Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Sécuritè des Webmails ?

haroldd

Si y'en a que ça intéresse, j'ai fait un petit guide pour apprendre à protéger sa vie privée sur internet.
Je pense qu'il peut profiter à tout le monde. C'est la 1ère version mais je pense que j'ai mis l'essentiel pour bien commencer 🙂

[edit]Si vous connaissez une bonne alternative libre à Ghostery ça m'intéresse...

[supprimé]

(suggestion, la page mérite que tu crées un topic consacré, tu aurais défini un titre en rapport de tout ce que tu parles car tu parles pas que d'emails, tu aurais des avis de gens qui peuvent te proposer d'autres voix, tu ratisserai plus large, là dans une semaine, ploup, ça peut être vite oublié, de plus tu tiendrais un pôle d'infomrations sur la sécurité en générale sur la façon de protéger sa vie privée ! je m'y abonnerai de suite) à+

[supprimé]

haroldd a écritSi y'en a que ça intéresse, j'ai fait un petit guide pour apprendre à protéger sa vie privée sur internet.
Je pense qu'il peut profiter à tout le monde. C'est la 1ère version mais je pense que j'ai mis l'essentiel pour bien commencer 🙂

[edit]Si vous connaissez une bonne alternative libre à Ghostery ça m'intéresse...

Air VPN à l'air pas mal (voir ici le petit encadré à gauche appelée : Surf Anonymoulsy vous pouvez dans ce petit encadré descendre au cinquième paragraphe qui commence par Stay protected.... ils parlent du SHA1 brrrrrr....... ) J'ai quand même une meilleure crypto sur Proxy.sh (on est plus sur du HMAC SHA1 dont la fragilité est prouvée : https://fr.wikipedia.org/wiki/SHA-1 (sur ce lien wikipedia vous pouvez descendre tout de suite à la partie Attaques, mais il faudra lire aussi celle du dessous appelées : Conséquences). On part sur du SHA-512 via Proxy.sh comme indiqué à cette page : https://proxy.sh/crypto . La page wiki sur SHA-512 est ici : https://fr.wikipedia.org/wiki/SHA-2 (sur cette page wiki vous pouvez descendre tout de suite tout en bas sur la partie appelée SHA-512 mais aussi sur la partie du dessous appelée : Cryptanalyse. )

On est déjà plus tranquille, j'ai vérifié dans les réglages OpenVPN sous Ubuntu, tout est respecté. (j'avais une commande à faire dans un terminal, mais je l'ai perdu, si quelqu'un s'en rappelle je suis preneur !! )

Et Proxy.sh est aussi 100% No logs : https://proxy.sh/logs (c'est à dire que les serveurs ne retiennent pas non plus vos surfs, comme sur Airvpn), et Proxy.sh est relié à l'EFF (voir la page de leur éthique : https://proxy.sh/ethics ) Le logo de l'EFF est en dessous !

Après comme tu le soulignes, on a aucun problème si on a aucun PC !

[supprimé]

haroldd a écritSi y'en a que ça intéresse, j'ai fait un petit guide pour apprendre à protéger sa vie privée sur internet.
Je pense qu'il peut profiter à tout le monde. C'est la 1ère version mais je pense que j'ai mis l'essentiel pour bien commencer 🙂

[edit]Si vous connaissez une bonne alternative libre à Ghostery ça m'intéresse...

je vais voir ton lien qui semble intéressant , mais pas ce soir cause famille

[supprimé]

@-pascal34-
tes liens sont intéressant je verrai demain aussi

haroldd

Je connaissais pas ton site Pascal
Après si c'est juste un proxy ça vaut pas un vrai VPN.
Je regarderé ça demain comme rubins et je te donnerai mon avis

[supprimé]

Oui si tu veux il faudra me préciser la définition de ce que tu appelles "vrai vpn", si je n'ai pas la définition que tu en fais précisément, je ne peux pas te comprendre (chaque personne interprète ce qu'elle appelle un "vrai vpn" de façon différente les unes des autres sur les différents forums (et nous sommes sur l'un d'eux 😉 )), du coup je ne sais pas te comprendre, merci haroldd (merci rubins)

haroldd

-pascal34- a écrit Air VPN à l'air pas mal (voir ici le petit encadré à gauche appelée : Surf Anonymoulsy vous pouvez dans ce petit encadré descendre au cinquième paragraphe qui commence par Stay protected.... ils parlent du SHA1 brrrrrr....... ) J'ai quand même une meilleure crypto sur Proxy.sh (on est plus sur du HMAC SHA1 dont la fragilité est prouvée : https://fr.wikipedia.org/wiki/SHA-1 (sur ce lien wikipedia vous pouvez descendre tout de suite à la partie Attaques, mais il faudra lire aussi celle du dessous appelées : Conséquences). On part sur du SHA-512 via Proxy.sh comme indiqué à cette page : https://proxy.sh/crypto . La page wiki sur SHA-512 est ici : https://fr.wikipedia.org/wiki/SHA-2 (sur cette page wiki vous pouvez descendre tout de suite tout en bas sur la partie appelée SHA-512 mais aussi sur la partie du dessous appelée : Cryptanalyse. )

