Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Sécuritè des Webmails ?

[supprimé]

Countermail utilise OpenPGP pour chiffrer ses emails. Même quand tu arrives sur ta messagerie, et que tu ouvres un email il se passe un tout petit temps ou tu ne vois que des suites de caractères comme l'a montré Wholes au dessus, et ensuite le message que contient l'email s'affiche en clair.

[supprimé]

Et bien je vois que vous y mettez tous un sacrée bonne volonté , pour être sur
que j'ai bien tout compris , et aussi me donner une quantité d'informations et de conseils
Maintenant j'ai parfaitement assimilé !

je vais passer en résolu

je vous remercies
et je vous souhaite une bonne soirée

[supprimé]

Bonne soirée aussi merci !

bruno

GPG pas PGP

[supprimé]

Oui c'est un sujet difficile la sécurité , et apprendre petit a petit ce que l'on est pas sur de savoir
et tout évolue tellement rapidement

je vais m’efforcer de suivre les sujets et questions posées sur le Forum ,c'est aussi une bonne manière d'apprendre .

Niobé

J'ajouterai ceci concernant le fait d'héberger sur son propre ordinateur sa boite email :

S'il venait à ce que votre ordinateur soit piraté, vous pouvez partir du principe que TOUS vos emails et contacts ont été récupérés. Pour un webmail hébergé chez un fournisseur de "qualité", il faudra soit :

- Intercepter vos emails
- Avoir un mandat pour avoir accès à vos données (suivant l'hébergeur) donc être suspect, ou être le contact d'un suspect
- Pirater l'hébergeur rien que pour vos beaux yeux

Avec les questions suivantes :

- Quels hébergeurs de confiance ?
- Quel est le rapport sécurité de mon ordinateur / sécurité de l'hébergeur ?
- Une boite mail "self-hébergée" permet-elle une forme d'anonymat "à la Tor" consistant à utiliser un maximum d'adresses (question identique pour l'hébergeur), tout ça rapportée à la sécurité de mon ordinateur vs. la sécurité de(s) hébergeur(s) ?
- Est-ce qu'héberger sa propre boite mail, ce n'est pas signé de son identité TOUS les emails qui risqueraient d'être interceptés lors de leur arrivée/départ ?

Si vous n'hébergez pas votre propre boite mail et que votre ordinateur devait être piraté, cela limite l'accès à l'ensemble de vos emails sans y laisser aucune trace. Si l'on récupère vos mots de passe, il faut encore prendre le risque de laisser des traces sur les logs des hébergeurs. Si l'on n'a pas à faire à un pirate qui soit un gros bourrin (celui qui laissera des traces de son passage et vous permettra de corriger la faille qui lui a permis de vous pirater), il y a aussi des compromis à faire entre avoir accès à votre ordinateur suffisamment longtemps et avoir accès à toutes vos données.

Pour le PGP / GPG (?), si et seulement si (ce qui commence à faire beaucoup, cf. la chauve-souris de Bigard), on veut vraiment s'en prendre à vos emails, on s'attaquera probablement directement à vos contacts par social engineering pour essayer d'avoir la clé PGP. Donc, la sécurité de la clé est égale à quelque chose comme l'inverse de la somme des failles chez l'ensemble de vos correspondants disposant de cette même clé.

Je suppose qu'il doit y avoir un compromis propre à chaque utilisateur.

[supprimé]

Niobé a écritJ'ajouterai ceci concernant le fait d'héberger sur son propre ordinateur sa boite email :

S'il venait à ce que votre ordinateur soit piraté, vous pouvez partir du principe que TOUS vos emails et contacts ont été récupérés. Pour un webmail hébergé chez un fournisseur de "qualité", il faudra soit :

- Intercepter vos emails
- Avoir un mandat pour avoir accès à vos données (suivant l'hébergeur) donc être suspect, ou être le contact d'un suspect
- Pirater l'hébergeur rien que pour vos beaux yeux

Avec les questions suivantes :

- Quels hébergeurs de confiance ?
- Quel est le rapport sécurité de mon ordinateur / sécurité de l'hébergeur ?
- Une boite mail "self-hébergée" permet-elle une forme d'anonymat "à la Tor" consistant à utiliser un maximum d'adresses (question identique pour l'hébergeur), tout ça rapportée à la sécurité de mon ordinateur vs. la sécurité de(s) hébergeur(s) ?
- Est-ce qu'héberger sa propre boite mail, ce n'est pas signé de son identité TOUS les emails qui risqueraient d'être interceptés lors de leur arrivée/départ ?

