- Messages : 18214
Le jeu de loi de Wikipédia
- Loys
- Auteur du sujet
Sachant que les mails chez Gmail font l'objet d'une lecture systématique pour exploitation commerciale, le mieux est encore d'utiliser son propre nom de domaine et son propre courrier. C'est un peu moins pratique (car GMail fonctionne en symbiose avec d'autres services séduisants comme Google Contacts, Google Agenda...), ça ne protège pas des services de renseignements français et ce n'est pas totalement gratuit mais bon.Autrement dit: quand vous accédez à gmail, vous êtes en https (ou en imap/ssl), ce qui évite que vos communications et donc vos courriers ne soient espionnés par votre prestataire Internet (ou votre voisin, si vous utilisez du wifi non chiffré). En revanche, cela n'empêche absolument pas Google de balancer vos données aux services français ou américains.
Pour empêcher cela, il faudrait que les données soient chiffrées sur votre poste de travail et envoyées déjà chiffrées à Google (ou autre prestataire), qui ne pourrait pas faire grand chose avec (si ce n'est savoir qui les lit et d'où). Cependant, cela empêcherait Google d'indexer vos données, y compris pour votre usage à vous (par exemple, pour vous permettre de retrouver les courriels envoyés par telle ou telle personne).
Mais Google a de toute façon gagné la bataille car un smartphone Android nécessite une adresse Gmail.
Ce faisant, on s'éloigne du sujet. Il est vrai que Wikipédia n'est qu'une exemple parmi bien d'autres de la surveillance généralisée du Web, mais il est regrettable que cette surveillance "sans condition" des utilisateurs non-américains de Wikipédia soit tout à fait légale et ne nécessite aucune "collaboration" avec la Wikimedia Foundation. Encore une fois : ce ne serait pas le cas si les serveurs étaient délocalisés hors des États-Unis pour les utilisateurs non-américains.
Connexion ou Créer un compte pour participer à la conversation.
Par ailleurs, il ne suffirait pas de délocaliser les serveurs, il faudrait les délocaliser dans un lieu tel que le trafic pour les atteindre ne passe pas par les États-Unis... et encore, pas si les prestataires intermédiaires collaborent avec les services américains et associés (rappel: accord UKUSA, vous pouvez compter que le Royaume-Uni c'est comme les États-Unis...).
De ce point de vue, le passage en SSL paraît assez pragmatique, malgré les coûts associés. Cela garantit une certaine sécurité, sans faire d'hypothèses sur le parcours des données dans le réseau.
(*) Voir d'ailleurs les suggestions de Benjamin Bayart: les "box", munies de logiciels libres, devraient pouvoir faire tourner des services de mail etc., de façon à ce que les données soient stockées chez le client et non dans un "cloud" dont on ne sait pas très bien qui le contrôle.
Connexion ou Créer un compte pour participer à la conversation.
- Loys
- Auteur du sujet
- Messages : 18214
Non mais mon hébergeur est français et j'utilise le protocole SSL.DM écrit: Qu'entendez-vous par "utiliser votre propre nom de domaine et votre propre courrier"? Vous faites tourner votre propre serveur de mail, sur une machine que vous contrôlez effectivement? (*)
Ah ça non, mais au moins j'échappe à Google. C'est mieux que rien.Vous êtes sûr que les mails que vous échangez ne passent jamais pas des machines mouchardes, pas forcément situées en France?
Une collaboration implique un accord. Or les données stockées aux États-Unis peuvent être contrôlées "sans condition", ce qui fait une certaine différence..Par ailleurs, il ne suffirait pas de délocaliser les serveurs, il faudrait les délocaliser dans un lieu tel que le trafic pour les atteindre ne passe pas par les États-Unis... et encore, pas si les prestataires intermédiaires collaborent avec les services américains et associés (rappel: accord UKUSA, vous pouvez compter que le Royaume-Uni c'est comme les États-Unis...).
