Journal Google chiffrement de mail end to end

Posté par  . Licence CC By‑SA.
Étiquettes :
15
20
jan.
2017

Bonjour à tous,

Il semblerait qu'il y ait quelques avancements concernant le chiffrement de bout en bout avec google mail.

Google vient de publier le projet keytransparency. Projet devant permettre de construire des clients (web)mail permettant le chiffrement de bout en bout pour monsieur et madame Michou.

Mais corrigez moi si j'ai mal compris.

Blog post à propos de key transparency
Application Chrome
Projet end-to-end

Vous en pensez quoi ?

  • # Webmail

    Posté par  (site web personnel) . Évalué à 9.

    Le problème avec le webmail, c'est qu'on est jamais certain du code qui tourne dans le navigateur… donc le chiffrement côté navigateur peut être fait avec un code différent.

    Si la connexion n'est pas suffisamment sécurisée, le code envoyé au navigateur peut être différent, par exemple, alors qu'avec un client 'lourd', ce n'est pas un problème.

    Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

    • [^] # Re: Webmail

      Posté par  (site web personnel) . Évalué à 1.

      Pas besoin d'aller jusqu'aux clients lourds, il suffit d'extensions du navigateur Web

    • [^] # Re: Webmail

      Posté par  . Évalué à -3.

      Le client lourd n'apporte pas beaucoup plus de sécurité que l'appli webmail. Lors de ton installation de ton client lourd ou lors d'une de ses mise à jour, qui tu dit que tu as pas une backdoor dans ton client lourd ?
      Tu va me dire que tu installe ton client depuis les paquets de ta distribution linux préférée et que tu fais confiance aux mainteneur pour t'avoir fournie un logiciel sans backdoor mais c'est qu'une question de confiance et à qui tu donne cette confiance.
      Vérifier du code javascript via une signature c'est tout à fait techniquement possible. Bref client lourd vs client web, le problème n'est qu'une question de confiance et de vérification de code via signature.

  • # Keybase

    Posté par  (site web personnel) . Évalué à 2.

    Ça ressemble par certains aspects à https://keybase.io/ , qui cherche à fournir une manière plus simple de certifier son identité en ligne, et de chiffrer des données à destination d'un tiers.

  • # GAFAM

    Posté par  . Évalué à 4.

    C'est sûr "Google is not Evil".
    Mais cet intérêt n'est sans doute pas gratuit.
    Ensuite comme déjà dit, c'est une question de confiance.

    Ce que j'en pense, puisque c'est la question, c'est que je préfère passer par ProtonMail .
    Techniquement cela ne change sans doute rien au problème de confiance.
    Mais au moins j'ai moins l'impression de moins dépendre des GAFAM .

    À noter que protonmail peut désormais être atteint depuis un service caché Tor. ProtonMail via service onion .

    • [^] # Re: GAFAM

      Posté par  (site web personnel) . Évalué à 3.

      Je pense que le chiffrement chez Google cela a un intérêt pour se protéger contre le monde extérieur, pas contre Google ou le gouvernement américain.

  • # Est-ce politique ?

    Posté par  . Évalué à 4.

    C'est vraiment une question pour le coup. Pas de rhétorique.

    Les gens de la Silicon Valley ont une position politique plutôt démocrate, voire un genre de socialisme couplé à l'idéologie américaine comme Bernie Sanders se qualifiant lui-même de "democratic socialist" ou une position libertarienne (que l'on retrouve notamment dans une branche du parti républicain ou dans le parti libertarien, tout simplement) pour certains comme Jeff Bezos.

    Avec la nouvelle administration américaine face à l'importance de l'économie numérique aux Etats-Unis apparaîtra sans doute un conflit… Peut-être les gens du GAFAM, et plus largement de l'économie numérique, n'ont pas l'attention de s'aplatir, et un bras de fer va s'engager face aux conservateurs…
    En somme, une possible opposition entre les libéraux et les conservateurs comme l'histoire en a déjà vue par le passé… J'ai le réflexe peut-être aussi de tout politiser, même si je crois que tout est politique, surtout des questions liées à la place de la vie privée dans une société.

    Je n'ai pas de réponse, mais je suis curieux de voir la réaction de l'économie numérique américaine, qui a une position politique libérale, face à un pouvoir maintenant majoritairement conservateur. Vont-ils avoir une influence ? Oui, l'argent fait la loi, etc. Mais il y a encore les tenants de l' économie classique industrielle et financière américaine dans la partie (ce n'est pas la même couleur politique que la Silicon Valley). En somme, il va y avoir de la dialectique du côté de Washington et des lobbies.
    Enfin bref, c'est une question que je me pose, surtout avec Google qui est une entreprise mue par une idéologie certaine, avec des personnes comme Ray Kurzweil. Une telle décision n'est certainement pas neutre.

