ProtonMail : service de messagerie web chiffré

crotte , j’ ai foiré ma citation de message :o

Exact, y a même une option dans le plugin GPG de claws-mail pour tricher et de chiffrer ce qu’on garde dans la sendbox avec sa propre clé privée plutôt qu’avec celle du destinataire. Parce que faut avouer que c’est pas super pratique :stuck_out_tongue:

Bref, pour en finir avec mon avis.
Faudra garder en tête que c’est pas « libre libre » protonmail, que « votre clé privée n’est pas privée », et que ça n’ajoute rien à votre vie privée si votre correspondant n’est pas lui-même chez protonmail ou chiffre ses mails lui-même, bien entendu.
Je trouve ça dommage de laisse ça au cloud alors que vous pouvez le faire vous-même, toute faille de sécurité est en général fatale, et c’en est une : mais vous êtres grands, et tout le monde fait des concessions avec la sécurité versus utilisabilité.

"Nous pensons que la confidentialité de nos emails doit être disponible pour tous. C’est pourquoi notre code est open source "

« la clé privée étant stockée sur les serveurs de ProtonMail en format chiffré, les développeurs de ProtonMail ne peuvent décoder les messages chiffrés ni la révéler à un utilisateur qui l’aurait oubliée »

« Les courriels envoyés de ProtonMail à des adresses de messagerie non ProtonMail peuvent être envoyés avec ou sans chiffrement. Avec chiffrement, le courriel ne peut pas encore être chiffré avec la clé publique du destinataire, mais il l’est avec AES au moyen d’un mot de passe fourni par l’expéditeur et est ensuite stocké sur les serveurs de ProtonMail. Le destinataire reçoit un lien vers le site web de ProtonMail sur lequel il doit entrer le mot de passe pour déchiffrer et lire le message. ProtonMail présume que l’expéditeur et le destinataire ont échangé le mot de passe via un canal sécurisé »

Nous ne sommes pas seuls et je veux partager avec le plus grand nombre mes connaissances comme celles sur la sécurité et après cette échange où j’ai l’impression de mieux comprendre le chiffrement, je conseillerai autour de moi d’utiliser ProtonMail pour sa simplicité et d’abandonner Gmail, Yahoo, AOL, Outlook, Orange, Free, SFR ou LaPoste et laisserai GPG aux spécialistes :slight_smile:

[quote=« René, post:23, topic:3393 »]Proton Mail : disposez d'une messagerie privée, sécurisée et chiffrée | Proton
"Nous pensons que la confidentialité de nos emails doit être disponible pour tous. C’est pourquoi notre code est open source "Proton Mail — Wikipédia
Je tirais ma réflexion d’un blog (c’est léger attention, un extrait parachuté) :

[...]À l’inverse, Qwant, logiciel pourtant privateur (bien que libérant beaucoup de morceaux), respecte ma vie privée. Idem pour ProtonMail, qui n’est pas non plus libre (mais publie aussi beaucoup).
https://blog.imirhil.fr/2017/02/21/logiciel-libre-gouvernance-ethique.html -juste histoire de me justifier de pas dire des conneries sans raison :D - cela dit c'est faible, très faible, il donne même pas la référence de son affirmation é_è.
Avec chiffrement, le courriel ne peut pas encore être chiffré avec la clé publique du destinataire, mais il l'est avec [url=https://fr.wikipedia.org/wiki/Advanced_Encryption_Standard]AES[/url] au moyen d'un mot de passe fourni par l'expéditeur et est ensuite stocké sur les serveurs de ProtonMail.
Le mot de passe est encore chez protonmail ! Aherm. Fin c'est intéressant quand même, je peux pas être QUE de mauvaise foi - curieux de voir l'apport réel de sécurité et si ça serait vraiment utilisé ^^'

M’enfin z’avez compris ma réticence de principe d’utiliser un cloud pour faire ce qu’on peut faire en local, le cri d’alarme contre cette dépossession de notre informatique en forme de service ne date pas d’hier, j’avoue que le message s’est incrusté dans ma pensée à l’époque, et j’ai conscience de chercher la petite bête parce que je suis persuadé au fond que c’est une mauvaise idée, quel que soit le service offert, surtout si on peut faire la même sans passer par un prestataire. Même si c’était framasoft derrière, j’aurais eu du mal de m’empêcher de chipoter >.<
À chacun ses dogmes, hé :stuck_out_tongue:

“Le mot de passe est encore chez protonmail” mais il est chiffré et pour avoir essayé de récupérer des mots de passe chiffrés sur spip je peux te dire que c’est pas simple puisque je n’ai pas réussi

