Journal Méthode anti spam: gnupg...

Posté par  .
Étiquettes : aucune
0
1
mai
2004
Salut,

Pourquoi on n'utiliserait pas massivement la cryptographie pour mettre fin au spam?
Par exemple, tous les mails devraient être signés (cf. gnupg) par leur envoyeur.
Polithique du receveur:
message non signé ou signature non valide ou clé publique révoquée --> poubelle à SPAM ;
message signé correctement --> inbox.

Vu qu'une clé publique est associée à un e-mail... En plus, si les spammeurs signent leurs e-mails, on pourra créer des black-lists ou savoir contre qui se retourner pour se plaindre du spam.

La plupart des mailers proposent un plugin gnupg.

J'attends vos remarques!

:O)

  • # Re: Méthode anti spam: gnupg...

    Posté par  . Évalué à 1.

    Et si un virus envoie automatiquement un courrier (disont un pourriel) à partir d'un client de courrier (disont OE) et qu'il le signe/crypte automatiquement ?

    • [^] # Re: Méthode anti spam: gnupg...

      Posté par  (Mastodon) . Évalué à 2.

      Et comment il fait pour le signer automatiquement ? :-)

      Tout l'intérêt de la signature, justement, c'est de ne pouvoir être faite que par la personne voulue. En local, la signature nécessite d'entrer une phrase-de-passe, la plupart du temps.

      Après, c'est sur que beaucoup de gens risquent d'utiliser une option du genre "se souvenir de la phrase toute la session", et là c'est foutu.

      • [^] # Re: Méthode anti spam: gnupg...

        Posté par  . Évalué à 0.

        Et comment il fait pour le signer automatiquement ? :-)

        Ben, le virus "clique" sur l'icône correspondante (en envoyant un SendMessage approprié) et si passphrase, un keylogger suffit ...

        C'est p'têt possible, non ?

        • [^] # Re: Méthode anti spam: gnupg...

          Posté par  (Mastodon) . Évalué à 1.

          Disons que c'est possible si c'est mal implémenté ou si les gens sont paresseux. Comme il y a de fortes chances que ce soit le cas souvent... :-)

          • [^] # Re: Méthode anti spam: gnupg...

            Posté par  . Évalué à 1.

            Amha, plusieurs pistes sont possibles, et je pense que celle de la crypto n'est pas si idiote (c'est juste une façon de parler, faut pas se formaliser) que ça :

            - Etablir un nouveau protocole en surcouche du courrier brut (dont la crypto peut jouer un rôle, mais pas celui de *timbre* postal)
            - Serveurs de Mails en peer-to-peer avec seulement quelques adresses/ip autorisées.

            Je pense que finalement, on est bien d'accord que le problème est d'identifier un courrier en provenance d'un humain (autorisé).

        • [^] # Re: Méthode anti spam: gnupg...

          Posté par  . Évalué à 2.

          Je suis un brin utopiste, j'imaginais donc des gens qui utilisent un OS libre.
          En 5 ans d'utilisation de Linux, je n'ai encore jamais vu de virus dessous...
          De plus, le but du truc est d'empêcher le spam,
          pas de protéger ta machine contre le pirate du siècle (ou son fidèle programme) qui logge tes
          frappes clavier afin de te piquer ta passphrase.
          Et si un jour tu t'aperçois qu'elle est compromise
          tu pourras toujours révoquer ta clé.

          • [^] # Re: Méthode anti spam: gnupg...

            Posté par  . Évalué à 2.

            Je suis un brin utopiste, j'imaginais donc des gens qui utilisent un OS libre.

            Il faut, parce que vivre sans rêves ...

            En 5 ans d'utilisation de Linux, je n'ai encore jamais vu de virus dessous...

            On ne prêche pas un converti. ;-)

            Et si un jour tu t'aperçois qu'elle est compromise
            tu pourras toujours révoquer ta clé.

            Actuellement c'est un peu lourdingue car c'est une opération que l'on ne fait a priori pas souvent.

            On pourrait pas mettre en place un protocole qui établirait une espèce de "session" avec un jeton qui aurait différents paramètres de validités ? Du genre comme un cookie ? Avec nombre maximum de courriers avant renouvellement, une date d'expiration, une certaine fréquence ... (tout ceci par expéditeur).