On est déjà plus tranquille, j'ai vérifié dans les réglages OpenVPN sous Ubuntu, tout est respecté. (j'avais une commande à faire dans un terminal, mais je l'ai perdu, si quelqu'un s'en rappelle je suis preneur !! )

Et Proxy.sh est aussi 100% No logs : https://proxy.sh/logs (c'est à dire que les serveurs ne retiennent pas non plus vos surfs, comme sur Airvpn), et Proxy.sh est relié à l'EFF (voir la page de leur éthique : https://proxy.sh/ethics ) Le logo de l'EFF est en dessous !

Après comme tu le soulignes, on a aucun problème si on a aucun PC !

Bon je viens de regarder le site Proxy.sh en détail, déjà c'est un "vrai VPN", pas un simple proxy comme on en trouve parfois et qui sont plus limités. Franchement il a l'air très bien, je retrouve les mêmes possibilités qu'avec AirVPN, niveau prix c'est bien aussi, moi je choisirais l'offre 'Solid' pour avoir tous les serveurs. Et on peut payer avec des bitcoins, donc ça va. Ils font partie de l'EFF, ce qui est plutôt bon signe 🙂
Je le rajouterais bien à ma liste de VPN...
Après ce qui est bien avec AirVPN c'est que tu as une communauté (forum) mais il faut parler anglais.

Sinon pour les questions de sécurité, je pense pas que ce soit le type de chiffrage qui soit le plus important. J'ai lu que les vraies faiblesses des VPN c'est plus des attaques au niveau du serveur. Mais le plus "chaud" à mon avis ça reste le 'user-agent', comme je l'explique dans mon guide, c'est là où tu risques le plus au niveau de ta vie privée.

haroldd

-pascal34- a écrit(suggestion, la page mérite que tu crées un topic consacré, tu aurais défini un titre en rapport de tout ce que tu parles car tu parles pas que d'emails, tu aurais des avis de gens qui peuvent te proposer d'autres voix, tu ratisserai plus large, là dans une semaine, ploup, ça peut être vite oublié, de plus tu tiendrais un pôle d'infomrations sur la sécurité en générale sur la façon de protéger sa vie privée ! je m'y abonnerai de suite) à+

Euh merci pour ta proposition, c'est plutôt encourageant mais je crois pas que je seré pas vraiment d'attaque pour ça. Je suis pas un vrai spécialiste de la question non plus. Remarque, on est en train de s'éloigner du sujet de départ donc on sera p-e obligé de faire un nouveau topic de toute façon... 🙂

[supprimé]

Oui je dis cela pour ouvrir un pôle sur la question de la sécurité informatique, de la définir, de la faire évoluer, afin d'être d'une part toujours à jour, et d'autres part, le plus exactes possibles sur ces dernières mises à jour.

Après je comprends que personne veuille endosser le truc, c'est un sujet méga-sensible, et on a chacun nos propres règles le concernant.... et on montre les crocs bien trop vite ! Après, il faut écouter celui qui a les crocs justement, les plus à jours, les plus doux aussi, parce que la sécurité expliquée à la babacool, ça peut--être bien mieux pour faire passer le message. Mais pour ça il faut être disponible, savoir tout remettre en cause sur un élément décisif, changer nos propres règles, dès qu'elles sont victimes de failles... Toute une philosophie, pas évident je te l'accorde, et ce n'est que ma vision, chacun peut y ramener son grain de sel, et c'est ce qui fera la diversité des réponses, et un continuel "jardin des octets vert sécurisés ou rougies à Vifs" mdrrrr ! Des tomates et des poivrons, mima, manque plus que le cuiseur vapeur :lol:

[supprimé]

haroldd a écrit
Bon je viens de regarder le site Proxy.sh en détail, déjà c'est un "vrai VPN", pas un simple proxy comme on en trouve parfois et qui sont plus limités. Franchement il a l'air très bien, je retrouve les mêmes possibilités qu'avec AirVPN, niveau prix c'est bien aussi, moi je choisirais l'offre 'Solid' pour avoir tous les serveurs. Et on peut payer avec des bitcoins, donc ça va. Ils font partie de l'EFF, ce qui est plutôt bon signe 🙂
Je le rajouterais bien à ma liste de VPN...
Après ce qui est bien avec AirVPN c'est que tu as une communauté (forum) mais il faut parler anglais.