Par ailleurs, en supposant que des données transitent simplement par les États-Unis, la loi américaine ne s'applique pas puisqu'elle autorise l'accès aux "données stockées". Mon raisonnement est uniquement juridique, bien sûr.
C'est très intéressant.(*) Voir d'ailleurs les suggestions de Benjamin Bayart: les "box", munies de logiciels libres, devraient pouvoir faire tourner des services de mail etc., de façon à ce que les données soient stockées chez le client et non dans un "cloud" dont on ne sait pas très bien qui le contrôle.
Connexion ou Créer un compte pour participer à la conversation.
Excusez-moi, mais qu'entendez-vous précisément par "j'utilise le protocole SSL"?
Même si vous accédez à votre boîte mail via IMAPS (IMAP sur SSL), il ne s'ensuit pas que vos courriels soient transmis avec chiffrement. Cela veut juste dire que lorsque vous accédez à votre boîte mail (y compris depuis un réseau wifi douteux), la communication est authentifiée et chiffrée.
Quand vous expédiez un courriel, est-ce que vous l'envoyez par du SMTP simple, ou par du SMTP chiffré (STARTTLS)?
Ensuite, une fois que votre courriel est envoyé auprès du premier relai SMTP (p.ex. celui de votre fournisseur d'accès), quelle assurance avez-vous qu'il sera chiffré entre les relais suivant? (P.ex., sauf erreur de ma part, le système de courriel de Free ne supporte pas STARTTLS.)
Si vous voulez que vos courriers soient vraiment chiffrés, utilisez donc GPG... et encore cela n'empêche pas l'analyse de trafic (qui parle à qui avec quels volumes).
Tout ceci m'inspire la réflexion suivante: depuis que l'Internet grand public existe, bien que les moyens de chiffrement existent (S/MIME, PGP/MIME pour le courriel...), on n'a rien fait pour que ceux-ci soient utilisables et compréhensibles pour le grand public (*), à l'exception du HTTPS, sans doute parce que celui-ci sert aux sites de commerce électronique et qu'on veut donc prévenir les arnaques aux cartes bancaires. Mieux, on se moquait de ceux qui parlaient de problèmes de sécurité ou du pouvoir excessif accordé à certains groupes industriels. 18 ans après, la presse fait mine de découvrir les choses... Comme c'est mignon!
(*) Par exemple, il n'y a rien qui, techniquement, empêche que les systèmes de messagerie instantanée ou de téléphonie chiffrent les communications de façon à ce qu'elles ne soient pas lisibles y compris par l'intermédiaire technique, mais ce n'est pas ce qui est pratiqué. De même, les logiciels de courrier électronique permettent de chiffrer les courriels, mais il faut pour cela assurer une gestion de clefs de chiffrement, ce qui est pénible pour de simples particuliers... et on n'a pas fait grand chose pour rendre cela vraiment utilisable. Curieux, non?
Connexion ou Créer un compte pour participer à la conversation.
* Dans les années 1950, sous couvert de lutte contre les agents soviétiques, les services secrets britanniques faisaient ouvrir les courriers papier et placer sur écoute des lignes téléphoniques par des services spécialisés du "Post Office", si j'ai bien compris en dehors de toute procédure judiciaire, la seule condition étant que cela ne se sache pas. De même, en cas d'effractions ou autres activités illicites, ils se faisaient couvrir par la police.
* Récemment, en France, des services de police demandaient à consulter les listes de communications de journalistes, apparemment en dehors des règles (scandale des "fadettes").
Ceci, il me semble, devrait vous convaincre que les arguties juridiques n'ont que peu d'importance pour les services secrets des démocraties libérales, tant qu'ils ne risquent pas de se faire prendre; et quoi de plus discret qu'une machine d'interception?
Le seul risque serait qu'un technicien révèle le pot aux roses... et voyez comment la France, de peur qu'Edward Snowden ne s'échappe, a voulu bloquer l'avion présidentiel bolivien!
Connexion ou Créer un compte pour participer à la conversation.