            Ce système pourrait être plus ou moins automatique. Automatique dans les réponses, mais manuel pour autoriser ou refuser une "connexion", en ne faisant juste apparaître que l'expéditeur au autre chose, ce qui ne laisserait que peu de place à la pub.

            Avis ?

    • [^] # Re: Méthode anti spam: gnupg...

      Posté par  . Évalué à 1.

      Dans ce cas là, on sait quel utilisateur a laisser un virus contaminer sa machine. Et on peut le prévenir.
      Du coup, ca risque de donner un sacré frein aux virus, voir même de permettre de remonter à la source (soyons optimiste).

  • # Re: Méthode anti spam: gnupg...

    Posté par  . Évalué à 2.

    gnupg n'apporte pas l'authentification (du moins pas de façon sûr).

    La solution serais plus efficasse avec des certificats X509, en plus la pluspart des lecteurs de mail le supporte, contrairement à X509.

    Bon Ok c'est moins facile d'avoir un X509 qui soit validé par une veritable autorité de certification mais c'est à mon sens la seul veritable façon de savoir qui envoit le mail vraiment.

    • [^] # Re: Méthode anti spam: gnupg...

      Posté par  . Évalué à 1.

      Un peu bourrin, non ? Autant mettre Kerberos ...

    • [^] # Re: Méthode anti spam: gnupg...

      Posté par  . Évalué à 1.

      Bon Ok c'est moins facile d'avoir un X509 qui soit validé par une veritable autorité de certification mais c'est à mon sens la seul veritable façon de savoir qui envoit le mail vraiment.
      Pour la vérification d'une signature, je fais plus confiance à quelqu'un que j'ai vu en personne (key parties) qu'à une multinationale américaine.
      GNUPG est fait pour marcher à "taille humaine", c'est pas le même objectif que X509. Enfin je crois.

      • [^] # Re: Méthode anti spam: gnupg...

        Posté par  . Évalué à 1.

        Pour la vérification d'une signature, je fais plus confiance à quelqu'un que j'ai vu en personne (key parties) qu'à une multinationale américaine.

        Certes, mais cela te restreint aux personnes accessibles physiquement ? Peut-être ta confiance est-elle alors transitive ? (Je te refile l'adresse d'une personne que j'ai vue, etc.)

        • [^] # Re: Méthode anti spam: gnupg...

          Posté par  . Évalué à 1.

          Peut-être ta confiance est-elle alors transitive ? (Je te refile l'adresse d'une personne que j'ai vue, etc.)
          Tout à fait. Il y a un système de "réseau de confiance" implémenté dans gnupg.

    • [^] # Re: Méthode anti spam: gnupg...

      Posté par  (site web personnel) . Évalué à 1.

      Je te renvoie sur http://www.openpgp.org/technical/whybetter.shtml(...) qui t'explique pourquoi une PKI comme X509 est moins efficace pour les mails.

  • # Re: Méthode anti spam: gnupg...

    Posté par  . Évalué à 1.

    Et comment fait-on pour pousser 95% des gens qui s'en foutent, n'ont pas l'envie/le temps/la capacité à utiliser gnupg, à s'en servir, pour que le système marche ?

    • [^] # Re: Méthode anti spam: gnupg...

      Posté par  . Évalué à 1.

      C'est comme Linux. Cela ne se fera pas d'un seul coup.

      Ce sera métastasique, comme le pense un certain gars de la firme de Redmond. Tout le monde sait que c'est ce qu'il y a de pire et de plus incontrôlable.

    • [^] # Re: Méthode anti spam: gnupg...

      Posté par  . Évalué à 1.

      On leur répond poliment, de façon automatique, que leur message est allé direct à la poubelle (au choix de l'utilisateur d'aller zieuter ou non sa poubelle de temps en temps, pour détecter les faux positifs de ses filtres anti-spam). On inclut aussi toutes les infos pour que cela n'arrive plus (comment ils font pour signer leur e-mail la prochaine fois).
      Avec ssh agent: la passphrase ils ne sont pas obligés de l'entrer tout le temps.
      Avec un mailer bien configuré, la signature sera faite automatiquement à l'envoi de l'e-mail.
      S'ils "s'en foutent, n'ont pas l'envie/le temps/la capacité à utiliser gnupg", leur administrateur système l'aura.
      Si administrateur il n'y à point: de bonnes âmes telles que celles qui errent par ici l'auront (rédaction de tutoriels, FAC, etc.).

      :O)

  • # Re: Méthode anti spam: gnupg...

    Posté par  . Évalué à 1.

    Et comment on fait pour t'écrire ? Je suppose que tu n'as pas toutes les cles publique existantes au monde.

    • [^] # Re: Méthode anti spam: gnupg...

      Posté par  . Évalué à 1.

      Ben, il diffuse sa clef publique avec son adresse en espérant qu'un robot ne la trouve pas.

      • [^] # Re: Méthode anti spam: gnupg...

        Posté par  (Mastodon) . Évalué à 1.

        C'est pas comme ça que ça marche, la signature.

        Ta clé publique est utile si tu veux que l'on puisse chiffrer un message à ton intention. Par contre, si tu veux qu'une personne puisse signer un message, tu as besoin de sa clé publique. Ce qui t'oblige à avoir la clé de tous les gens qui sont suceptibles de t'écrire, car si tu te contentes d'accepter toute clé présente dans un keyring, ça ne permet pas d'éviter le spam.

    • [^] # Re: Méthode anti spam: gnupg...

      Posté par  . Évalué à 1.

      Va à

      pgp.mit.edu

      Entre l'e-mail ou tu veux écrire et tu auras sa clé publique si elle existe.
      Tu peux essayer avec l'e-mail suivant
      rms AT gnu DOT org
      De plus, ton gnupg peut-être configuré pour aller chercher automatiquement les clés qu'il n'a pas.
      Sur ledit serveur, tu peux entrer le nom de la personne, ou son e-mail ou son domaine et chercher un peu.

      °(^-^)°

      • [^] # Re: Méthode anti spam: gnupg...

        Posté par  . Évalué à 1.

        Et donc je suis un robot

        pour crypter un message que je t'envois
        -> je vais chercher ta clef publique sur le serveur, je crypte je balance

        pour signer un de mes messages
        -> je creer une cle publique a usage unique que je balance sur un serveur de cle, et ton gnupg ira chercher automatiquement la cle sur le serveur et hop accepté.

        Il est ou le progres ? par ce que j'ai du rater quelque chose...

        • [^] # Re: Méthode anti spam: gnupg...

          Posté par  (Mastodon) . Évalué à 1.

          Le seul truc c'est que pour qu'un robot ne soit pas vite blacklisté, il devra changer de clé souvent... Donc, le progrès, c'est que les serveurs de clés vont être floodés ,-)

    • [^] # Re: Méthode anti spam: gnupg...

      Posté par  . Évalué à 1.

      > Et comment on fait pour t'écrire ?

      Pour m'écrire, il suffit que _TU_ aies une clé publique.
      _TU_ vas signer ton message. Je ne parlais pas d'envoyer des messages
      cryptés.
      Cependant un message crypté est bien souvent signé.
      Et pour m'envoyer un message crypté: il suffit que tu récupères ma clé publique. Ce que j'ai expliqué précédemment.

      • [^] # Re: Méthode anti spam: gnupg...

        Posté par  (Mastodon) . Évalué à 1.

        Et comment tu fais la distinction entre un message que _JE_ signe et un message que n'importe quel robot signe, si tu ne fais pas un tri parmi les signatures que tu acceptes et celles que tu refuses ?

        Pour peu que ton système se répande, les spammers commenceront à signer leurs mails.

        • [^] # Re: Méthode anti spam: gnupg...

          Posté par  . Évalué à 1.

          C'est bien le problème que je soulevais. Soit tu ne fais confiance que dans les cles dont tu es sur. Donc tu limites très fortement le nombre de personnes pouvant t'ecrire sans tomber dans le boite a spam. Il faut bien évidement que tu connaisses personellement la personne _AVANT_ pour echanger la cle. Soit tu fais confiance a toutes les cles et c'est ridicule puisque ca ne change absolument rien. Retour a la case depart.

          Et le Web of trust généralisé je n'y crois pas un instant

        • [^] # Re: Méthode anti spam: gnupg...

          Posté par  . Évalué à 1.

