Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #21
    Membre actif
    Profil pro
    curiosité
    Inscrit en
    novembre 2003
    Messages
    95
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : curiosité

    Informations forums :
    Inscription : novembre 2003
    Messages : 95
    Points : 247
    Points
    247

    Par défaut

    Citation Envoyé par alexetgus Voir le message
    Voilà des années que je fonctionne avec GPG4Win sous Windows et Enigmail sous Thunderbird (Outlook est pris en charge nativement par GPG4Win), je suis tranquille.
    Je n'ai pas à faire confiance en un service tiers qui propose le chiffrement PGP dans un sens seulement (mails entrants).

    Il suffit juste de garder ses clés privées à l'abri, c'est tout. Et quand on est le seul sur son PC, on ne risque pas grand-chose... Et c'est pas ProtonMail qui mettra la main dessus ! Chiffré ou pas chiffré.
    [...]
    Il y a beaucoup de choses discutables là dedans.
    Déjà, faire la promotion de windows sur protonmail, c'est un parti pris. Comment savez-vous que vos clés privées ne sont pas uploadées par windows avec votre pass sur un serveur secret ? Proton, c'est pareil, selon eux, la clé n'existe que dans le navigateur et n'est pas dans leur serveur. Voilà, c'est aussi une affaire de confiance. À moins que votre clé ne soit une un token cryptographique ou un pc hors ligne.
    Ensuite, de quoi se protège-t-on ? Si c'est des publicitaires et de google, proton fait le job. Si c'est d'un gouvernement, on parle de gens qui ont l'accès root sur toutes vos machines connectées et peut être déconnectées...

    Ensuite, enigmail c'est bien gentil, mais avez-vous entendu parler de EFAIL ? (Qui permettait justement de faire fuir les courriels sous forme déchiffrée de thunderbird + enigmail). Le problème de gpg, c'est d'être un système incomplet avec des implémentation tierces bancales (contrairement à Signal par ex.)

    Citation Envoyé par alexetgus Voir le message
    Je n'ai pas à faire confiance en un service tiers qui propose le chiffrement PGP dans un sens seulement (mails entrants).
    [...]
    Dans les deux sens. Il est possible d'envoyer des messages chiffrés par GPG vers des contacts protonmail (automatique), vers d'autres adresses (si on importe leur clé publique évidemment) et d'en recevoir (il suffit aussi de communiquer sa clé publique proton).

  2. #22
    Membre actif
    Profil pro
    curiosité
    Inscrit en
    novembre 2003
    Messages
    95
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : curiosité

    Informations forums :
    Inscription : novembre 2003
    Messages : 95
    Points : 247
    Points
    247

    Par défaut

    Citation Envoyé par alexetgus Voir le message
    @nikau6
    Tu fais erreur, Proton possède les clés.




    Si il y a bien un service qui m'a déçu, c'est bien celui de ProtonMail.
    Seuls les messages entrants chiffrés PGP sont acceptés. Les messages sortants ne bénéficient pas de PGP, seul un mot de passe est proposé.

    Et c'est comme ça depuis toujours !


    J'ai testé ce service pour ceux que ça intéresse :
    https://chez-oim.org/index.php/topic,2135.0.html

    Du marketing, rien que du marketing. La sécurité n'est qu'un concept chez ProtonMail, certainement pas une réalité... Tout du moins, pas au niveau promis.
    Ben si on peut chiffrer les messages sortants avec gpg, c'est expliqué là : https://protonmail.com/support/knowl...ow-to-use-pgp/ (en bas de page). Il y a une option d'ajout de la clé publique à un contact et ensuite c'est transparent.

  3. #23
    Membre habitué Avatar de alexetgus
    Homme Profil pro
    Webmaster
    Inscrit en
    novembre 2014
    Messages
    67
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Webmaster

    Informations forums :
    Inscription : novembre 2014
    Messages : 67
    Points : 132
    Points
    132

    Par défaut

    Citation Envoyé par Fagus Voir le message
    Ben si on peut chiffrer les messages sortants avec gpg, c'est expliqué là : https://protonmail.com/support/knowl...ow-to-use-pgp/ (en bas de page). Il y a une option d'ajout de la clé publique à un contact et ensuite c'est transparent.
    Non, ce n'est pas possible. Fais l'essai toi même, tu verras. Pas de messages sortants chiffrés PGP.
    D'ailleurs proton est clair là dessus quand on ouvre un compte.
    On ne peut que signer les messages sortants.