    • [^] # Re: Est-ce politique ?

      Posté par  . Évalué à 4.

      PS : si vous vous demandez, quelle est la position de la région de San Francisco et de la Silicon Valley, ils sont certes majoritairement démocrates, 73% (Pour Santa Clara) et 85% (Pour San Francisco), avec une présence plus importante que dans le reste du pays de votants pour le parti libertarien et le parti vert. Mais si vous voulez connaître la position entre Clinton et Sanders, ils ont voté pour Clinton (55% environ).

  • # Defective by design

    Posté par  . Évalué à 4.

    Pour échanger des messages qui méritent d'être chiffrés (et signés), ce n'est pas une bonne idée d'utiliser le mail et encore moins le webmail. Si on insiste dans ces choix, il faut se poser un certain nombre de questions, et les éléments proposés n'apportent qu'une partie de la réponse. On est très loin de Mme Michu, qui s'en tape de toute façon car elle utilise les messages Facebook sur son smartphone chinois.
    Pour les politiques ou les VIPs de grandes sociétés, des solutions sont fournies mais pas forcément utilisées …

    • [^] # Re: Defective by design

      Posté par  . Évalué à 3.

      Bien dit ! Quand on veut communiquer de manière sécurisée, on imprime et on envoie un coursier !
      (bien sur, on aura édité le texte avec Open Office dont le pare-feu apporte une précieuse protection)

      BeOS le faisait il y a 20 ans !

      • [^] # Re: Defective by design

        Posté par  (site web personnel) . Évalué à 2.

        (bien sur, on aura édité le texte avec Open Office dont le pare-feu apporte une précieuse protection)

        ça fait 6 ans et 3 mois que tout le monde est passé à LibreOffice… Il serait temps d'oublier OOo qu'Oracle a envoyé au mouroir de l'Apache Foundation :/

  • # Une avancée

    Posté par  . Évalué à 0. Dernière modification le 21 janvier 2017 à 10:09.

    Ce projet, pour ce que j'en ai compris, vise à répondre à la problématique "Comment obtenir la clé publique de mon correspondant?", ce qui, à mes yeux, est le plus gros frein à l'adoption massive du chiffrement pour le grand public. Et avec une volonté de faire collaborer les services de mails existants.

    C'est donc un annuaire de clés, comme il peut déjà en exister (http://pgp.mit.edu/) mais à plus grande échelle, et avec plusieurs acteurs.

    L'initiative est louable, cependant, je ne connais pas les détails techniques, notamment la grande question: Comment garantir que la clé de X que le service m'a donné est bien la bonne? À l'heure actuelle, on répond à cela en la transmettant via un canal secondaire (une page web le plus souvent).

    Les applications sont multiples, et pas que pour les webmails. Il faut le voir comme un DNS pour le chiffrement, à la différence qu'on associe une clé à une adresse mail plutôt qu'une IP à un nom de domaine.

    Que ce soit ce projet ou un autre, je suis convaincu que c'est cette avancée qui démocratisera le chiffrement des mails à grande échelle.

    • [^] # Re: Une avancée

      Posté par  . Évalué à 2.

      Comment garantir que la clé de X que le service m'a donné est bien la bonne?

      Je ne sais pas quelle est la solution choisie par google, mais le plus simple me semblerait que quand on demande à l'annuaire d'ajouter une clef dans un premier temps, l'annuaire envoie un courrier chiffré à l'adresse donnée avec la clef publique associée dans un second temps.
      L'insertion de la clef dans l'annuaire ne serait validée que si l'on est capable de recevoir le courrier et le déchiffrer. On le prouve en restituant ce contenu déchiffré à l'annuaire dans un troisième temps.

    • [^] # Re: Une avancée

      Posté par  (site web personnel) . Évalué à 4.

      Ce projet, pour ce que j’en ai compris, vise à répondre à la problématique « Comment obtenir la clé publique de mon correspondant ? »

      Ce sera le sujet de mon prochain journal sur OpenPGP, mais je tiens quand même à dire dès maintenant qu’on a pas attendu le sieur Google pour se pencher sur la question…

      Et pendant que Google élabore des solutions alambiquées dans son coin (on dirait que pour eux, si on ne parle pas de Merkle tree et de gossip protocol, ça ne vaut pas le coup), d’autres fournisseurs de messagerie utilisent une méthode déjà standardisée et pleinement prise en charge par GnuPG, la publication des clefs dans le DNS (RFC 7929).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.