Reprise du message précédent :

 
Ca a pas l'air si compliqué à utiliser que ça puisque une grand mère de 90 ans est sensée pouvoir le faire d'après le site.
Par rapport au problème des méta données ils disent que sur la version 2 ça serait traité.
Personnellement je préfère que ce sois fait en France.  (Je sais pas pourquoi ça me met plus en confiance que si c'est aux États-Unis.)
Tu connais un webmail qui est mieux o'gure par rapport à la facilité d'utilisation à la confidentialité et tout ? (Même si c'est pas Français.   )

<troll>
Après la loi « démocratiquement votée » qu’on s’est tapée récemment, le plus sûr en non auto-hébergé, c’est hors de France.
</troll>
---
EDIT
Webmail : ProtonMail ou CaliOpen.
Y’a ptet mieux, j’en sais rien.

Non mais vous écrivez quoi dans vos emails !?
Vous mettez des brouilleurs d'ondes chez vous ? Avec occultation permanente des fenêtres et filet de camouflage sur la maison pour leurrer les satellites ?

 
CaliOpen n'est pas auto hébergé donc ça me parait pas top pour la sécurité.
ProtonMail utilise un serveur centralisé donc pareil... (Pour moi c'est de la fausse sécurité vu qu'ils ont toutes les clés...) Au moindre coup de sifflet de la NSA ils vont leur apporter sur un plateau... Comme la :
http://www.wired.com/2007/11/encrypted-e-mai/
 
Bref pour le moment je reste sur ma Own-Mailbox auto-hébergé que je commande samedi. Au moins tant que la NSA aura pas pété la porte de chez moi je serai tranquille ...    

 
Et tu tires tes propres câbles jusqu'à chez tes destinataires d'emails ?

 
  non pas la peine puisque à partir du moment ou ça sort de la box le message est crypté avec GPG...
Et avec une clé de 2048 ou 4096 bits je leur souhaite bon courage.
 
Franchement je te conseille de voir le film citizenfour si c'est pas déjà fait.
Le livre 1984 de Georges Orwell est notre réalité du quotidien.
 
La France se fait voler tous les ans pour environ un milliards d'euro de technologie avec la bénédiction US. Plus de 95% des gens utilisent des systèmes d'exploitations vulnérable comme Mac, Windows, Android...
https://wikileaks.org/nsa-france/index.fr.html
 
Personnellement je préfère envoyer mon courrier à l’abri des regards indiscrets même si a priori je n'ai rien a cacher.
 
 

Le pigeon voyageur

A partir du moment où le contenu de tes emails est crypté, quel intérêt de posséder son propre serveur de messagerie, en plus à domicile ?

 
Et bien la différence peut sembler subtile, mais elle est énorme en fait.
 
Internet est un réseau dans lequel la centralisation sur des gros serveur représente un risque de monopole qui induit a son tour d'autres risques.
L'idée de départ d'ailleurs est que n'importe quel nœud du réseau puisse communiquer avec n'importe lequel.
 
Plus le réseau est centralisé, plus il est vulnérable puisque le nombre d'acteur qui "tiennent" le réseau est réduit.
Les états lorgne en effet de plus en plus sur ce réseau ou tout le monde peut dire ce qu'il veut. La censure est difficile à exercer.
Une organisation qui tente de prendre le contrôle de ce réseau va essayer au maximum de concentrer les flux sur des nœuds qu'elle contrôle.
 
Pour en revenir au mails confidentiels.  
Il est facile pour une organisation comme la NSA de mettre une backdoor chez GMail, une chez Yahoo, une chez Facebook.
Sachant que de base ils ont leurs backdoors sur n'importe quel ordinateur qui a comme OS Windows, apple, android...
 
Pour que le message reste confidentiel il faut donc déjà avoir Linux   (seul qui reste) pour envoyer et recevoir le mail.
 
Entre les deux le messages est crypté.
Pour le décrypter il faut une clé. Oui, mais si je range la clé n'importe ou, est-ce vraiment sur ?
Et bien non . Actuellement il n'existe aucune solution facile.
 