Il reste que pour la large majorité des gens que je connais, ProtonMail c’est plus simple que EnigMail et plus sécurisé que Gmail et autres

Otyugh bien que n’ utilisant pas protonmail , j’ ai pu recevoir un mail chiffré que j’ ai pu décoder avec le mdp que René m’ avait fait parvenir .
je trouve cela pas mal protonmail,même si pour l’ instant ,quand je veux chiffrer un message , je me contente de Framabin :slight_smile:

Eh oui ,j’ adore les framachins , mais je crois que tu le sais déjà ! :smiley:

Avec Framabin
“Vos données (commentaires inclus) sont chiffrées dans le navigateur web en utilisant l’algorithme AES 256 bits. Elles sont ensuite transmises et stockées sur nos serveurs sans qu’il nous soit possible de les déchiffrer. Vous seuls possedez la clé utilisée pour chiffrer et déchiffrer les données.”
comme ProtoMail… :slight_smile:
“Avec chiffrement, le courriel ne peut pas encore être chiffré avec la clé publique du destinataire, mais il l’est avec AES au moyen d’un mot de passe fourni par l’expéditeur et est ensuite stocké sur les serveurs de ProtonMail.”

Installer Thunderbird puis Enigmail


moins facile pour beaucoup de monde que d’ouvrir un compte chez Protomail

ça dépend certainement pour qui , mais pour ma part je confirme ;D

[me=Otyugh]boude :p[/me]
Pour ne pas utiliser enigmail, je peux au moins vous dire que le plugin GPG de claws-mail (sous jessie) tourne bien sans complexité, et sur les petites config, passer par firefox pour regarder ses mails, c’est se faire très mal (ou être très patient), quand claws est une petite fusée.

ne nous en veux pas mais nous avons un peu de mal avec tout ça . A force de fréquenter René ;), j’ai du mal à me déplacer , à entendre , voir et retenir . Que veux tu , l’âge est là ! ;D

Tout à fait d’accord, plus je cherche et plus je n’y entends et n’y comprends plus rien à toutes ces histoires de chiffrement :slight_smile:
Piero m’a fait installer Enigmail avec bien du mal… et là je constate que les mots de passe de mes comptes imap s’ils sont transmis chiffrés et “hashés” avant d’être stockés sur les serveurs, il n’en demeure pas moins que mon hébergeur reçoit en clair mes mots de passe. Dans ce cas ProtonMail est-il moins sécurisé ?
Mon adresse principale est chez gandi. Puis-je leur faire confiance ? J’ai aussi une adresse chez Gmail que je n’utilise que pour envoyer des fausses nouvelles et des trolls ;D

ajout : le protocole TLS/SSL permet la transmission chiffrée des mots de passe mais pour empêcher qu’un tiers intercepte ces mdp

Désolé de revenir à la charge… :slight_smile:
Pour l’instant avec Enigmail qui a l’intérêt de conserver ma clé privée sur mon ordi, je ne transmets des messages chiffrés qu’à Piero pour lui écrire en général : “Coucou, je chiffre mes messages”
J’allais conseillé à mes correspondants qui utilisent des webmail d’installer FireGPG mais j’apprends qu’il n’est pas fiable
https://tails.boum.org/doc/encryption_and_privacy/FireGPG_susceptible_to_devastating_attacks/
Ce n’est donc pas encore aujourd’hui que je vais pouvoir transmettre les plans de la fusée nord-coréenne à lareinedeselfes ::slight_smile:

En conclusion, 99,999 % de mes mails ne sont pas chiffrés et ne sont pas prêts de l’être. Ces mails non chiffrés sont en clair sur les serveurs de Gandi, Gmail et Free. Si demain j’utilise ProtonMail 99,998 % de mes mails risquent toujours de ne pas être transmis chiffrés mais ils ne seront plus en clair sur les serveurs de ProtoMail et lorsque je transmettrai les plans de la fusée nord-coréenne à lareinedeselfes, les espions de Kim Jong-un ne pourront pas lire mes messages, ni la NSA, ni la DGSE

La majorité des mails sont chiffrés lors du transit par défaut (même si j’ai eu la surprise de constater que les param par défaut d’Ubuntu était que le SMTP soit “sans chiffement” pour orange oO), je pense, le problème a toujours été que les fournisseurs de mails ont la main sur les mails en clair.
GPG permettait d’éviter l’espionnage du facteur.

