi(...)
Je trolle dès quand ça parle business, sécurité et sciences sociales
[^] # Re: Michael Jackson le fait aussi
Posté par ナイコ (site web personnel) . Évalué à 4.
# Petit tuto pour GPG pour Ubuntu
Posté par ®om (site web personnel) . Évalué à 0.
blog.rom1v.com
# Chiffrer
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 3.
J'utilisais enigmail, une extension (?) de thunderbird, et maintenant tout simplement mutt.
La nouveauté pour moi, c'est de chiffrer certaines données de mon disque temps à autre, histoire de m'habituer :)
J'avais trouvé un site qui offre une méthode sympa à base de clef USB et de partition chiffrée pour ne pas compromettre sa clef PGP en cas de perte de son support electronique : http://www.einval.com/~steve/docs/gpg-autofs.html
J'ai pas encore testé la portabilité d'une telle méthode, mais ça me plait…
Si j'ai des potes avec qui j'ai des échanges chiffrés sur jabber (via l'extension "o-t-r" de gaim), j'ai pas réussi à convaincre naturellement (et donc pas à l'usure) mes proches (parents, etc) de l'utilité du chiffrement et (surtout) de la signature pour eux.
# Réponses
Posté par Nicolas Bernard (site web personnel) . Évalué à 4.
"Non, mais..." La sécurité du système ne dépend pas de celle de la clef publique (mais on peut imaginer des attaques qui nécessitent la clef publique et ne marche pas sans).
Risque de se faire spammer si son adresse internet est visible et récupérable ?
Oui.
Est-ce qu'il est possible de retirer sa clé d'un serveur si on change d'avis par la suite ?)
Non.
Note également que ta clef est déjà chiffrée. Ta phrase de passe sert à la déchiffrer; il n'est donc pas forcément nécessaire de créer une partition chiffrée.
[^] # Re: Réponses
Posté par B16F4RV4RD1N . Évalué à 2.
Pour la "sécurité" de mettre la clé publique sur un serveur, c'était plus par rapport au risque de se faire prendre son adresse email par des spammeurs.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Réponses
Posté par Etienne Bagnoud (site web personnel) . Évalué à 3.
Par contre il est possible de révoquer la clé, la rendant ainsi nul. http://www.hackdiary.com/2004/01/18/revoking-a-gpg-key/
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
# Clé privée
Posté par TNorth . Évalué à 2.
Malheureusement, ce qui est problématique avec GPG, c'est qu'il faut balader sa clé privée partout. Si on balade son laptop partout, c'est bon. Sinon c'est un poil plus compliqué, et il ne faut pas oublier que l'on ne pourra pas déchiffrer ses propres emails dans le cas ou on a pas sa clé sous la main.
Qui de vos amis utilisateurs lambda promèneront une clé USB avec leur clé et un Portable Firefox installé avec FireGPG pour les fois ou ils ne sont pas sur leur machine ?
Pour ma part, probablement pas plus de 5% ...
[^] # Re: Clé privée
Posté par genma (site web personnel) . Évalué à 4.
C'est une question de choix. Tu as fais un choix. Si tes amis ne comprennent pas ton choix, il faut leur expliquer que c'est une question de respect de TA vie privée. Eux s'en moquent et ne chiffrent pas leurs mails? C'est leur problème. Mais qu'ils te respectent toi.
Comme je le disais dans mon article il y a un an (http://genma.free.fr/spip.php?article533 : Pourquoi je chiffre/crypte mes mails ?)
Au début, c’était plus par curiosité personnelle, vu que je m’intéresse à l’informatique. Mais maintenant, c’est une forme d’activisme, plus précisément une forme d’activisme geek : Nous ne verrouillons pas la porte de nos chambres ou de nos salles de bains parce que nous avons quelque chose à cacher. Nous ne sécurisons pas nos réseaux, conversations, emails et fichiers parce que nous avons quelque chose à cacher.
Je pense que ce journal va être intéressant de part les discussions qu'il va engendrer. Merci à son auteur que je plussoie.
[^] # Re: Clé privée
Posté par VoixOff . Évalué à 3.
Où est le bénéfice pour ma vie privée ?
[^] # Re: Clé privée
Posté par paul . Évalué à 4.
[^] # Re: Clé privée
Posté par Maclag . Évalué à 5.
Dans le meilleur des cas, on peut espérer un effet "ah c'est cool" qui va durer 2 semaines et puis ensuite la fainéantise et le manque de motivation vont reprendre le dessus chez tes interlocuteurs.
[^] # Re: Clé privée
Posté par briaeros007 . Évalué à 3.
Et hop ton client te le chiffre tout seul.
Et tu demande de récup automatiquement les clés qu'il ne connait pas, comme ca dès que quelqu'un signe son email, ton client va récup tout seul une clé (ensuite si elle est bonne ou pas c'est une autre question) (malheureusement cette étape en encore du mal /o\ ).
[^] # Re: Clé privée
Posté par cichlidé d'eau de mer . Évalué à -2.
AInsi chaque lettre d'une phrase peut être remplacée par la lettre qui suit dans l'alphabet :
a par B, b par , etc.
Dans ce cas « attaque à l'aube » devient « BUUBRVF B M'BVCF »
pas très sexy mais pas besoin de trimballer une clef privé, les Sigur Ros utilisent déja cette technique pour leurs lyriques.
par contre j'ai pas réussit à "breaker" ta signature.
[^] # Re: Clé privée
Posté par Maclag . Évalué à 4.
Sinon, pour "breaker" sa signature, tu peux le faire sans ordinateur avec un bon dictionnaire français-japonais... ;)
[^] # Re: Clé privée
Posté par TNorth . Évalué à 5.
Mme Michu part en vacances chez sa soeur, et trouve un ordinateur pour checker ses mails. Zut, il faut sortir sa clé privée. Clé USB, c'est parti. Zut, l'ordi a une autre architecture (ou un autre OS) et son Portable Firefox ne tourne pas. Et bien avant de checker ses mails, il va falloir se taper l'installation de FireGPG...
Oui c'est faisable, mais non ce n'est pas pratique.
J'encouragerai vivement Mme Michu, mais l'excuse "j'ai rien à cacher" risque de l'emporter quand même, et conclusion, je devrai lui envoyer des mails en clair, que je le veuille ou non.
(Ou arrêter de communiquer par email, mais là c'est un peu fort, quand même...)
[^] # Re: Clé privée
Posté par GG (site web personnel) . Évalué à 3.
il y a quelque chose que je faisais avant :
- Ma clef privée était sur l'un de mes postes, celui que j'utilisai habituellement.
Quand j'étais en déplacement, avec mon eeePC, je montais mon home avec sshfs, et, sur mon eeePC, il y avait déjà les liens symboliques vers certains dossiers clefs, pour Jabber par exemple. Ainsi, plus rien ne s'écrivait sur mon eeePC, j'avais le chiffrement et la connexion par la clef, les historiques des conversations directement enregistrées sur mon poste au bureau... bref, c'était bien pratique.
La seule chose qui posait problème, c'était iceweasel, parce qu'il voulait absolument lister chaque e-mail (du dossier en local), et c'était donc un peu trop long.
J'étais parti du principe que si j'avais besoin de ma clef, ou bien si j'utilisais Jabber, c'est que j'étais connecté à Internet, et autant avoir tout sous la main (via fuse).
A bientôt
Grégoire
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Clé privée
Posté par grid . Évalué à 7.
[^] # Re: Clé privée
Posté par cichlidé d'eau de mer . Évalué à -1.
c'est pas plutôt icedove, non ?
[^] # Re: Clé privée
Posté par zebra3 . Évalué à 5.
Dans ce cas, tu pourras lui dire que tu vas installer des caméras dans ses toilettes et dans sa salle de bain.
Après tout, elle n'a rien à cacher.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Clé privée
Posté par Maclag . Évalué à 4.
"Je n'ai rien à cacher DANS MES MAILS! Et vous, vous portez une burka dans la rue pour ne pas que tout le monde ait la possibilité de vous reconnaître sans vous demander votre permission?"
