Une sĂ©rie d’arguments contre les courriels chiffrĂ©s (je ne les ai pas tous compris) qui se conclut par "n’utilisez PAS de courriel chiffrĂ©" (mais plutĂŽt de la messagerie chiffrĂ©e genre Signal)
(en anglais) -->
latacora.micro.blog/2020/02/19

Follow

@goofy
Il y a au moins deux façons de voir la messagerie "sécurisée".

1/5

· Web · 1 · 0 · 1

@goofy Celle qui est sous-jacente ici, mĂȘme si je caricature un peu, c'est que je ne peux pas faire confiance Ă  mon destinataire (!). Il faut donc le traĂźner (sur une messagerie centralisĂ©e, c'est plus facile) oĂč il lui sera impossible de faire une bĂȘtise avec l'information confidentielle.

2/5

@goofy Si l'application est un logiciel propriétaire, c'est plus facile parce qu'elle peut mettre en place la disparition des messages, désactiver le copier-coller et la capture d'écran, forcer l'utilisation de l'application pour tous les contacts compatibles etc. Comme je ne peux pas non plus faire confiance au service, il est absolument indispensable d'avoir du chiffrement de bout en bout.

3/5

@goofy La deuxiĂšme façon que je vois, c'est d'utiliser un protocole standardisĂ© avec des implĂ©mentations libres faciles Ă  hĂ©berger soi-mĂȘme et interopĂ©rables. Dans ce cas, je fais confiance Ă  mon hĂ©bergeur, et j'en attends de mĂȘme de mes interlocuteurs. Si je fais confiance Ă  mon interlocuteur, alors le seul chiffrement nĂ©cessaire est entre mon client et mon serveur, et entre nos deux serveurs.

4/5

@goofy Ça explique pourquoi personne n'aime le chiffrement de bout en bout pour le mail ou pour . Selon les premiers, c'est mal fait. Selon les seconds, c'est pas trĂšs utile. Et tout le monde est d'accord pour cacher ce dĂ©saccord derriĂšre le rideau de fumĂ©e :
"C'est pas sécurisé !"

5/5

@vk @goofy je ne pense pas que la communautĂ© #xmpp (j'en fais partie) trouve ça inutile, mais c'est vrai que c'est difficile Ă  vraiment sĂ©curiser parce qu'il faut authentifier les correspondant⋅e⋅s, et c'est trĂšs difficile Ă  faire d'un point de vue UX. La plupart du temps c'est masquĂ©, et donc ça casse fortement l'intĂ©rĂȘt du chiffrement de bout en bout.

D'autre part il y a des soucis techniques et historiques, mais la communauté travaille à corriger ça.

@Goffi Oui, je reconnais que c'est un point de vue un peu simpliste et caricatural. Il y a des compromis partout : Signal a un client libre, et il est impossible pour des raisons historiques d'avoir du chiffrement obligatoire entre serveurs SMTP, par exemple. Mais pour une bĂȘte question telle que : "Est-ce que je peux lire les messages envoyĂ©s depuis un autre appareil ?", la rĂ©ponse risque fort de reflĂ©ter les deux catĂ©gories ci-dessus.

@vk

> Selon les seconds, c'est pas trĂšs utile.

It is not very useful because none of the currently defined standards ( 0384, 0364, 0027) could be bothered with specifying a model that they're supposed to protect against.

@goofy

@vk

> c'est que je ne peux pas faire confiance Ă  mon destinataire

In which case “need to know” applies. has bugger all to do with your problem.

NB: I haven't read past the first paragraph of the link above. Reason: you cannot say “X is (in)secure” without specifying against which threat.

NB2: don't bother replying in English as far as I'm concerned. I can read French just as well but it's a pain in the arse to write it properly on this keyboard.

@goofy

Sign in to participate in the conversation
La Quadrature du Net - Mastodon - Media Fédéré

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!