Si vous n'hébergez pas votre propre boite mail et que votre ordinateur devait être piraté, cela limite l'accès à l'ensemble de vos emails sans y laisser aucune trace. Si l'on récupère vos mots de passe, il faut encore prendre le risque de laisser des traces sur les logs des hébergeurs. Si l'on n'a pas à faire à un pirate qui soit un gros bourrin (celui qui laissera des traces de son passage et vous permettra de corriger la faille qui lui a permis de vous pirater), il y a aussi des compromis à faire entre avoir accès à votre ordinateur suffisamment longtemps et avoir accès à toutes vos données.

Pour le PGP / GPG (?), si et seulement si (ce qui commence à faire beaucoup, cf. la chauve-souris de Bigard), on veut vraiment s'en prendre à vos emails, on s'attaquera probablement directement à vos contacts par social engineering pour essayer d'avoir la clé PGP. Donc, la sécurité de la clé est égale à quelque chose comme l'inverse de la somme des failles chez l'ensemble de vos correspondants disposant de cette même clé.

Je suppose qu'il doit y avoir un compromis propre à chaque utilisateur.

Le webmail n'est qu'un GUI, une application comme roundcube etc etc, ce n'est pas un problème pour la sécurité. Ton serveur peut être attaqué tout comme les hébergeurs le sont régulièrement. La gestion d'un serveur perso sur le net demande quelques connaissances (Fail2ban, iptables, Postfix, bases de données SQL, mise en place d'un certificat SSL etc etc , aussi, je pense qu'il est souhaitable de se servir d'un service chez un hébergeur de qualité quand on ne maîtrise pas de bout en bout ce que je viens de citer. C'est la meilleure sécurité, ils résisteront sans doute mieux que votre serveur home du fait d'une administration et gestion du risque bien plus appliquées, administrateur réseau, c'est un job. 🙂 Mais bien évidemment, j'ai un serveur home qui tourne pour m'amuser et apprendre encore un peu plus sur la gestion 😉.
Évitez juste Orange, Gmail et autres consorts.
Le problème étant le protocole SMTP/POP. Il n'est pas pensé, à l'origine pour être sécurisé son but était d'acheminer le courrier sans le perdre, ça il le fait bien. C'est après qu'est venu le chiffrage SSL/TLS pour réaliser une session chiffrée sur le-dit protocole.

Mille excuses, c'est bien GPG et non PGP, désolé 😃

Bonne journée.

[supprimé]

pendant longtemps je laissé dans mes boites mails quantité de courrier ,

et des newsletters de sites de vente, c'est finit , je les vides complètements chaque jour
avec Thunderbird ,et j'ai interdit au sites de vente de m'envoyer leur pub

je n'ai pas envie que quelqu'un puisse récupérer un mot de passe important grâce au courrier

Niobé

ignus a écrit[...]quand on ne maîtrise pas de bout en bout ce que je viens de citer.[...]

Ne le prends surtout pas pour toi, je souhaite juste apporter "my 2 cents" sur ce fil (et mon temps sur ce forum est compté, j'ai encore quelques questions et après je file !) :

N'étant pas de la partie (l'informatique) parce que ça m'ennuie profondément, mais d'un autre domaine qui, je trouve, est un excellent complément de la technique quant à la question de la sécurité informatique (les failles, ça, oui, ça m'intéresse !), j'aurais tendance à penser qu'une des premières failles que j'exploiterais, c'est celle qui permet justement de dire/croire que l'on "maîtrise son sujet". J'irais même jusqu'à maintenir cet état de fait autant de temps que j'en ai besoin. Pourtant, on le dit bien, que la première faille de sécurité se situe entre l'écran et le fauteuil.

Je n'ai aucun exemple à citer bien que j'en ai en tête (si, je vais citer le plus con : d'un point de vue purement technique, je suis anonyme en ce moment sur ce forum. Mais que d'un point de vue purement technique...) mais, indépendamment, il suffit d'étudier un peu les documents de Snowden pour ouvrir un nombre de pistes de failles de sécurité (et de défenses) tellement incalculable qu'elles démotivent (ou pas, d'ailleurs, il faut que je pense à décrocher sinon je vais finir sous Subutex) rien que par leur nombre. On ne patche pas ses propres failles aussi facilement que l'on patche son OS : en d'autres termes, j'imagine à qui je m'adresse en ce moment, et à qui je ne m'adresse pas.

[supprimé]

Pas de problème 🙂
Ton propos m'a permit de rebondir sur le serveur made in home bien tentant en pensant (pour celles et ceux qui lisent ces pages) que "c'est plus sécurisé".
Tes propos sont justes, pour atteindre la qualité et la sécurité d'un service "webmail", il y a du pain sur la planche et j'ai plus confiance dans la configuration des serveurs de mailoo ou countermail qu'en celle de mon propre serveur... Car derrières les deux services précités, il y a sans doute de vrais administrateurs systèmes! Et le meilleur système est celui que l'on connaît le mieux :þ
Je file aussi!
tschüsss
ÉDIT:

si, je vais citer le plus con : d'un point de vue purement technique, je suis anonyme en ce moment sur ce forum.

Tu as pensé à changer ton adresse MAC ? 😃

[supprimé]

Après avoir bien revu calmement chaque réponse, chaque explication , chaque détails a mon rythme !

j'ai finalement beaucoup appris

et j'avoue que j'étais nul sur bien des choses !

[supprimé]

S'il y a une place près de toi je te rejoins tout de suite Rubins...

Kakouchka

wholes a écrit
Niobé a écrit Pour le PGP / GPG (?),
Tor n'est pas l'anonymat absolu comme tu pourrais le croire, ce n'est pas un circuit fermé et beaucoup de relais de sortie sont vérolés..ils peuvent te reconnaître rien qu'à "l'empreinte numérique" de ton navigateur, ils disposent aussi de logiciels qui compare la forme des flux (en débits et en phase), si ton fai par exemple disposent de plusieurs relais de sorties, il peut faire la comparaison du flux de sortie d'un relais exitNodes et le flux du relais EntryNodes, cette comparaison lui permet de d'identifier. Il est bien sûr possible de définir soit même le chemin en choisissant ses relais utilisés pour éliminer les relais douteux, (paramétrer le fichier torrc) mais très contraignant que de faire ça à chaque fois et pas facile de vraiment savoir quel relais est fiable.

Elle a semé des éléments pour réfléchir, elle n'a pas donné "la" solution.

[supprimé]

rubins a écritAprès avoir bien revu calmement chaque réponse, chaque explication , chaque détails a mon rythme !

j'ai finalement beaucoup appris

et j'avoue que j'étais nul sur bien des choses !

Bonjour Rubins, si tu veux aller plus loin, je viens de tomber sur ce lien, ça se lit relativement vite, ça peut peut-être t'apporter, comme à d'autres, quelques idées : https://aful.org/metamorphose/se-proteger-informatique-ere-post-snowden

[supprimé]

-pascal34- a écrit
rubins a écritAprès avoir bien revu calmement chaque réponse, chaque explication , chaque détails a mon rythme !

j'ai finalement beaucoup appris

et j'avoue que j'étais nul sur bien des choses !
Bonjour Rubins, si tu veux aller plus loin, je viens de tomber sur ce lien, ça se lit relativement vite, ça peut peut-être t'apporter, comme à d'autres, quelques idées : https://aful.org/metamorphose/se-proteger-informatique-ere-post-snowden

.

très bien le lien , et Merci pour ta gentillesse !

[supprimé]

@wholes

très intéressant tes conseils sur Le chiffrement

ViKToR69

-pascal34- a écrit
rubins a écritAprès avoir bien revu calmement chaque réponse, chaque explication , chaque détails a mon rythme !

j'ai finalement beaucoup appris

et j'avoue que j'étais nul sur bien des choses !
Bonjour Rubins, si tu veux aller plus loin, je viens de tomber sur ce lien, ça se lit relativement vite, ça peut peut-être t'apporter, comme à d'autres, quelques idées : https://aful.org/metamorphose/se-proteger-informatique-ere-post-snowden

Article très intéressant ! Niveau matériel, cela ne date pas d'hier ... Tatouage Pentium III

Et en plus: Mouchard Windows98

En résumé:
A l'époque, Intel avait annoncé la présence d'un numéro d'immatriculation du processeur (PSN) sur son nouveau processeur le Pentium III. La présence du PSN concernait également les processeurs Celeron et a plupart des PC portables !

Le numéro d'immatriculation du processeur (PSN) permetait d'identifier une machine connectée en réseau. De plus, il y avait le "Mouchard de Windows 98". Ce système (PSN + Mouchard W98) permettait de pister non seulement une machine, mais aussi un individu sur Internet. On pouvait laisser penser à une coalition entre les deux géants de l'informatique (Intel & Microsoft), l'un identifie les utilisateurs et l'autre, leur machine !

Le mieux était donc d'envisager l'achat d'un AMD K7 dit « Athlon », qui était nettement plus performant qu'un Pentium III à même fréquence (env 10 %), grâce à son architecture inspiré de l'Alpha et ne disposant pas de numéro de série intégré à sa puce !

L'Europe recale le tatouage du Pentium III d'Intel - 23/11/1999

Intel renonce à tatouer ses puces - 5/05/2000 mais qu'en est-il aujourd'hui ?

Eliminer les mouchards de Windows

Windows SmartScreen, le mouchard de Windows 8

Pour privilégier la diversité géo-politique dont parle l'article, alors il faudrait éviter le couple Intel & Microsoft ! Difficile à mettre en oeuvre en pratique car Intel a le monopole et AMD en perte de vitesse ! Tous les PC portables sont d'origine Intel (CPU + Chipset graphique) avec Windows 8 installé !

A méditer ...

[supprimé]

De rien Rubins, tu poses les bonnes questions !

En fait il faut un live CD, et absolument aucun compte sur le net, ni forum, ni compte bancaire, ni jamais payer avec sa carte bleue,, parce que même si tu chiffres tout, ils auront toujours une longueur d'avance, c'est mort, je vais abandonner dans pas longtemps, ce que je mets en place est anéanti deux mois plus tard dans un article, si tu n'as aucune vie numérique tu es entièrement libre, je vais rendre aussi ma carte bleue à la banque, tout payer en espèces et par virement depuis ma banque, (loyer etc..) j'abandonne le monde numérique vraiment, aucun espoir de lutter contre ces gens là, même à gro scoups de logiciels libres, ça ne marche pas, en fait je vais tout résilier mdrr, téléphone portable, fixe, fibre, tout basta, je sors du réseau.

[supprimé]

Je lis un peu en diagonale, ...

Sécuritè des Webmails

Une webapplication est sécurisée en https et un webmail est un CLIENT de messagerie. Le client de messagerie formule des requêtes au serveur de messagerie (services SMTP, IMAP/POP), selon les capacités, les caractéristiques, qui lui ont été implémentées. Le reste, c'est franchement du baratin ...

Pour le PGP / GPG (?),

A/ SMIME GPG, chiffrement, signature

Ok c'est gratuit gratuit... Bon pour les copains, la famille, ..les listes de discussion ... et c'est tout !
faible portée, identité non certifiée par un tiers, magasin supplémentaire comme si il n'y avait pas assez de magasins (1/Certificats ssl/tls x509, 2/java, 3/gpg) ... ...grrr :/

plutôt limitée pour ne pas dire minable, face au
B/ SMIME x509, chiffrement, signature, accès au service

Organismes d'Etat, Tribunaux, Administration, ...
Le certificat ssl/tlsx 509, côté Client permet aussi des accès au service. A vrai dire, il y a plus de support en x509 pki qu'en gpg, surtout en Service ( Postfix, Dovecot, Apache, OpenVPN, ...)

mail.mailoo.org

je constate "250-AUTH PLAIN" dans leur smtp.
mot de passe en clair; pas terrible; je pense que Mailooo peut mieux faire ...

et countermail

c'est un peu plus sérieux avec
250-AUTH CRAM-MD5 PLAIN LOGIN
mot de passe chiffré (cram-md5) ou en clair

[supprimé]

Juste pour prévenir les gens qui suivaient la discussion sur les cartes bancaires équipées du paiement sans contact et de ses dangers, la modération à déplacé le sujet ici : http://forum.ubuntu-fr.org/viewtopic.php?id=1596581

Si vous vous rendez sur le lien que je viens de donner, allez au post #39 je viens d'y déposer un lien Youtube vers une émission de télé qui a poussé ses investigations sur ce sujet, reportage ultra intéressant, les pirates sont déjà vachement en avances !

« Page précédente Page suivante »