    Nom : proton-in.png
Affichages : 136
Taille : 6,0 Ko

    Nom : proton-in2.png
Affichages : 134
Taille : 13,7 Ko


    Pour ton post précédent, on se demande si on a bien raison d'allumer un ordinateur, puisque c'est une passoire qui laisse tout fuiter...
    Parano, je le suis, mais faut pas pousser mémé quand même.
    Que Windows possède une (ou des) backdoor permettant d'avoir accès, ponctuellement et pour une personne donnée, à tout son contenu, c'est largement possible et ça ne m'étonnerait pas.
    Par contre, que Windows fasse fuiter toutes les données intéressantes de tous les détenteurs planétaires de cet OS vers un "serveur secret", je pense que ça se saurait depuis le temps.

  4. #24
    Membre actif
    Profil pro
    curiosité
    Inscrit en
    novembre 2003
    Messages
    95
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : curiosité

    Informations forums :
    Inscription : novembre 2003
    Messages : 95
    Points : 247
    Points
    247

    Par défaut

    Citation Envoyé par alexetgus Voir le message
    Non, ce n'est pas possible. Fais l'essai toi même, tu verras. Pas de messages sortants chiffrés PGP.
    D'ailleurs proton est clair là dessus quand on ouvre un compte.
    On ne peut que signer les messages sortants.
    J'ai bien sûr testé en important ma clé publique précédente, en m'envoyant un mail chiffré et le déchiffrant en dehors du client mail. L'envoi chiffré marche.
    Lorsqu'il est écrit sur leur site " Seuls les messages entrants au format inline OpenPGP sont actuellement supportés.", il ne faut pas comprendre que la limitation porte sur les messages entrants, mais sur le format inline PGP par opposition au format PGP/MIME ( cf https://protonmail.com/support/knowl...me-pgp-inline/ ).

    Citation Envoyé par alexetgus Voir le message
    Pour ton post précédent, on se demande si on a bien raison d'allumer un ordinateur, puisque c'est une passoire qui laisse tout fuiter...
    Parano, je le suis, mais faut pas pousser mémé quand même.
    Que Windows possède une (ou des) backdoor permettant d'avoir accès, ponctuellement et pour une personne donnée, à tout son contenu, c'est largement possible et ça ne m'étonnerait pas.
    Par contre, que Windows fasse fuiter toutes les données intéressantes de tous les détenteurs planétaires de cet OS vers un "serveur secret", je pense que ça se saurait depuis le temps.
    Depuis que mon antivirus a intercepté l'envoi d'exécutables perso contenus dans mes documents vers un serveur de microsoft malgré toutes les options de confidentialité activées (je n'ai pas onedrive) j'ai du mal à voir cet engin comme autre chose qu'une passoire.
    Plus généralement, c'est écrit sur le site même de GPG là https://www.gnupg.org/faq/gnupg-faq....essful_attacks et il y a diverses histoires de mecs utilisant des appli chiffrées comme telegram signal etc dont toute la prose a été reproduite au tribunal aux US. On peut a priori supposer que leur terminal a été hacké. Bref, c'est un avis perso, mais si j'utilisais PGP pour des choses sensibles, ce qui est son intérêt, je générerais ma clé privée offline avant de la laisser dans une smartkey ou une yubikey qui ont été conçues notamment dans ce but, ou juste dans un air gap.
    De plus, le fait d'envoyer des mails avec des entêtes GPG fais de toi une sorte de phare dans la nuit pour tous les systèmes automatisés de surveillance. ça ne me surprendrait même pas qu'un d'eux ne récupère pas les clés de manière automatisée, de la même manière que les virus divers écument les pc des particuliers pour récupérer les codes de CB.

  5. #25
    Nouveau Candidat au Club
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    août 2019
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité

    Informations forums :
    Inscription : août 2019
    Messages : 1
    Points : 1
    Points
    1

    Par défaut Utiliser la clé publique PGP des autres utilisateurs que ProtonMail pour les messages sortants