          _TU_ signes, donc je sais que c'est un message de toi. _TU_ es le seul à signer avec _TA_ clé (à moins qu'elle soit compromise).
          Un robot signe: la 1ère fois je lis le mail (Oh! J'ai un nouveau pote!). Je le black-list ensuite (je fais bien une distinction entre signatures acceptées et refusées donc). Tous ses spams ultérieurs seront bloqués.

          • [^] # Re: Méthode anti spam: gnupg...

            Posté par  . Évalué à 3.

            Et si le robot génère 20000 clefs ... Tu auras quand-même lu le(s) mail(s), le but est atteint par le spam.

            • [^] # Re: Méthode anti spam: gnupg...

              Posté par  . Évalué à 1.

              Non non les spammeurs sont cons, pas inventifs et reglo :-)

            • [^] # Re: Méthode anti spam: gnupg...

              Posté par  (site web personnel) . Évalué à 1.

              Je ne crois pas que la signature des courriels puisse être un élément permettant d'avoir un critère de détection de Spam.
              Toutefois, la signature donne le moyen de savoir si le courriel reçu est bien envoyé par la personne qu'elle prétends être. Cela donne automatiquement naissance à trois catégorie :

              1/ Courriels signés et authentique : importants.
              2/ Courriels non signés : normaux, les autres solutions sont à trouver.
              3/ Courriels signés inconnus ou erronés : suspects.

              Du coup, on peut à coup sûr savoir quels sont les courriels réellement important.

              • [^] # Re: Méthode anti spam: gnupg...

                Posté par  . Évalué à 1.

                Ah! Enfin quelqu'un qui a tout compris!!!
                (Désolé pour les points d'XP, j'peux pas noter, mes positions assez extrêmes me coûtent de l'XP...).

                On peut même découper plus finement:

                > 1/ Courriels signés et authentique : importants.
                On est sûr que ce n'est _PAS_ du spam (à moins que la clé de l'auteur
                ait été compromise, cas très rare).

                > 2/ Courriels non signés : normaux, les autres solutions sont à trouver.
                Ceux-là on les envoie vers des filtres anti-spam classiques.

                > 3/ Courriels signés inconnus ou erronés : suspects.
                Signés erronés: action délibérée de duperie --> poubelle à spam.
                Signés inconnus: suspects, à passer au filtre enti spam.

                • [^] # Re: Méthode anti spam: gnupg...

                  Posté par  . Évalué à 1.

                  Je croyais que tu disais :
                  Pourquoi on n'utiliserait pas massivement la cryptographie pour mettre fin au spam?

                  Et tu dis :
                  > 2/ Courriels non signés : normaux, les autres solutions sont à trouver.
                  Ceux-là on les envoie vers des filtres anti-spam classiques.

                  Je pense qu'effectivement, il faut être moins ambitieux :
                  Du coup, on peut à coup sûr savoir quels sont les courriels réellement important.

                • [^] # Re: Méthode anti spam: gnupg...

                  Posté par  (site web personnel) . Évalué à 1.

                  Tu me crois si ce que tu dis était exactement ce que je pensais ? ;-)

                  Si les logiciels de messagerie pouvaient ensuite gérer des règles du style "signé par cette signature-là" ou "signature ok mais inconnue"... ce serait génial. Mais toujours à faire du côté du poste client, vu que les clés sont locales...

  • # Re: Méthode anti spam: gnupg...

    Posté par  (site web personnel, Mastodon) . Évalué à 1.

    Question : que deviennent les mailing-list et les mails multiples avec cette technique ?

    Les Cc, les Bcc ?

    Mes livres CC By-SA : https://ploum.net/livres.html

    • [^] # Re: Méthode anti spam: gnupg...

      Posté par  . Évalué à 1.

      C'est l'envoyeur qui signe avec sa clé.
      Rien n'empêche un robot d'avoir une paire de clés. Si le robot spamme: les gens le black-listeront et ses spams iront directement à la poubelle (un spammeur authentifié: plus facile à filtrer tu meurs!).

      Cc, Bcc: c'est toujours toi l'envoyeur. La signature autentificatrice du mail
      est toujours valide et n'est à faire que par l'envoyeur.

      • [^] # Re: Méthode anti spam: gnupg...