Sinon pour les questions de sécurité, je pense pas que ce soit le type de chiffrage qui soit le plus important. J'ai lu que les vraies faiblesses des VPN c'est plus des attaques au niveau du serveur. Mais le plus "chaud" à mon avis ça reste le 'user-agent', comme je l'explique dans mon guide, c'est là où tu risques le plus au niveau de ta vie privée.

Entièrement d'accord avec tout. Pour l'user-agent je vois que TOR pour être pépère, et je trouve bien dommage que Firefox ne propose pas de masquer correctement leur user-agent (à la façon de TOR), mais, il y a probablement une bonne raison à cela... Lol.

[supprimé]

Oh énorme, je viens de tomber là dessus, tu le customises un peu et ça à l'air, heuuu faut que tu testes : https://addons.mozilla.org/fr/firefox/addon/random-agent-spoofer/?src=ss

ps : pour accéder à ses options il y a un petit "buste d'homme" en haut à droite dans firefox.

haroldd

-pascal34- a écritOh énorme, je viens de tomber là dessus, tu le customises un peu et ça à l'air, heuuu faut que tu testes : https://addons.mozilla.org/fr/firefox/addon/random-agent-spoofer/?src=ss

ps : pour accéder à ses options il y a un petit "buste d'homme" en haut à droite dans firefox.

Ah ouais... la classe, t'as raison faut que je teste!
Je l'avais pas vu celle-là
En plus c'est une license GNU, bon ben il suffisait de demander en fait 🙂

[supprimé]

C'est parce que dans ton message précédent tu confirmais ce qui m'ennuyait aussi, mais alors l'extension est méchante, si tu coches ce qu'il faut, tu changes d'IP et d'User agent à chaque requêtes sur un site, je suis mort de rire, fait un test sur un site genre Mon-Ip.com et recharge simplement la page, à chaque recharge tu as une autre IP (si d ans les Options de l'extension tu coches tout dans l'onglet Headers, et dans l'onglet profil, tu choisis dans le menu déroulant "per request", c'est énorme, tu peux faire plusieurs onglets sur https://panopticlick.eff.org/ et tous les tester à une seconde d'écart lol

j'suis mort de rire :lol: :lol: :lol:

edit : bon pour l'ip me suis trompé, pas mal de site reconnaisse ta principale.

bishop

Salut !
La Free Software Foundation (FSF) propose un guide (compatible Linux, Mac et Windows) sur la sécurisation (cryptage) de ses mails : Email Self-Defense.

Bulk surveillance violates our fundamental rights and makes free speech risky. This guide will teach you a basic surveillance self-defense skill: email encryption. Once you've finished, you'll be able to send and receive emails that are coded to make sure that a surveillance agent or thief can't intercept your email and read it.

Even if you have nothing to hide, using encryption helps protect the privacy of people you communicate with, and makes life difficult for bulk surveillance systems. If you do have something important to hide, you're in good company; these are the same tools that Edward Snowden used to share his famous secrets about the NSA.

This guide relies on software which is freely licensed; it's completely transparent and anyone can copy it or make their own version. This makes it safer from surveillance than proprietary software (like Mac OS). To be as safe as possible from surveillance, we recommend you switch to a free software operating system like GNU/Linux. Learn more about free software at fsf.org.

[supprimé]

Merci, j'espère que quelqu'un nous traduira cette notice 😉

[supprimé]

Bonjour !

Je me suis inscrit récemment sur le forum Ubuntu
et ce dernier envoie en clair les cordonnés et mot de passe ?

en principe quand on s'inscrit sur un forum il faut cliquer sur un lien pour
confirmer l'adresse mail ?

[supprimé]

durard a écritBonjour !

Je me suis inscrit récemment sur le forum Ubuntu
et ce dernier envoie en clair les cordonnés et mot de passe ?

Bonjour, je ne sais pas si ce que j'ai mis en gras juste au dessus (et tiré de votre message précédent) résulte finalement d'une constatation que vous venez de faire en vous inscrivant sur le forum récemment (ou si vous parlez d'autre chose ??). Si vous nous dîtes cela aujourd'hui, c'est peut-être parce que vous êtes allez sur la boîte email dont vous vous êtes servi pour vous inscrire sur le forum ubuntu, et que vous vous êtes rendu compte, que le forum vous avait envoyé en clair dans un simple email, vos identifiants reliés à votre mot de passe ! Ce qui est tout à fait possible, beaucoup de site fonctionne comme cela maintenant, ce n'est évidement pas génial si on aborde la question de la sécurité, car ces données viennent de transiter en clair sur le réseau...