Sois on garde sa clé de cryptage sur une clé usb qu'on doit avoir avec sois pour pouvoir lire le message. (Ce qui rend le cryptage efficace mais lourd a gérer. Difficile d'utiliser un ordi inconnu au bataillon pour lire ses mails dans ce cas.)
Sois on fait confiance a une entreprise qui sauvegarde la clé de cryptage. (Ce qui rend le cryptage facile à gérer et inefficace.)
 
Voila un cas d'une entreprise sois disant extrêmement fiable qui a été forcée de donner toutes ses clés à une organisation pas franchement humanitaire :
http://www.wired.com/2007/11/encrypted-e-mai/
 
Mais alors qu'est-ce qu'on fais si on veut empêcher le verrouillage de la liberté sur internet et qu'on veut pas perdre tout son temps a surveiller sa clé usb quand on se déplace ?
On sauvegarde sa clé sur son serveur à la maison :
https://www.own-mailbox.com/
 
Voila l'intérêt de l'auto hébergement.
 
 
 
 

Légalement t'es censé fournir tes clés de chiffrement en France également... Tu fais quoi contre ça ?
 
Par ailleurs, tous les gens avec qui tu communiques utilise ce système d'auto-hébergement ? Ils utilisent tous le chiffrement pour te contacter ? Comment tu gères la réputation de tes clés ?
 
Tu fais quoi contre les backdoors (volontaire ou non) dans les librairies utilisées sur ton système ? Il n'y qu'à regarder l'actualité de l'année écoulée sur seulement openssl.
 
sinon t'es en lien avec ce projet ?

Euh je n'ai pas bien compris le rapport entre ton explication et ma question.

A partir du moment où tu envoies un email crypté, que celui-ci soit géré par GMAIL, le serveur de messagerie de ta boite, celui de ton FAI où ton propre serveur chez OVH ou chez toi, quelle est la différence ?

L'email étant crypté, il est voulu être indéchiffrable.
Ainsi que la NSA ou les extraterrestres le récupèrent sur le serveur de GMAIL ou au niveau du flux qui transite par ton FAI si tu l'envoies de ton propre serveur @t home, cela ne change rien.

Et puis c'est super de crypter ses messages mais faut fournir la clé aux destinataires. Un peu lourd, voir impossible dans bien des cas.
Et une fois le contenu décrypté chez le destinataire, il est lisible et récupérable.

Sans compter que tous les destinataires, dans un "répondre" par exemple, vont s'astreindre à chiffrer ?

Et au final, pour quoi ? Cacher qu'on écrit à sa maman ou des conneries sur Daesh à ses potes ?

 
1C'est totalement faux et encore heureux. Renseignes toi.
2Il y a une clé publique et une clé privé sur GPG.
Il s'agit d'un système assymétrique de cryptage.
3Les Backdoors sur des projets en Free software seront forcément découverte tot ou tard, ce qui n'est pas prêt d'arriver sur du logiciel propriétaire.
4Je ne suis pas en lien avec ce projet mais ça répond bien d'un point de vue technique. Il suffit de se renseigner...

 
1 Et bien le problème n'est pas l'endroit ou sont stocké les mails mais l'endroit ou sont stocké les clés privés.
2Il s'agit de cré publique. Le chiffrement est assymétrique.
3Selon comment est paramétré GPG c'est totalement transparent pour l'utilisateur.
4C'est un petit peu plus subtil que ça. Libre à toi de faire l'autruche. Comme pour Tchernobyl Big Brother ne s'arrête par à la frontière.
 

http://www.legifrance.gouv.fr/affi [...] ieLien=cid

Je connais la crypto asymétriques et justement mes questions portent sur son usage au quotidien qui est tout sauf trivial... : comment gères tu la réputation des clés pour un usage quotidien et comment gères tu les communications avec les personnes qui ne disposent pas de clé ou dont tu n'as pas confiance (pour rappel il faut un chemin de confiance bien établi ou une signature par toi même de la clé publique)

Bof, on en découvre autant dans les deux mondes, comme les failles de sécurité...

 
ce sont quand même deux choses différentes que de devoir fournir une clé en cas d'enquête et de pouvoir être surveillé en permanence.

