mamot.fr is one of the many independent Mastodon servers you can use to participate in the fediverse.
Mamot.fr est un serveur Mastodon francophone, géré par La Quadrature du Net.

Server stats:

3.5K
active users

À chaque fois qu'on utilise une adresse en gmail, partage un Google docs, organise une visio sur Zoom ou Teams, on force les autres à livrer leurs données aux GAFAM.

Ce n'est pas du consentement libre et éclairé.

Alors ne faisons pas comme les entreprises : ne forçons pas nos copaines militant·es à utiliser de mauvais outils juste "parce que c'est plus pratique" et puis "tout le monde utilise ça".

Prenons soin les un·es des autres.

Reprenons le pouvoir sur nos outils.

@Khrys
Un bon choix pour les mails est protonmail

@Khrys oui avez vous mieux a proposer?

@Khrys avec tous les serrvices de chiffrement équivalents de proton?

@speedoo63 Le chiffrement, je fais ça direct via mon client mail Thunderbird. Facile, simple, chez moi et pas via une entreprise.

@Khrys svp pas d'usine à gaz.
Je suis un utilisateur certe avance, mais je n'ai pas envie de me trimballer avec uncouteau suisse lol

@speedoo63 Eh bah si tu ne veux pas de conseils, n'en demande pas.

@Khrys Ou la la....
Quelle tolérance

@speedoo63

Utilise deltachat, tu auras du chiffrement obligatoire si tu utilises un profil généré, et si tu utilises ton mail classique les mails seront chiffrés si possible. Tu ne vois jamais les clés, tout est géré pour toi automatiquement. Le serveur ne fournit aucun service nécessaire, tout se passe coté client.
@Khrys

@speedoo63 @Khrys Dans ce cas il me semble que Tuta le propose.

Mais le chiffrement géré côté fournisseur comme Proton, c’est une rustine, ça n’est pas du tout aussi sécurisé que du véritable bout-en-bout.

@breizh
En quoi le chiffrement de proton est différent du vrai chiffrement ?

@speedoo63 Pour faire simple, pas forcément exact : le chiffrement dans le monde du mail, ça se fait avec des clefs, généralement une privée (qui te sers à déchiffrer et signer, il n’y a que toi qui la connaît), et une publique (que tu diffuses, qui sert à chiffrer et vérifier ta signature).

Avec Proton, c’est Proton qui garde ta clef, pas toi.

En théorie ils la chiffrent avec ton mot de passe, donc ils sont pas censé y avoir accès sans ton mot de passe, mais en pratique rien ne te le garanti. Et rien ne garantie non plus qu’ils modifient pas le contenu du mail avant de le chiffrer avec ta clef du coup.

Et pareil dans l’autre sens, c’est Proton qui déchiffre le mail qui t’es destiné.

@breizh super explication.
En ce qui concerne les garanties, effectivement.
La on rentre dans une relation de confiance.
Et vu l'actualité a qui pouvons nous sincèrement faire confiance aujourd'hui ?

@speedoo63 Tout à fait. D’où l’intérêt d’un véritable chiffrement de bout-en-bout. Qui est plus simple que ça ne l’a été, mais reste pas aussi simple que de s’en passer.

Dans ce cas il n’y a plus besoin d’avoir confiance en des intermédiaires. Il faut par contre faire confiance au logiciel que tu utilises. Peu de personnes vérifient réellement le comportement de ces logiciels, mais le simple fait que ce soit possible (à condition qu’ils soient libre évidemment) contrairement aux serveurs de Proton est déjà un grand pas en avant.

@breizh sur le site de proton ils affirment que proton ne détient pas la clef privée

@speedoo63 C’est un abus de langage pour dire qu’ils ne peuvent pas l’utiliser.

Ils en ont une version chiffrée qu’ils ne peuvent pas lire, parce qu’elle est chiffrée avec ton mot de passe (que toi seul connais, donc).

Sauf qu’en pratique, ils pourraient très bien mentir sur ce point (je doute qu’ils le fassent, bien sûr, mais il faut leur faire confiance).

Pour preuve, cet article où ils expliquent qu’on peut télécharger la clef privée : c’est bien qu’ils l’ont (même si dans un format censé être illisible pour eux) : https://proton.me/support/download-public-private-key/

ProtonHow to download your public and private keys | ProtonLearn how to download your encryption keys from Proton Mail to send PGP-encrypted emails to non-Proton Mail users or use another PGP client.

@speedoo63 Et le simple fait que tu puisses l’utiliser dans le webmail aussi. S’ils n’avaient pas la clef, le webmail te demanderais le fichier la contenant à chaque fois… (ou alors de la taper en entier, et c’est beaucoup plus long qu’un mot de passe en général ^^’).

@breizh @speedoo63
Alors pour les non habitués, M. Ou Mme tt le monde il est plus simple de proposer un proton qui chiffre (mais qui donnera ses infos aux polices... Je crois)
Qu'une solution a gérer personnellement sur sont gestionnaire de courrier.

@jlgnt @breizh oui mais de toute façon si la police te demande ta clef privée tu seras obligé de la donner quelque soit l'endroit où elle est hébergée même chez toi

@speedoo63 @jlgnt Yep, si le modèle de menace c’est l’État, XKCD 538. À noter que dans un État un tant soi peu correct niveau respect des droits humains, je suis pas sûr que tu sois obligé de filer ta clef privée (c’est-à-dire que le risque si tu refuses est pas trop élevé). 🤔

Et puis la quantité joue aussi. Vu ce qui se passe aux États-Unis, on parle de données sur des milliers et des milliers de personnes.

Dans un monde où tout le monde chiffrerait par défaut, ça demanderait beaucoup plus d’effort qu’actuellement où ils ont juste à demander une liste toute prête à certains fournisseurs…

xkcdSecurity

@jlgnt @speedoo63 Tout à fait, oui (encore que c’est pas si complexe de chiffrer sur son client, même ma mère y arrive). Je comprends l’existence de ce système et ses avantages.

Je ne fais que relever le fait que ça implique une confiance aveugle envers le fournisseur pour qu’il fasse correctement son taf.

(et malgré les polémiques récentes, je pense que Proton fait correctement son taf et n’a réellement pas moyen de fournir le contenu des mails chiffrés à qui que ce soit, c’est ce qu’il y autour qu’ils ont).