- Loys
- Auteur du sujet
- Messages : 18214
Je suis en IMAP et SSL/TLS. Mon client mail se connecte directement chez mon hébergeur.DM écrit: Même si vous accédez à votre boîte mail via IMAPS (IMAP sur SSL), il ne s'ensuit pas que vos courriels soient transmis avec chiffrement. Cela veut juste dire que lorsque vous accédez à votre boîte mail (y compris depuis un réseau wifi douteux), la communication est authentifiée et chiffrée.
Quand vous expédiez un courriel, est-ce que vous l'envoyez par du SMTP simple, ou par du SMTP chiffré (STARTTLS)?
Je consulterai GPG par curiosité mais a priori je n'ai pas grand chose à cacher.
Pour vos dernières remarques, effectivement, c'est curieux. Je suis sûr que vous avez une petite théorie à ce sujet.
Connexion ou Créer un compte pour participer à la conversation.
- Loys
- Auteur du sujet
- Messages : 18214
Je n'ai guère de doute à ce sujet. Mais pousser le cynisme jusqu'à rendre le procédé légal pour les non-Américains...DM écrit: Ceci, il me semble, devrait vous convaincre que les arguties juridiques n'ont que peu d'importance pour les services secrets des démocraties libérales, tant qu'ils ne risquent pas de se faire prendre; et quoi de plus discret qu'une machine d'interception.
Connexion ou Créer un compte pour participer à la conversation.
- Loys
- Auteur du sujet
- Messages : 18214
Connexion ou Créer un compte pour participer à la conversation.
Je ne suis pas un expert en SMTP chiffré, mais il me semble qu'il n'est pas rare que les prestataires Internet le refusent (sauf erreur de ma part, les serveurs de Free, Club Internet et Orange, par exemple, ne reçoivent pas le SMTP chiffré méthode STARTTLS; autrement dit tout courriel à destination de chez eux passe en clair dans le réseau, y compris par les routeurs backbone qui potentiellement espionnent).
Ma théorie est la suivante:
* Les gouvernements ont avantage à la sécurisation des échanges commerciaux (sinon cela fait beaucoup d'escroqueries), mais non à la sécurisation des transmissions (ce qui les empêcherait de pratiquer des écoutes... que ce soit pour des raisons respectables ou non). Ils ne poussent donc pas dans cette direction (après avoir carrément freiné: cf les ennuis du créateur de PGP, ou la nécessité en France de demander des autorisations pour utiliser de la cryptographie).
* Les grands acteurs de l'Internet n'ont pas avantage à cela: passer le mail etc. en SSL a un coût (il me semble ainsi que, pendant longtemps, les principaux fournisseurs Internet donnaient des accès POP/IMAP non chiffrés).
* Ceux qui monétisent les données de leurs utilisateurs n'ont pas avantage à ce que ces derniers contrôlent ce qui se passe.
* Le public s'en fout et préfère les services "pratiques". L'information délivrée par les médias grand public est à peu près nulle (je ne veux pas paraître inutilement méprisant, mais il me semble que la plupart des journalistes qui parlent d'Internet et de sécurité ne comprennent tout simplement pas grand chose à ce qu'ils disent...).
Conclusion: il y a une convergence d'intérêts à ce que le chiffrement bout-à-bout ne soit pas utilisable par l'utilisateur "normal"... même si bien entendu il existe pour des raisons professionnelles (comme vous pouvez le supposer, je n'accède aux systèmes de mon lieu de travail que par ssh).
Connexion ou Créer un compte pour participer à la conversation.
Les logiciels de courrier électronique intègrent S/MIME depuis longtemps, mais là encore la distribution de clefs est un vrai problème. Les prestataires Internet pourraient, dans leurs kits de connexion et de création de comptes email, mettre en place un système de création de clefs... mais ils ne le font pas parce que ça leur coûterait de l'argent et que les gens s'en fichent.
Connexion ou Créer un compte pour participer à la conversation.