        Posté par  (site web personnel, Mastodon) . Évalué à 1.

        juste.. j'ai confondu signé et crypté!

        PErso, je signe toujours ou presque mes mails.

        Mais je ne le fais pas lorsque je ne suis pas chez moi et/ou que j'utilise un webmail.

        Comme envoyer un mail signé depuis un cybercafé ?

        certains problèmes se posent néanmoins...

        Mes livres CC By-SA : https://ploum.net/livres.html

        • [^] # Re: Méthode anti spam: gnupg...

          Posté par  (Mastodon) . Évalué à 1.

          Tu peux te promener avec tes clés... sur clé USB. Ainsi qu'une copie de GnuPG pour différentes plateformes, au cas où ton cybercafé ne serait pas équipé. Ce n'est pas le plus gros problème de cette méthode ;-)

    • [^] # Re: Méthode anti spam: gnupg...

      Posté par  (Mastodon) . Évalué à 1.

      Aucun problème, puisqu'il s'agit de signature et non de chiffrement.

      La signature, c'est prouver que tu es bien l'auteur du mail, de manière indépendante du récepteur. Tu n'utilises pas les clés de tes correspondants, juste les tiennes.

  • # Re: Méthode anti spam: gnupg...

    Posté par  . Évalué à -1.

    Bon, il ne fait pas trop mauvais, je vais aller me ballader un peu ...

  • # Re: Méthode anti spam: gnupg...

    Posté par  . Évalué à 1.

    Avant de vouloir éradiquer totalement le spam, on pourrait peut être essayer de dissuader les gens qui en émettent. En leur faisant mal, si c'est nécessaire.
    Ca serait un progrès, je trouve.

    --
    Le spam est un mal nécessaire. [Fabrice Halimi]
    http://www.transfert.net/a8846(...)

    • [^] # Re: Méthode anti spam: gnupg...

      Posté par  . Évalué à 1.

      C'est comme croire que tout le monde ne veut pas recevoir de spam. Il y a tellement de monde sur terre ayant une adresse électronique qu'il me semble qu'il existera toujours la probabilité que quelqu'un réponde au spam, et du coup valorisera le spam.

  • # Re: Méthode anti spam: gnupg...

    Posté par  . Évalué à 1.

    La cryptographie ne mettra pas fin au spam. Les spams sont émis par des robots depuis des machines vérolées: les virus génèreront des clefs à la volée, et les enregistreront sur des serveurs, chaque clef ne servira que pour un nombre limité de spams, etc.

    Les deux choses qui font vraiment mal aux spammeurs, c'est:
    * des machines sécurisées: plus de virus ni d'openrelay, ça limiterait très fortement leur capacité de nuisance;
    * limiter fortement le prix de revient du spam: si on diminue le nombre de cons qui répondent au spam, et si on diminue le nombre de cons qui paient des spammeurs pour vendre leur merde, ils ne tiendront pas le coup financièrement.

    Et si on combine les deux, ça ne les tuera pas forcément, mais ça devrait les transformer en espèce rare.

    • [^] # Re: Méthode anti spam: gnupg...

      Posté par  (site web personnel) . Évalué à 1.

      La cryptographie mettre fin au spam pour les personnes utilisant les signatures électroniques avec la plupart de ses correspondants importants.

      En fait cela apporte une garantie sûre : on a un critère infallible pour que les courriels de X ou Y (usagers de la crypto) ne soient pas noyés parmi les spams. De ce fait des échanges entre deux personnes "signantes" ne sera pas menacé par le spam.

      Supposons que tout le monde utilise ce genre de principe, ou alors, que mes correspondants utilisent tous la signature numérique, listes de diffusion (l'envoi par le robot est signé, pas le post lui-même) y compris :
      Je saurai que ce qui n'est pas signé n'est pas prioritaire, donc le spam (et les virus) ne menacent pas la lecture et l'urgence des messages.

      Si tout le monde faisait ça, il ne devrait plus y avoir de spam. La génération de clés jetables ne change rien puisqu'une signature inconnue n'est pas prise en compte pour filtrer. Et en plus, ça coûte du temps processeur.
      En ce qui concerne les virus, si l'utilisateur enregistre sa phrase de passe il n'est plus garanti que le logiciel ne se mettra pas à envoyer des messages signés... L'acte volontaire (phrase de passe, donc) de la signature éléctronique devrait néamoins empêcher le logiciel de pendre ses aises...

      Cela dit, l'hypothèse "tout le monde fait ça" ne me paraît pas trop immédiate :-( alors je dirais que cela me sert déjà bien et me servira mieux lorsque mon client de messagerie (Ximian Evolution) saura gérer des règles concernant ces signatures.

      • [^] # Re: Méthode anti spam: gnupg...

        Posté par  . Évalué à 1.

        Je vois mal en quoi la crypto améliore la chose: mettre un filtre sur les adresses des gens qu'on connaît, pour que leurs courrier arrivent là où on les lit en priorité, ça fait déjà ça en bonne partie.

        • [^] # Re: Méthode anti spam: gnupg...

          Posté par  . Évalué à 1.

          C'est vrai qu'il n'existe pas de filtres adaptatifs qui ameillorent le score des messages au fur et a mesure que tu recois des messages clean d'un utilisateur.

          A mais zut on me fait signe dans l'oreillette que ca existe déjà http://wiki.apache.org/spamassassin/AutoWhitelist(...)

          Pour ce qui est des virus je me demande vraiment comment on peut être embetté par ce genre de choses étant donné qu'un bon procmail/serveur smtp bien configuré a la bourrin n'en laisse pas passer un. Le cout... ne plus pouvoir recevoir de fichier executable windows non compressé, voir rejeter les .zip avec un gentil message.

          Enfin bref je pense comme toi, la crypto ne sert pas a grand chose ici.

          • [^] # Re: Méthode anti spam: gnupg...

            Posté par  (site web personnel) . Évalué à 1.

            spamassassin, procmail et compagnie ne sont pas utilisés par le "grand public". Or, le problème des virus provient de machines "grand public" infectées et le problème des spams provient des réactions "grand public" de type cliquage sur lien, webbug non bloqué, etc...

            Il est certain que pour des gens avertis, le spam n'est plus trop un problème. On peut sortir un relativement bon parapluie : serveur, mandataire, filtres...

            La crypto peut souffler sur le vilain nuage :-) en éliminant les gains potentiels des spammeurs car ils devraient générer des messages signés correctement, ce qui occupe des ressources. Mais bon, ils s'adressent à moins intéressé que nous.

            Donc j'irais en définitive dans ton sens, la crypto ne servira sûrement qu'à ceux qui savent l'utiliser. C'est déjà ça.

        • [^] # Re: Méthode anti spam: gnupg...

          Posté par  (site web personnel) . Évalué à 1.

          Pour les spams, les règles de messages sur les adresses connues marchent du tonnerre. Je n'en dirait pas autant des virus, que j'inclue inconsciemment dans l'ensemble des pourriels.
          Il m'arrive de recevoir des courriels (virussiels ?) provenant sois-disant de personnes que je connais. Mais en réalité le virus a pioché deux adresses à partir de la machine infectée et a envoyé à l'un se signalant comme l'autre.
          De là arrive le problème de courriers avec le champ "from" qu'il ne devrait pas avoir.

          La signature électronique (assistée des filtres) permet nettement de distinguer les courriels émanant réellement d'une connaissance, d'un virus. Mieux, la signature électronique fausse fera mécaniquement baisser le score.

          • [^] # Re: Méthode anti spam: gnupg...

            Posté par  . Évalué à 1.

            C'est pour ça que ma toute première règle de filtrage, c'est pour le spam, et les suivantes pour les ml, les amis, la famille, le fai, etc... ;-)

            Pas de crypto en vue, et ça marche du tonnerre.

            • [^] # Re: Méthode anti spam: gnupg...

              Posté par  (site web personnel) . Évalué à 1.

              Idem pour moi. La signature électronique n'a pas encore été adoptée par mes amis :-o
              Elle permet simplement d'être sûre que le courriel de dupont@truc.com vient bien de ce cher Dupont, et n'on pas d'un système virussé appartenant à une personne nous connaissant tous les deux.
              Je suis sûr que le courriel émane bien de lui. C'est LE ajout de la signature électronique pour le cas des Spams et virus.

              Mais ça marche bien sans.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.