    Citation Envoyé par alexetgus Voir le message
    Si il y a bien un service qui m'a déçu, c'est bien celui de ProtonMail.
    Seuls les messages entrants chiffrés PGP sont acceptés. Les messages sortants ne bénéficient pas de PGP, seul un mot de passe est proposé.
    ...
    Non, tu fais erreur. Je l'ai cherché pendant longtemps sans le trouver. Et c'est après avoir reçu un mail avec une clef publique d'un contact que j'ai eu la surprise de voir ProtonMail me proposer de la stocker "pour chiffrer les messages sortants". Alors je me suis dit, mais il la stocke où (????) et comment j'aurai pu rajouter cette clef publique de cet interlocuteur moi-même.
    Et finalement j'ai trouvé et je vous le partage pour que je sois l'un des derniers a galérer sur ce sujet

    - si le contact n'existe pas, il faut créer avant tout un nouveau contact évidemment,
    - mettre à jour le contact en cliquant sur le contact, puis sur "Paramètres avancées" à droite de l'adresse mail du contact (c'est une "roue" comme le symbole paramètre sur les téléphones Android), cliquer sur "Télécharger une clé", sélectionner la clef publique de votre correspondant (.asc ou .txt), cliquer sur Ouvrir. Puis sélectionner les options "Chiffrer" et/ou "Signer" selon votre choix avec ce correspondant. En ce qui nous concerne on sélectionnera au moins "Chiffrer" puisque c'était le point abordé dans le post. Puis faire enregistrer.

    A partir de ce moment là, ProtonMail va chiffrer automatiquement tous les mails vers ce correspondant avec sa clef publique, indépendamment de ce qu'il fait avec les autres correspondants.

    Voilà et j'ai trouvé cette information nulle part ailleurs avant.
    Bonne chance

    PS : j'ai un compte ProtonMail payant et ça fait peut-être la différence. Dans l'image ci-dessous il y a un "panneau attention" à côté du bouton option "chiffrer" car je n'ai pas encore téléchargé de clef publique pour cet interlocuteur mail

    Nom : protonmail.jpg
Affichages : 18
Taille : 27,1 Ko

  6. #26
    Membre habitué Avatar de alexetgus
    Homme Profil pro
    Webmaster
    Inscrit en
    novembre 2014
    Messages
    67
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Webmaster

    Informations forums :
    Inscription : novembre 2014
    Messages : 67
    Points : 132
    Points
    132

    Par défaut

    @bobby260

    Depuis le temps, oui c'est possible.
    Mais avant novembre 2018, quand j'ai répondu, ça n'était pas le cas.

  7. #27
    Membre du Club
    Homme Profil pro
    Directeur technique
    Inscrit en
    février 2010
    Messages
    63
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Indre et Loire (Centre)

    Informations professionnelles :
    Activité : Directeur technique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : février 2010
    Messages : 63
    Points : 54
    Points
    54

    Par défaut relativité

    Citation Envoyé par alexetgus Voir le message
    Que Windows possède une (ou des) backdoor permettant d'avoir accès, ponctuellement et pour une personne donnée, à tout son contenu, c'est largement possible et ça ne m'étonnerait pas.Par contre, que Windows fasse fuiter toutes les données intéressantes de tous les détenteurs planétaires de cet OS vers un "serveur secret", je pense que ça se saurait depuis le temps.
    Tout système avec des mises à jour est soupçonnable de remonter des informations personnelles sur le volume d'upload pendant les mises à jour, même Linux prend cette voie sous prétexte d'être à jour, mais à jour de quoi ?
    Sous les OS "passoire" on prétend que c'est pour la sécurité, sous Linux on dit que c'est pour avoir des dernières "fonctionnalités", et pourtant les broken packages autrefois rares pleuvent sur Linux comme les virus sous windows ;-)
    Même les fanas de Apple doivent savoir que les serveurs HP ont des backdoors, le terminal est sécurisé contre ton voisin, mais toutes les données sont disponibles sur les serveurs.
    Crypter les messages dans un monde connecté, c'est un peu une illusion.

Discussions similaires

  1. Réponses: 10
    Dernier message: 24/01/2012, 15h11
  2. Service de messagerie
    Par Pandev31000 dans le forum Services Web
    Réponses: 2
    Dernier message: 21/01/2012, 21h32
  3. Opera lance la version beta de son nouveau service de messagerie
    Par Hinault Romaric dans le forum Actualités
    Réponses: 4
    Dernier message: 12/04/2011, 17h21
  4. Service de messagerie professionnelle
    Par larissa1 dans le forum Windows
    Réponses: 1
    Dernier message: 31/07/2009, 18h29
  5. configuration des service de messagerie
    Par danacool dans le forum SharePoint
    Réponses: 1
    Dernier message: 03/06/2009, 14h42

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo