Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".
Test de l'ISO d'Ubuntu francophone : nous avons besoin de testeurs pour la version francophone d'Ubuntu 14.04. Liens et informations ici.

#26 Le 30/05/2014, à 19:30

Zakhar

Re : (RESOLU )Sécuritè des Webmails ?

ViKToR69 a écrit :

Bonjour,

J'avais déjà lançé le sujet il y a quelque temps ...

Finalement, je me pose la question suivante, à savoir : si on utlise un webmail sécurisé en HTTPS pour la connexion mais aussi dans le cheminement de l'email de l'expéditeur au destinataire à quoi ça sert vraiment car si la messagerie du destinataire n'est pas sécurisée ... à quoi bon ! puisque le mail sera sécurisé dans un sens mais pas dans l'autre ... ! non ?

Exact ! Même ton propre serveur SMTP pour pousser le raisonnement au bout, ça ne sert à rien à partir du moment où tes destinataires sont sur des e-mails "publics".

La seule solution est le chiffrement bout en bout.

Par exemple Thunderbird + Enigmail (GPG)

L'inconvénient est que ça exige que l'émetteur et l'ensemble des destinataires aient chacun une clé GPG.

Mais si c'est le cas, le fournisseur de mail importe peu puisqu'il verra un bloc de caractères sans signification.

{Edit} : ooops, pas vu que Wholes vient d'expliquer exactement la même chose ci-dessus. Donc 100% d'accord avec wholes !

Dernière modification par Zakhar (Le 30/05/2014, à 19:31)


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

En ligne

#27 Le 30/05/2014, à 19:40

compte supprimé

Re : (RESOLU )Sécuritè des Webmails ?

sur  le lien de (  ViKToR69 ) 

ICI

je trouve
legtux.org

Celaparait pas mal non plus

#28 Le 30/05/2014, à 20:08

ignus

Re : (RESOLU )Sécuritè des Webmails ?

rubins a écrit :

Celui qui est capable de gérer cela chez lui avec son serveur maison serait peut être une solution
Ce n'est malheureusement pas mon cas .

PGP est THE solution, mais connaissez-vous vraiment des personnes qui utilisent ce procéder dans vos contacts ?
D'autre part, la solution d'une boite hébergée à votre domicile est bonne (car c'est vous les administrateurs)  mais si votre destinataire envoie un email sans le protocole SSL/TLS... Le sniffage peut avoir lieu.
- La seule chose que l'on peut maîtriser, c'est le rapatriement des email du serveur IMAP à son pc.
Là, le protocole SSL/TLS suffit pour chiffrer (en cas de sniffage)
- De même que pour l'envoie de ton pc au serveur distant, SSL/TLS suffisent aussi.
Quant à savoir ce que font nos correspondants de leur sécurité informatique...
Bien sûr, PGP résout pas mal de chose, si le mel est intercepté, le déchiffrage sera très difficile (voir impossible) pour un pirate mais dans le cas d'entité étatique, les moyens sont bien là pour tout déchiffrer.
Mais un point qui me semble primordial et trop souvent oublié pour garantir un minimum de confidentialité, cela ce situe plus au niveau des administrateurs des réseau Orange, Laposte etc etc... Leurs faire confiance, surtout en ce moment avec les affaires de la NSA, c'est comme confier ses économies aux banquiers big_smile
Si ils ont les mots de passe en clair dans leur BDD, hum, c'est open bar big_smile

Dernière modification par ignus (Le 30/05/2014, à 20:14)

En ligne

#29 Le 30/05/2014, à 20:19

compte supprimé

Re : (RESOLU )Sécuritè des Webmails ?

Oui ignus je connais quelqu'un c'est lui qui ma mis sur Linux ,en m'installant une Debian
il est informaticien et il gère Maintenant une centaine de serveurs a son compte !
Mais il s'est pris un peu ou beaucoup la tète , et je ne le vois plus .
dommage c'est un fanatique du logiciel libre

Pour revenir a la question, très explications sont tés intéressantes , et bien expliquées
et je suis satisfait des réponses

Dernière modification par rubins (Le 30/05/2014, à 20:21)

#30 Le 30/05/2014, à 20:28

Niobé

Re : (RESOLU )Sécuritè des Webmails ?

Il y a encore une autre solution : une boite email par contact. Un peu le même principe que Tor, on peut avoir accès à votre contenu mais on ne sait pas qui vous êtes. Mais vous m'avez compris... smile

Les emails vraiment privés, je crois que c'est utopique !

PS : quoique, il est toujours possible d'envoyer le contenu chiffré par truecrypt en pièce-jointe, mais vu ce qu'il se passe actuellement avec truecrypt...

Dernière modification par Niobé (Le 30/05/2014, à 20:39)

Hors ligne

#31 Le 30/05/2014, à 21:45

ignus

Re : (RESOLU )Sécuritè des Webmails ?

@rubins
Ok. Je précise car je ne sais pas si j'ai été assez clair sur le sniffage que j'évoquais:
- le protocole SSL/TLS sert à crypter le couple ID/mot de passe quand on se connecte à sa boite email, serveur ftp(s), http(s) pour des raisons de sécurité évidentes mais aussi pour la confidentialité des données échangées (ou session chiffrée) et l'intégrité des données échangées . On parle bien d'une session chiffrée dans le cas de SSL/TLS.
Un logiciel comme SSLSTRIP peut (conditionnel) contourner ce chiffrement pour capter tes identifiants par exemple... Mais là c'est plus de notre ressort sad
Sinon comme l'a dit wholes, pour chiffrer le contenu d'un mel, seul PGP est apte à le faire... Tu peux envoyer ce genre de mel pgp sans SSL/TLS mais le must reste de coupler les deux wink

Mais pour ça, il faut des contacts qui utilisent PGP et qui dispose de ta clé... Donc SSL/TLS sont suffisant dans le cadre d'échange classique smile

Tschüsss.

Dernière modification par ignus (Le 30/05/2014, à 22:02)

En ligne

#32 Le 30/05/2014, à 22:01

Zakhar

Re : (RESOLU )Sécuritè des Webmails ?

rubins a écrit :

Oui ignus je connais quelqu'un c'est lui qui ma mis sur Linux ,en m'installant une Debian
il est informaticien et il gère Maintenant une centaine de serveurs a son compte !

Pareil, moi j'ai mis des clés PGP pour ma mère et moi, c'est pas bien dur à faire. wink

Dernière modification par Zakhar (Le 30/05/2014, à 22:01)


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

En ligne

#33 Le 30/05/2014, à 22:10

compte supprimé

Re : (RESOLU )Sécuritè des Webmails ?

Bon je pense avoir compris le système, mais comme c'est des choses que je n'ai jamais fait
je vais bien relire le sujet plusieurs fois, et faire quelques recherches si nécessaire


cela fait un moment que je pense que mes mails ne sont pas sécurisé
mais je comprends la nécessité de me pencher sur le problème

#34 Le 30/05/2014, à 22:12

compte supprimé

Re : (RESOLU )Sécuritè des Webmails ?

Bien  contant  de mettre penché sur le sujet

Merci a tous pour l'aide

Dernière modification par rubins (Le 30/05/2014, à 22:12)

#35 Le 30/05/2014, à 22:27

compte supprimé

Re : (RESOLU )Sécuritè des Webmails ?

Je pense  chiffrer les messages que j'envoie a ma famille ou amis .

le problème c'est que eux risque d'être sur Windows, ou n'est pas envies de le faire

il est nécessaire que le destinataire puisse pouvoir déchiffrer , et renvoyer aussi en chifrè

il faut un accord avec les 2 parties

#36 Le 30/05/2014, à 22:31

lool_lauris

Re : (RESOLU )Sécuritè des Webmails ?

rubins a écrit :

il faut un accord avec les 2 parties

Voilà, c'est tout le problème ... pour que ça fonctionne, il faut que tout le monde utilise le même protocole ... On est encore loin de la messagerie sécurisée !


Ne rien lâcher, les utopies d'aujourd'hui seront la réalité de demain !
------------------------------------------------------------------------------------------------
Soutenez le Libre => http://www.april.org/

Hors ligne

#37 Le 30/05/2014, à 22:39

compte supprimé

Re : (RESOLU )Sécuritè des Webmails ?

il faut imiter le nombre de  personnes 

et  éliminer les récalcitrants du système

#38 Le 30/05/2014, à 22:43

ignus

Re : (RESOLU )Sécuritè des Webmails ?

rubins a écrit :

Je pense  chiffrer les messages que j'envoie a ma famille ou amis .

le problème c'est que eux risque d'être sur Windows, ou n'est pas envies de le faire

il est nécessaire que le destinataire puisse pouvoir déchiffrer , et renvoyer aussi en chifrè

il faut un accord avec les 2 parties

Je pense que tu te compliques la vie smile
Quand tu paies en ligne sur un site, tu as sans doute remarqué que l'url commence par https, cela veut dire que tu utilises le protocoles SSL/TLS qui  garantie deux choses:
- la confidentialité des données échangées (ou session chiffrée)
- l'intégrité des données échangées

Quand tu paies en ligne, tu ne cryptes pas tes numéros de CB avec un logiciel (tu les saisis en clair sur le formulaire de paiement) puisque ces données sont dans une session sécurisée (elle crypte l'ensemble des données y compris le n° de ta CB)! Pour tes emails, c'est la même chose quand tu utilises le protocoles SSL/TLS.

Pourquoi se compliquer la vie? Si un administrateur système ne vient pas ouvrir ta boite et que tu utilises le SSL/TLS, que te faut-il de plus?
À moins que tu aies découvert un procédé révolutionnaire dans la pétrochimie ou une molécule pharmaceutique révolutionnaire, je ne vois aucun interet à utiliser PGP... À si, pgp permet, quand on ne crypte pas ses emails avec sa clé, de vérifier que l'auteur est bien celui qui à envoyé l'email, autrement dit, cela limite le phishing wink

Mébon!

Dernière modification par ignus (Le 30/05/2014, à 22:56)

En ligne

#39 Le 30/05/2014, à 22:49

compte supprimé

Re : (RESOLU )Sécuritè des Webmails ?

Oui pour les personnes avec qui on veut faire cela il faut leur faire un mode d'emploi très simple (suivant qu'ils soient sous Windows ou Linux ou Mac) et ainsi, si la chose est simple à comprendre pour eux car elle est expliquée simplement, cela leur sera très facile à mettre en place. Le tout est d'être intelligible simplement donc sur une chose qui peut paraître complexe si on rentre dans les détails par exemple. Mais si la chose est tout à fait compréhensible, il se peut que tu arrives à la faire comprendre à pas mal de personnes finalement, on est pas plus bête que les autres, si on explique bien et donc surtout simplement... J'ai beaucoup été aidé par la Doc d'Ubuntu et par les pages de sites perso qui parlait d'Ubuntu ou de Linux ou d'un programme en général, mais à chaque fois parce que les choses étaient expliquées simplement ! Simplement ! Simplement ! (Voilà j'aimerai que nous mettions en place un façon plu sûr pour échanger nos mails, c'est pourquoi je t'ai fait ce petit mode d'emploi : etc...etc...etc...etc............simplement wink )

#40 Le 30/05/2014, à 22:49

lool_lauris

Re : (RESOLU )Sécuritè des Webmails ?

rubins a écrit :

il faut imiter le nombre de  personnes

et  éliminer les récalcitrants du système

Ah ouais ?
Alors plus de courriels avec le conseiller de ta banque, non plus avec les impôts, pas questions de demander à ton artisan qui a déjà eu du mal à faire un devis avec un outil informatique et qui vient tout juste de se mettre à la messagerie électronique, etc, etc ...
En fait, tu auras des messages très sécurisés avec tata Simone et cousine Henriette (que tu as réussi à convaincre et surtout chez qui tu as mis en place le truc). Et personne d'autres qu'eux ne pourra lire que tu les invites dimanche pour fêter les 5 ans du petit ! Mais pour le reste ...


Ne rien lâcher, les utopies d'aujourd'hui seront la réalité de demain !
------------------------------------------------------------------------------------------------
Soutenez le Libre => http://www.april.org/

Hors ligne

#41 Le 30/05/2014, à 23:05

compte supprimé

Re : (RESOLU )Sécuritè des Webmails ?

Countermail utilise OpenPGP pour chiffrer ses emails. Même quand tu arrives sur ta messagerie, et que tu ouvres un email il se passe un tout petit temps ou tu ne vois que des suites de caractères comme l'a montré Wholes au dessus, et ensuite le message que contient l'email s'affiche en clair.

#42 Le 30/05/2014, à 23:52

compte supprimé

Re : (RESOLU )Sécuritè des Webmails ?

Et bien je vois que vous y mettez tous un sacrée bonne volonté , pour être sur
que j'ai bien tout compris , et aussi me donner une quantité d'informations et de conseils
Maintenant j'ai parfaitement assimilé !

je vais passer en résolu

je vous remercies
et je vous souhaite une bonne soirée

Dernière modification par rubins (Le 30/05/2014, à 23:53)

#43 Le 31/05/2014, à 00:00

compte supprimé

Re : (RESOLU )Sécuritè des Webmails ?

Bonne soirée aussi merci !

#44 Le 31/05/2014, à 08:53

bruno

Re : (RESOLU )Sécuritè des Webmails ?

GPG pas PGP

Hors ligne

#45 Le 31/05/2014, à 09:51

compte supprimé

Re : (RESOLU )Sécuritè des Webmails ?

Oui c'est un sujet difficile la sécurité , et apprendre petit a petit  ce que l'on est pas sur de savoir
et tout évolue tellement rapidement

je vais m’efforcer de suivre les sujets et questions posées sur le Forum ,c'est aussi une bonne manière d'apprendre .

#46 Le 31/05/2014, à 11:05

Niobé

Re : (RESOLU )Sécuritè des Webmails ?

J'ajouterai ceci concernant le fait d'héberger sur son propre ordinateur sa boite email :

S'il venait à ce que votre ordinateur soit piraté, vous pouvez partir du principe que TOUS vos emails et contacts ont été récupérés. Pour un webmail hébergé chez un fournisseur de "qualité", il faudra soit :

- Intercepter vos emails
- Avoir un mandat pour avoir accès à vos données (suivant l'hébergeur) donc être suspect, ou être le contact d'un suspect
- Pirater l'hébergeur rien que pour vos beaux yeux

Avec les questions suivantes :

- Quels hébergeurs de confiance ?
- Quel est le rapport sécurité de mon ordinateur / sécurité de l'hébergeur ?
- Une boite mail "self-hébergée" permet-elle une forme d'anonymat "à la Tor" consistant à utiliser un maximum d'adresses (question identique pour l'hébergeur), tout ça rapportée à la sécurité de mon ordinateur vs. la sécurité de(s) hébergeur(s) ?
- Est-ce qu'héberger sa propre boite mail, ce n'est pas signé de son identité TOUS les emails qui risqueraient d'être interceptés lors de leur arrivée/départ ?

Si vous n'hébergez pas votre propre boite mail et que votre ordinateur devait être piraté, cela limite l'accès à l'ensemble de vos emails sans y laisser aucune trace. Si l'on récupère vos mots de passe, il faut encore prendre le risque de laisser des traces sur les logs des hébergeurs. Si l'on n'a pas à faire à un pirate qui soit un gros bourrin (celui qui laissera des traces de son passage et vous permettra de corriger la faille qui lui a permis de vous pirater), il y a aussi des compromis à faire entre avoir accès à votre ordinateur suffisamment longtemps et avoir accès à toutes vos données.

Pour le PGP / GPG (?), si et seulement si (ce qui commence à faire beaucoup, cf. la chauve-souris de Bigard), on veut vraiment s'en prendre à vos emails, on s'attaquera probablement directement à vos contacts par social engineering pour essayer d'avoir la clé PGP. Donc, la sécurité de la clé est égale à quelque chose comme l'inverse de la somme des failles chez l'ensemble de vos correspondants disposant de cette même clé.

Je suppose qu'il doit y avoir un compromis propre à chaque utilisateur.

Dernière modification par Niobé (Le 31/05/2014, à 11:07)

Hors ligne

#47 Le 31/05/2014, à 13:31

ignus

Re : (RESOLU )Sécuritè des Webmails ?

Niobé a écrit :

J'ajouterai ceci concernant le fait d'héberger sur son propre ordinateur sa boite email :

S'il venait à ce que votre ordinateur soit piraté, vous pouvez partir du principe que TOUS vos emails et contacts ont été récupérés. Pour un webmail hébergé chez un fournisseur de "qualité", il faudra soit :

- Intercepter vos emails
- Avoir un mandat pour avoir accès à vos données (suivant l'hébergeur) donc être suspect, ou être le contact d'un suspect
- Pirater l'hébergeur rien que pour vos beaux yeux

Avec les questions suivantes :

- Quels hébergeurs de confiance ?
- Quel est le rapport sécurité de mon ordinateur / sécurité de l'hébergeur ?
- Une boite mail "self-hébergée" permet-elle une forme d'anonymat "à la Tor" consistant à utiliser un maximum d'adresses (question identique pour l'hébergeur), tout ça rapportée à la sécurité de mon ordinateur vs. la sécurité de(s) hébergeur(s) ?
- Est-ce qu'héberger sa propre boite mail, ce n'est pas signé de son identité TOUS les emails qui risqueraient d'être interceptés lors de leur arrivée/départ ?

Si vous n'hébergez pas votre propre boite mail et que votre ordinateur devait être piraté, cela limite l'accès à l'ensemble de vos emails sans y laisser aucune trace. Si l'on récupère vos mots de passe, il faut encore prendre le risque de laisser des traces sur les logs des hébergeurs. Si l'on n'a pas à faire à un pirate qui soit un gros bourrin (celui qui laissera des traces de son passage et vous permettra de corriger la faille qui lui a permis de vous pirater), il y a aussi des compromis à faire entre avoir accès à votre ordinateur suffisamment longtemps et avoir accès à toutes vos données.

Pour le PGP / GPG (?), si et seulement si (ce qui commence à faire beaucoup, cf. la chauve-souris de Bigard), on veut vraiment s'en prendre à vos emails, on s'attaquera probablement directement à vos contacts par social engineering pour essayer d'avoir la clé PGP. Donc, la sécurité de la clé est égale à quelque chose comme l'inverse de la somme des failles chez l'ensemble de vos correspondants disposant de cette même clé.

Je suppose qu'il doit y avoir un compromis propre à chaque utilisateur.

Le webmail n'est qu'un GUI, une application comme roundcube etc etc, ce n'est pas un problème pour la sécurité. Ton serveur peut être attaqué tout comme les hébergeurs le sont régulièrement. La gestion d'un serveur perso sur le net demande quelques connaissances (Fail2ban, iptables, Postfix,  bases de données SQL, mise en place d'un certificat SSL etc etc , aussi, je pense qu'il est souhaitable de se servir d'un service chez un hébergeur de qualité quand on ne maîtrise pas de bout en bout ce que je viens de citer. C'est la meilleure sécurité, ils résisteront sans doute mieux que votre serveur home du fait d'une administration et gestion du risque bien plus appliquées, administrateur réseau, c'est un job. smile Mais bien évidemment, j'ai un serveur home qui tourne pour m'amuser et apprendre encore un peu plus sur la gestion wink.
Évitez juste Orange, Gmail et autres consorts.
Le problème étant le protocole SMTP/POP. Il n'est pas pensé, à l'origine pour être sécurisé son but était d'acheminer le courrier sans le perdre, ça il le fait bien. C'est après qu'est venu le chiffrage SSL/TLS pour réaliser une session chiffrée sur le-dit protocole.