Moi je verrai plutôt comme:
"Ca ne vous choquerait pas de savoir que le facteur lit tout votre courrier quand il s'ennuie? Après tout vous n'avez rien à cacher! Au fait, puisque de toute façon il lit votre courrier, vous ne voyez pas d'inconvénient non plus à ce qu'il en fasse des copies et les revende à des publicitaires? De toute façon vous avez déjà accepté, n'est-ce pas? Vous ne le saviez pas??"
[^] # Re: Clé privée
Posté par khivapia . Évalué à 3.
C'est même un point de passage quasi-obligé pour que les élections soient considérées comme "valides" par les organisations internationales. Il me semble (à confirmer) que mettre un bulletin dans l'enveloppe en dehors de l'isoloir rend, en France, le vote nul.
Si donc on a un principe comme ça à la base même de la vie démocratique, c'est bien qu'on peut, légitimement, avoir des choses à cacher, et des choses qui ne sont pas forcément intimes ni "graves" (il y a statistiquement beaucoup de monde qui vote de la même façon que soi). Protéger sa vie privée est tout simplement un acte de bon sens.
(d'ailleurs à quand un système de paiement aussi anonyme que l'argent liquide pour acheter sur internet ?)
[^] # Re: Clé privée
Posté par briaeros007 . Évalué à 2.
La carte bleu volée ?
-> []
[^] # Re: Clé privée
Posté par Benoît Sibaud (site web personnel) . Évalué à 2.
Le système serait en tout cas bien pratique pour blanchir de l'argent. Tout dépend si on veut une système anonyme pour tous les acteurs (État, acheteur, vendeur, intermédiaires, ...) ou seulement certains (par exemple l'État peut toujours tracer, mais le vendeur et les intermédiaires ne savent rien sur le acheteur, tout en étant à peu prêt sûr qu'il peut payer).
[^] # Re: Clé privée
Posté par khivapia . Évalué à 1.
Il suffit à Mme Michu d'emporter simplement la clef USB bootable sur laquelle elle aura pris soin d'emporter une copie de sa clef privée. L'intérêt pour elle, c'est que les processeurs x86 étant (presque) partout, elle aura son système à elle qui marchera (presque) partout, avec ses favoris à elle, sa session mail à elle, ses applis favorites etc.
On trouve des clefs USB 16Go pour moins de 30€, un système complet avec de la place pour pas mal de données c'est franchement pas compliqué à faire.
[^] # Re: Clé privée
Posté par Maclag . Évalué à 3.
- Mme Michu ne veut sans doute pas emmener de clé usb partout où elle va, c'est un peu un truc de geek tout de même.
- L'ordinateur de sa tantine est peut-être pas compatible avec la distribution live sur sa clé usb (oui, parce que c'est bien beau une distro live sur une clé usb, mais ça veut dire que Mme Michu doit faire les mises-à-jour sur son ordi ET sa clé usb, je pense que ça va vite la gaver)
- On va voir de plus en plus de netbook sous ARM, Mme Michu va avoir un souci
- La tantine ne connaît peut-être rien aux live-cd et pourrait ne pas aimer voir la clé usb avec la distro live. Perso, je ne ferai pas confiance non plus à Mme Michu pour me fournir une explication technique
Bref, la clé emportable partout, ça reste un truc de geek!
[^] # Re: Clé privée
Posté par briaeros007 . Évalué à 2.
Mme michu elle s'en fout, elle comprend rien.
Si on lui dis "met cette clée usb, elle contient toutes tes données", elle prendra sa clé usb (qui ne prend pas plus de place qu'un rouge à lèvre.
Mais si _TOI_ tu veux absolument modifier le problème dès qu'on te propose une solution pour aboutir , forcément, à un problème insoluble, continue tu semble bien partis.
- L'ordinateur de sa tantine est peut-être pas compatible avec la distribution live sur sa clé usb (oui, parce que c'est bien beau une distro live sur une clé usb, mais ça veut dire que Mme Michu doit faire les mises-à-jour sur son ordi ET sa clé usb, je pense que ça va vite la gaver)
Mme michu ne fait PAS de mise à jour. Elle sait même pas ce que c'est. Les trucs sont fait automatiquement. Et rien n'empeche Mme michu d'utiliser sa clé usb AUSSI chez elles.
De plus, le coup du "pas compatible", on parle d'une solution récente, pas d'un système vieux d'il y a 5 ans!
- On va voir de plus en plus de netbook sous ARM, Mme Michu va avoir un souci
Source ?
On était partis sur "elle va sur le pc de sa famille" et on arrive "sur le psion de 1980 ca va pas marcher".
Encore une fois, si tu veux a tout prix changer TOUT ton cahier des charges dès qu'une solution t'es proposé, te gêne pas, mais on risque pas d'avancer.
La tantine ne connaît peut-être rien aux live-cd et pourrait ne pas aimer voir la clé usb avec la distro live.
Euh c'est quoi là ? Du délire paranoiaque capillo tracté ? Tu te rend compte que c'est tout sauf logique.
"Elle n'y connait rien [donc elle ne comprend pas plus] donc elle risque de ne pas aimer".
Comment est ce qu'elle peut ne "pas aimer" quelque chose qu'elle sait même pas que ça existe ? C'est un dieu qui lui dis "tu n'aimera pas que ta copine branche sa clé usb sur ton pc" ?
Bref, la clé emportable partout, ça reste un truc de geek!
Ahahaha quelle conclusion.
Non, "bref la clé emportable reste une solution comme un autre. Et si tu souhaitais vraiment une solution, tu partirais pas dans des délires et essayerait d'etre constructif, plutot que d'inventer des cas aussi tordu qu'irréaliste".
[^] # Re: Clé privée
Posté par Etienne Bagnoud (site web personnel) . Évalué à 5.
Par exemple je suis en train de me configurer un serveur web pour n'accepter que les mails signés. C'est un compte mail que j'utilise et sur lequel je n'ai pas envie de me battre avec les spams.
Par exemple pour le projet Debian, les mainteneurs ne devraient pas signer des clés de personnes n'ayant pas été rencontrées personnellement et ayant pu prouver leur identité avec un papier officiel (carte d'identité, permis de conduire, ...). http://www.debian.org/events/keysigning
C'est donc le principe de fonctionnement d'un réseau de confiance, des personnes que l'on connaît personnellement avec qui il est possible d'échanger des informations à caractère très privé (problèmes de couples, problèmes de santé, protestation contre un gouvernement qui enferme et tue les protestataires, ...) : des trucs qu'on va pas forcément raconter au premier venu.
Donc il est utile d'utiliser GPG, ça permet de se créer un réseau de confiance, mais je dois dire que dans mon entourage directe je n'ai que 2 personnes qui utilisent ces clés et elles sont gentiment en train d'abandonner. Et quand je rencontres d'autres services informatiques, je proposes un échange de clé, mais malheureusement il y en a aucun qui savait de quoi je parlais.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Clé privée
Posté par GG (site web personnel) . Évalué à 2.
oui, ça sert aussi à signer, c'est aussi ce que je fait.
Pour les pièces jointes, parfois je le désactive parce que ça perturbe certaines personnes :)
Concernant les messages chiffrés, en cas de perquisition, il peut t'être demandé de déchiffrer les messages, ou les partitions ou... (sur demande d'un juge, d'un procureur???) mais c'est vrai que ça limite déjà pas mal de choses.
A bientôt
Grégoire
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Clé privée
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
C'est là qu'entre en jeu la stéganographie, tu as même des solutions pour stéganographier ton disque.