Moi non plus je ne l’utilise pas des masses : pierrot et un pote pour tester. Et ce pote je discute tous les jours avec lui en clair sur IRC >.<
Cela dit je pense que le problème est social et pas technique dans cette affaire. Au Xème snowden ou représession d’état à partir des mails d’un activiste, on aura ptéte quelque chose :o
Parait qu’à NDDL ça chiffre pas mal par exemple.

À mon sens on ne peut s’en prendre qu’à nous-même : tout est là, on est juste pas assez motivé, et si ce n’est qu’un “ponpon” prosélite, ça ne deviendra jamais populaire. Cela dit ce dont je suis certain, c’est qu’on ne sécurisera si on mets l’intelligence dans les serveurs, et podzob chez l’utilisateur. C’était le grand avantage aussi de GPG qui rendait l’utilisateur acteur de sa sécurité : il n’est pas juste allé “chez le bon prestataire de service”, il “fait ce qu’il faut”.

Finbref, j’encouragerai toujours en signature de mes mails à me contacter en GPG avec l’empreinte publique de ma clef privée. Pour ce qui me regarde l’est plus important de rendre la chose possible que de le faire, sur le plan personnel. Personne n’est responsable de l’état de la société - aujoud’hui soyons un peu réaliste, les gens sont tellement déconnecté de ce que fait “la magie de l’informatique”, faudra quelques générations de gens avertis pour que ça rentre - et pour que ça ait aucune utilité. - la première étape est certainement d’avoir des notions d’informatique de base, et ça… Faut être réaliste :o

Le préjudice à mon sens, c’est que GPG devrait être appris en seconde. C’pas si compliqué berdel, faut juste faire des schémas avec des couleurs apparemment :smiley:

En seconde, à la maternelle, en CM2, etc… il y aurait tellement de choses à apprendre comme la musique, le dessin, le chant, la sculpture, la mécanique auto, le jardinage, la pêche, la natation, le secourisme, rouler un joint, etc…
Le chiffrement avec GPG restera une activité anecdotique réservée aux pros du secret mais pour la majorité dont moi et mes contacts, un hébergeur comme ProtonMail apporte une meilleure sécurité que des Gmail, Free, Yahoo, Outlook, Orange, etc…
et avec ProtonMail on est assuré que Google ne lira plus nos mails pour cibler des pubs… ;D

Le chiffrement avec GPG restera une activité anecdotique réservée aux pros du secret
Moins le chiffrement GPG sera répandu, plus leurs utilisateurs auront des fichiers fournis au poste de police, mais c'est probable comme prédiction. Cela dit, ce sera pas le dernier combat perdu qui me motivera, GPG est vraiment pas si compliqué, j'pense que c'est un problème d'accompagnement au jour le jour que de réel complexité de mise en oeuvre, mais c'est mon point de vue du moment, je n'exclue pas ma mauvaise foi.

Tant qu’on me retire pas la satisfaction d’envoyer des mails chiffrés de « coucou ça va ? » avec un sujet non chiffré titrante « AVIONS EXPLOSIF PARIS BOOM BOOM HACKBAR », tout va bien.

Ma bonne foi va me conduire à proposer à mon entourage de prendre un compte chez ProtonMail

Avec Google bien sur
http://www.luc-damas.fr/humeurs/le-facteur/

J’ai sauté le pas et pris la version à 5€ chez ProtonMail
En ce moment je me débats avec la configuration de mon domaine chez gandi pour que mon adresse perso fonctionne avec ProtonMail