Je ne dis pas le contraire, je disais simplement que l'on peut être forcé de fournir les moyens pour déchiffrer ses conversations (par rapport à son propos là:

)

 
1. Ta réponse ne me parait pas être en rapport avec ma question.
Je m'interroge sur l'opportunité d'avoir son serveur de messagerie @home, soit disant comme plus sécuritaire.
Héberger son serveur de messagerie n'empêche en rien que l'email transite jusqu'à son destinataire par des réseaux que tu considères non sécurisé.
Et peut donc tout autant être intercepté.
Je ne parle pas ici de déchiffrer les données mais juste de les intercepter. Avoir son serveur de messagerie @home n'arrange en rien cela. Du coup, ça sert à quoi ?
Sauf à devoir avoir une machine qui tourne, consomme (même peu), dépendante de ta BP et est nettement moins bien protégée des vols/coupures/etc.
 
2/3. Oui et ?
Le contenu peut donc se retrouver en clair sur le poste du destinataire.
Il le sera de manière certaine s'il le reprend pour répondre. Sa réponse sera elle de toutes façons en clair.
 
4. C'est quoi les subtilités ?
Que nos emails intéressent oui. Mais les sociétés commerciales.
Quel est l'intérêt pour les états dans lesquels nous vivons de traiter l'email à la grand-mère ou à ses potes ?
A ce niveau de parano, autant occulter ses fenêtres H24 et sortir masqué.

Il faut bien comprendre qu'il s'agit d'un rapport de force.
La NSA a les moyens d'organiser un procès contre une entreprise au Canada et de le gagner. (C'est d'autant plus facile qu'il suffit de dire qu'il y a un individu suspect parmi les 100 000 utilisateurs du serveur pour que l'entreprise soit obligée de livrer toutes les clés privés de ses clients.)
En revanche la NSA n'a pas les moyen d'organiser 100 000 procès à 100 000 utilisateurs ayant des serveur auto-hébergé dans 100 pays différents qui héberge chacun chez eux leur serveur avec leurs clés privés dessus.
Les gens réaliseraient ce qu'il se passent...
 
N'oublions pas cette citation de voltaire :
"Un pays bien organisé est celui où le petit nombre fait travailler le grand nombre, est nourri par lui, et le gouverne."
 
L'objectif de l'auto hébergement n'est d'ailleurs pas de faire obstruction à la justice.  
Actuellement un policier réalise une perquisition dans la cadre d'une comission rogatoire légale. Ca fonctionne plutôt bien et ça évite les conflits d'intérêts.
 
La situation actuelle sur internet est plutôt :
La police a installée des micros et des webcams dans votre salon, ne vous inquiétez pas de toute façon elle a aussi les clés pour rentrer chez vous quand elle veut.
De toute façon on a privatisé les forces de l'ordre car ça coute moins cher.
 
Voici un exemple :
http://www.theguardian.com/technol [...] permission
 
 
 
 
 
 
 

 
1Un message qui est crypté peut transiter sur des noeuds qui ne sont pas fiables sans problème. Tans que la clé privé reste privé pas de soucis.
2Effectivement cela implique d'avoir des postes "clean". Mais ce n'est pas difficile. Il suffit de prendre une distro linux avec un mdp pas trop pourri.
3La clé publique permet au correspondant d'envoyer sa réponse en fonction. Deux correspondants ayant GPG par ex n'envoient jamais aucun message en clair sur le réseau.
4Et bien... Si c'est gratuit vous êtes le produit... L'intérêt général est très difficile à défendre quand 99% de la population est totalement vulnérable.  
Comment changer un système qui n'a pas envie de changer par ex ? Il sait avant vous ce que vous allez envisager de faire.

OK merci de tes réponses

Mais moi honnêtement je ne suis pas convaincu.
Personnellement, crypter ses emails persos et héberger sa messagerie pour des raisons de sécurité, j’assimilerai ça IRL à sortir le visage couvert, chiffrer ses envois postaux, faire en sorte que la police ne connaisse pas mon domicile.
C'est too much vu l'inintérêt total de mes activités pour la police française.
Après si je vivais en Corée du Nord ou que je me reconvertisse en vendeur de drogue, pourquoi pas

Par contre, je peux comprendre qu'on veuille éviter les services américains ou soumis à sa législation et les services gratuits où comme tu l'indiques c'est nous les produits.

Tout le monde est ok pour dire que la pub ciblée c'est problématique, que savoir que, potentiellement, ce que tu dis peux être analysé par une société/organisation tierce c'est problématique, etc... Le problème n'est pas là. Le problème c'est la mise en oeuvre des solutions disponibles aujourd'hui...