Mille excuses, c'est bien GPG et non PGP, désolé big_smile

Bonne journée.

Dernière modification par ignus (Le 31/05/2014, à 13:35)

En ligne

#48 Le 31/05/2014, à 13:43

compte supprimé

Re : (RESOLU )Sécuritè des Webmails ?

pendant longtemps  je laissé  dans mes boites mails quantité de courrier ,

et des newsletters de sites de vente, c'est finit , je les vides complètements chaque jour
avec Thunderbird  ,et  j'ai interdit au sites de vente de m'envoyer leur pub

je n'ai pas envie que quelqu'un puisse récupérer un mot de passe important grâce au courrier

#49 Le 31/05/2014, à 14:10

Niobé

Re : (RESOLU )Sécuritè des Webmails ?

ignus a écrit :

[...]quand on ne maîtrise pas de bout en bout ce que je viens de citer.[...]

Ne le prends surtout pas pour toi, je souhaite juste apporter "my 2 cents" sur ce fil (et mon temps sur ce forum est compté, j'ai encore quelques questions et après je file !) :

N'étant pas de la partie (l'informatique) parce que ça m'ennuie profondément, mais d'un autre domaine qui, je trouve, est un excellent complément de la technique quant à la question de la sécurité informatique (les failles, ça, oui, ça m'intéresse !), j'aurais tendance à penser qu'une des premières failles que j'exploiterais, c'est celle qui permet justement de dire/croire que l'on "maîtrise son sujet". J'irais même jusqu'à maintenir cet état de fait autant de temps que j'en ai besoin. Pourtant, on le dit bien, que la première faille de sécurité se situe entre l'écran et le fauteuil.

Je n'ai aucun exemple à citer bien que j'en ai en tête (si, je vais citer le plus con : d'un point de vue purement technique, je suis anonyme en ce moment sur ce forum. Mais que d'un point de vue purement technique...) mais, indépendamment, il suffit d'étudier un peu les documents de Snowden pour ouvrir un nombre de pistes de failles de sécurité (et de défenses) tellement incalculable qu'elles démotivent (ou pas, d'ailleurs, il faut que je pense à décrocher sinon je vais finir sous Subutex) rien que par leur nombre. On ne patche pas ses propres failles aussi facilement que l'on patche son OS : en d'autres termes, j'imagine à qui je m'adresse en ce moment, et à qui je ne m'adresse pas.

Dernière modification par Niobé (Le 31/05/2014, à 14:38)

Hors ligne

#50 Le 31/05/2014, à 17:11

ignus

Re : (RESOLU )Sécuritè des Webmails ?

Pas de problème smile
Ton propos m'a permit de rebondir sur le serveur made in home bien tentant en pensant (pour celles et ceux qui lisent ces pages) que "c'est plus sécurisé".
Tes propos sont justes, pour atteindre la qualité et la sécurité d'un service "webmail", il y a du pain sur la planche et j'ai plus confiance dans la configuration des serveurs de mailoo ou countermail qu'en celle de mon propre serveur... Car derrières les deux services précités, il y a sans doute de vrais administrateurs systèmes! Et le meilleur système est celui que l'on connaît le mieux :þ
Je file aussi!
tschüsss
ÉDIT:

si, je vais citer le plus con : d'un point de vue purement technique, je suis anonyme en ce moment sur ce forum.

Tu as pensé à changer ton adresse MAC  ? big_smile

Dernière modification par ignus (Le 31/05/2014, à 17:18)

En ligne

Haut de page ↑