Tu peux donner un mot de passe au juge qui ouvre certain fichier (pas innocent, mais pas grave, genre une collection de mp3 téléchargée illégalement (ah non, ça c'est hyper grave, donc un truc moins grave (trafic de drogue, trafic d'arme, trafic d'organe))), et il y a aucun moyen de prouver que tu as plus de fichiers, donc tu as respecté la loi tout en évitant d'avoir donné la liste des gens que tu prévoyais d'assassiner (ou que tu as déjà assassiné). http://en.wikipedia.org/wiki/Steganographic_file_system
Et finalement tu peux écrire tes mails directement en stéganographie, tu les chiffres avec GPG et tu les conserves sur un disque dur stéganographié. http://fr.wikipedia.org/wiki/Steganographie
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Clé privée
Posté par khivapia . Évalué à 1.
Non. Déjà, tout simplement, tu peux avoir oublié/perdu ton mot de passe. D'autre part si tu es prévenu, tu ne peux pas être contraint de témoigner contre toi-même (c'est un droit de l'homme des plus fondamentaux. Sinon ça ouvre la voie aux procès de Nüremberg Moscou etc.).
Le truc c'est que c'est quitte ou double : chiffrer des données va rendre l'enquête plus difficile, mais si elle aboutit à un jugement en ta défaveur, tu seras plus lourdement condamné (logique).
Cf un de mes commentaires à ce sujet : https://linuxfr.org/comments/950272.html#950272 et un autre commentaire qui cite legifrance (mais la loi va peut-être changer avec la LOPPSI) https://linuxfr.org/comments/843477.html#843477
On peut prendre une analogie : un criminel qui tue quelqu'un va se débarrasser du couteau. Soupçonné, on lui demandera de fournir l'arme du crime. S'il ne la donne pas mais qu'il est jugé coupable (parce qu'on a trouvé le couteau/cassé les clefs :), il sera condamné plus lourdement que s'il avait coopéré, mais d'un autre côté l'enquête aura été plus difficile. S'ils ne trouvent pas l'arme du crime et n'ont pas assez de matière pour juger le prévenu coupable, il sera libre.
[^] # Re: Clé privée
Posté par briaeros007 . Évalué à 2.
Tu confond avec la constitution américaine.
Ce que dis la dudh, c'est
1°) Tous sont égaux devant la lois, et on droit à une égale protection (article 7)
2°) en matière pénale (et pas civil, bizarre...) la personne a le droit que sa cause soit entendu équitablement et publiquement par un tribunal indépendant et impartial (article 9; et la dernière partie est déjà pas mal out en france).
3°) Présomption d'innocence. (article 11)
4°) Pas de rétro activité/ extra territorialité des lois. (On ne peut pas te condamner pour des actes qui : au moment des faits (et donc à l'endroit où ils étaient commis) n'était pas condamnable).(article 11, assez peu respecté en france en ce qui concerne la finance. Et aussi en ce qui concerne certains domaines (tourisme sexuel) où des actes sont jugés alors que produit sur un territoire où le droit français ne peut pas s'appliquer (car n'étant pas un territoire soumis au droit francais)).
# l'Abhorchdienst...
Posté par cichlidé d'eau de mer . Évalué à -1.
http://www.ouest-france.fr/actu/actuDet_-Hadopi-2-pas-de-sur(...)
# Chiffrement des mails au niveau du serveur
Posté par eon2004 . Évalué à 1.
Tout dépend de quoi tu veux te prémunir. Des hackers ou d'HADOPI ?
Posons la situation :
Mme Michu lit ses mails depuis de multiples postes (maison, bureau, amis, etc...) via un webmail. Ses mails sont stockés chez hotmail, yahoo, wanadoo...
Déja, se prémunir des hackers, c'est mort. L'ordinateur d'accès aux mails n'est pas sûr et il est très simple de copier la clé secrète et les identifiants de la personne.
Par contre pour HADOPI, il suffirait de se noyer dans la masse des communications SSL. Si le serveur de mail de l'expéditeur chiffrait son mail avec le certificat SSL du serveur de mail du destinataire on pourrait avoir un système transparent pour l'utilisateur qui donne du fil à retordre à l'HADOPI (perquisition des mails sur le serveur nécessaire....).
Les webmails sont déja en SSL. Avec un serveur hébergeant les mails pas très zèlé sur la conservations des logs, ca devrait le faire.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.