Ce que je voudrais comprendre c'est comment utiliser ces solutions au quotidien pour sa vie privée...

99.99% du grand public, amis, famille, organisation tierce, administration, commerce, agence de voyage ou d'assurance, société, etc... quand elle utilise le mail le font basiquement (et elles ont eu du mal à s'y mettre poru bcp). Comment vas tu leur dire de:
1. d'utiliser ta clé publique pour t'envoyer des mails avec pgp
2. que pour communiquer avec eux tu veux leur clé publique et qu'ils utilisent pgp
3. d'établir un chemin de signature de confiance entre vous
=> ils vont simplement d'ignorer, rire, ne plus communiquer parce que t'es juste lourd avec ces conneries

Allez petits exemples pratiques:
Cas 1 - organisation d'un voyage:
On m'a proposé un voyage super. Je viens d'envoyer un mail comportant énormément d'info : date de voyage, numéro de vol, motif du voyage, numéro de passeport et coût du voyage au tiers qui organise ce dit voyage. Bref, enormément d'info pour cerner un profil sur moi, pas bien malin de ma part  

Sérieusement, on peut m'expliquer comment je fais pour mettre en oeuvre ces beaux principes de privacy/chiffrement sans passer pour le lourdeaux geek de service à qui on ne proposera plus de voyages parce que c'est juste d'un chiant de discuter avec lui) ?

Cas 2- discussions avec les impots
Je viens de recevoir mon avis d'imposition, y a des trucs pas clairs, je peux pas appeler du boulot et mes horaires ne matchent pas ceux de l'administration. Le mail est une bon moyen. Même question, j'ai pas trouvé la clé publique du centre des impots dont je dépend ni comment leur signaler que j'utilsie gnupg (d'ailleurs je les rencontre comment pour qu'on signe nos clés respective) ?

Comment dans ces cas là je peux tirer partie à 100% de la solution dont tu ventes les mérites ?

Il y a tout de même une différence fondamentale entre IRL et la vie numérique: l'automatisation de la collecte de donnée et l'accès facilité à des informations numériques privées.

Même si aujourd'hui le risque qu'un gouvernement s'intéresse à ce que tu fais est nul (quoique), ce n'est peut-être pas le cas de tout le monde. Et la mise en place de moyens de surveillance massifs pouvant servir légalement à de futurs gouvernements un peu moins bien intentionnés me fait froid dans le dos.

Le fait que si peu de gens cherchent à s'en prévenir aujourd'hui, ou même soient au courant que leur vie privée va être accessible en quelque clics par quelques dirigeants ne présage rien de bon.

Je suis d'accord, cependant si même un geek ne tente pas de propulser des solutions inconnues du grand public mais pourtant plaisantes techniquement, cela ne s'imposera jamais (PGP ça a presque 25 ans).
 
En tous cas encourager ceux qui se sentent concernés serait déjà pas mal.

Je veux bien. Concrêtement dans ces deux exemples de mails que j'ai envoyés aujourd'hui, comment tu t'y prendrais ?

Tu peux pas. C'est quelque chose qui ne peut se développer que dans le cadres privé ou dans certains cas le cadre pro.
 
En supposant que le système s'impose un jour, les institutions se mettrons à la page en l'utilisant également.

 
Hum, désolé de toujours ramener mon grain de sel, mais je crois que dans les exemple cités précédemment un lien https fait très bien l'affaire.

Il est priceless ce post !

Comment dire... Tu as une expérience de communication en dehors d'un cercle privé d'amis geek ?
1. ça fait juste un poil spam, juste un peu...
2. sur ton own mail tu ne vas pas avoir de certificat dont la CA est dans le magasin du browser de ton correspondant => la personne en face risque de rien comprendre
3. la personne pour répondre fait comment ? tu crois qu'elle va s'amuser avec un formulaire sur un site web dont elle comprend que dalle du pourquoi du comment avec une chance loin d'être nulle d'être bloqué par le firewall de la boite/administration ?
=> résultat: tu pars pas en vacances, tu te prends une majoration d'impot

L'objectif est de communiquer, pas de donner toutes les raisons à ton interlocuteur de foutre ton mail à la poubelle.