De l’intérêt de ne pas confier ses documents et mails aux GAFAM

Aux États-Unis, les fameuses National Security Letters viennent d’être déclarées tout à fait constitutionnelles. Ces courriers, émis notamment par le FBI, permettent de réclamer des données aux prestataires et autres opérateurs de téléphonie. Un coup dur pour l’EFF, qui cherchait à faire évoluer la législation. Les NSL sont un vieux sujet de désaccord aux États-Unis. Ces lettres sont émises par les agences fédérales ayant besoin d’accéder à des données. Elles peuvent se trouver chez des sociétés de type GAFAM (Google, Apple, Facebook, Amazon et Microsoft), des fournisseurs d’accès, des opérateurs de téléphonie et globalement toute structure qui peuvent être amenées à stocker ces informations. Elles ont largement été mises en avant depuis le passage d’[url=http://www.nextinpact.com/recherche?_search=Edward+Snowden]Edward Snowden[/url], plusieurs associations et entreprises essayant d’en atténuer la toute-puissance, en particulier quand elles sont accompagnées de « gag orders ». Ces derniers imposant en plus aux entreprises concernées de ne pas avertir leurs clients de ces demandes, alors même que le Quatrième amendement de la Constitution américaine garantit le droit d’en être informé. Cependant, plusieurs lois ont changé depuis le passage de Snowden, particulièrement depuis l’année dernière. Un juge vient d’ailleurs de décider qu’en l’état, tout allait bien avec le système actuel. Un peu de contexte autour des NSLPour bien situer les [url=https://www.nextinpact.com/news/102519-google-publie-huit-lettres-securite-nationales-envoyees-par-fbi.htm]National Security Letters[/url], il faut préciser quelques points importants. D’une part, les NSL sont émises directement par les agences qui en ont besoin, FBI en tête. Elles ne font l’objet d’aucune demande aux tribunaux et elles n’ont pas besoin d’être validées par un juge. Elles n’entrent donc pas dans le même domaine que les mandats de recherche. D’autre part, le parcours juridique des NSL a été chaotique. Elles ont particulièrement été remises en cause après le passage de Snowden, la juge Susan Illston ayant décidé en 2013 qu’elles étaient inconstitutionnelles, enfreignant le sacro-saint Premier amendement sur la liberté d’expression (les entreprises ne pouvant pas parler précisément des NSL). Elle a depuis changé d’avis, pour tenir compte d’importantes modifications intervenues l’année dernière. Le problème [url=https://www.nextinpact.com/news/101836-surveillance-yahoo-demande-au-gouvernement-americain-clarifier-situation.htm]le plus souvent pointé[/url] pour les NSL est en effet le gag order, une sorte d’obligation de non-divulgation, qui l’accompagne régulièrement. L’entreprise peut faire l’objet de poursuites si elle décide de passer outre. Or, depuis l’année dernière justement, le FBI doit réviser le besoin d’une telle obligation trois ans après ouverture de l’enquête ou lors de sa fermeture. Le gag order doit ainsi être levé si les éléments n’imposent plus son utilisation, alors qu’il était considéré comme définitif quand il était émis sans limite de temps. On se souvient d’ailleurs que Microsoft [url=https://www.nextinpact.com/news/99531-secret-requetes-microsoft-porte-plainte-contre-justice-americaine.htm]combattait ce dernier point[/url], avec [url=https://www.nextinpact.com/news/101255-secret-requetes-nombreux-allies-pour-microsoft-contre-justice-americaine.htm]l'aide de l'EFF[/url]. Les NSL et leurs gag orders jugés parfaitement constitutionnels Malheureusement pour l’Electronic Frontier Foundation qui avait déposé plainte contre les NSL, une [url=http://cdn.ca9.uscourts.gov/datastore/opinions/2017/07/17/16-16067.pdf]cour d’appel a estimé hier[/url] qu’elles étaient tout à fait constitutionnelles. Certains doutes étaient permis avant, mais la révision des règles intervenue l’année dernière permet d’apporter désormais des garanties qui n’existaient pas précédemment. Dans la pratique, le FBI va donc pouvoir continuer à émettre des NSL comme il le faisait jusqu’à présent, tout en continuant à appliquer ses nouvelles obligations, notamment la révision des gag orders au bout de trois ans. Les entreprises n’auront de leur côté toujours pas le droit d’évoquer ces NSL protégées dans leurs rapports de transparence, tout juste pourront-elles évoquer leur nombre… arrondi au millier. La situation générale va donc ainsi rester inchangée dans l’avenir proche. L’EFF, dans une réponse [url=https://arstechnica.com/tech-policy/2017/07/fbi-retains-right-to-issue-national-security-data-requests-in-secret/]donnée à Ars Technica[/url], a indiqué cependant qu’elle étudiait ses options pour tenter de combattre la décision, pourquoi pas en relançant un appel. Une activité normale On rappellera qu’en dépit des très nombreux débats provoqués par les actions d’Edward Snowden et de la presse qui possédait tout ou partie des documents dérobés à la NSA, le cadre du renseignement et de la récupération des données n’a que peu changé dans le fond. Le Freedom Act de l’administration Obama a bien assoupli quelque peu les règles, mais la NSA a gardé ses opérations pratiquement intactes. Tout juste s’est-elle vu ajouter l’obligation de passer par des voies mieux encadrées pour ses demandes d’information. Mais là où l’agence doit faire valider ces requêtes par un juge spécial membre de la FISC (Foreign Intelligence Surveillance Court), le FBI n’a pas ce type de problème avec les NSL. Les sociétés visées par ces requêtes continueront donc sans doute de pester officiellement contre l’impossibilité d’avertir les clients.