Pour le forum Ubuntu sachez que néanmoins vous pouvez vous rendre tout de suite dans votre profil, afin d'y changer votre mot de passe ! Et là vous vous rendrez compte que ce nouveau n'est pas envoyé du tout, ni en clair, ni en chiffré sur votre l'adresse mail utilisée lors de votre inscription ici. Ce qui rend enfin le forum ubuntu muet à ce sujet. Vous pouvez y aller, le forum accepte énormément de symboles et lettres avec accent, je l'ai testé.

Beaucoup de sites Internet font comme cela maintenant. Donc, à chaque fois que l'on s'inscrit sur un site d'achats en ligne, ou un forum ou autre, il faut partir du principe que le site Internet peut nous envoyer en clair le mot de passe avec son identifiant. Maintenant je mets un mot de passe complexe(car s'il passe du premier coup et qu'il n'est pas transmis en clair, ce sera fait au moins), mais qui ne sera donc peut-être pas mon mot de passe final, (je teste et je laisse reposer) si d'ici quelques minutes (15 à 20) le site ne m'a pas envoyé en clair dans un mail le mot de passe que je viens de lui indiquer, c'est qu'en général il ne le fera pas. Mais j'atttends toujours le lendemain pour être sûr(problème serveurs etc...)

On ne le dira jamais assez mais la règle est : un mot de passe différent pour chaque site, chaque compte, forum etc !!!! Un mot de passe complexe est peut-être possible, mais pas toujours malheureusement ! C'est pour cela qu'il faut parfois chercher quels sont les symboles acceptés..... Des fois, les simples majuscules ou chiffres ne passent même pas !!! Rares deviennent les sites Internet qui laissent le champs libre à l'utilisateur, en leur autorisant un gros gros panel de symboles, mais aussi de lettres avec accents de tout types. Et parfois, même si certains sites autorisent tout ça, on se rend compte que quand on se sert du mot de passe créé, qu'il a été accepté lors de sa création, mais qu'il est refusé avec l'application utilisée !! Donc on se dit pourquoi l'autoriser si je peux pas m'en servir avec leur applications lol ?? Donc il faut faire le tri des symboles et accents divers autorisés, mais par rebond.... Il faut lancer l'application pour voir quels sont les symboles qu'elle accepte finalement ! Ce qui complique la tâche, mais bon, en général, on garde une trace dans un fichier texte, de tous les symboles autorisés avec son site receptctif bien sûr. !Car La Fnac, ne va pas autoriser les mêmes signes, symboles et caractères spéciaux avec accents divers que Google ! Tout un programme.....

Voilà voilà voilà, de quoi bien s'occuper. Mais au final, si on change le mot de passe dès qu'on s'est rendu compte qu'il avait été transmis en clair dans l'email d'inscription, alors le site internet ne transmet plus les mots de passe fraîchement changés. (mais vous l'aurez compris, il faut s'en assurer, en testant.....)

Plsu d'infos sur le choix de mots de passe fort ici : http://assiste.free.fr/Assiste/Mots_de_passe_Test_de_solidite.html ou là : http://forum.ubuntu-fr.org/viewtopic.php?id=1493081

haroldd

Bonsoir

testé l'extension pour masquer son profil firefox, et je suis pas trop convaincu.
Déjà il y a la moitié des options que je sais même pas ce qu'elles font 🙂
et quand je teste avec le site panopticlick ça a pas l'air de trop bien fonctionner. Par exemple j'ai toujours les mêmes polices qui s'affichent quoi que je fasse. On dirait qu'elle modifie que les 2 premières lignes en fait, user agent et headers
Par contre si on désactive javascript c'est tout de suite bcp mieux, mais l'extension elle ne répond plus (ce qui est normal puisque les extensions sont à base de javascript)
Un peu décevant quoi, ça suffit pas pour masquer les infos

Sinon pour rester dans le thème du topic, je suis tombé là-dessus, pas mal fait :
http://thesimplecomputer.info/free-webmail-for-better-privacy

[supprimé]

haroldd a écritBonsoir

testé l'extension pour masquer son profil firefox, et je suis pas trop convaincu.
Déjà il y a la moitié des options que je sais même pas ce qu'elles font 🙂

Hello, je t'avais préparé un tout grand message ce matin pour te dire que l'extension est très bonne à partir du moment où tu sais paramétrer ses options. Je t'avais préparé cela car je me suis dit que tu te rendrais compte qu'elle n'était pas géniale si tu ne savais pas te servir de ses options. Après je me suis ravisé, je me suis dit quand même le type s'y connais donc il va le voir tout seul et m'en parler, je me suis dit si moi j'ai mis les mains dans toutes les options de l'extension, lui le fera, du coup je n'ai pas posté mon message explicatif de ses options, je ne l'ai pas non plus sauvegardé.

Par contre, comme tu touches ta bille là dessus, je te laisse les tester et les comprendre, tu vas vite en déduire que sans elles, c'était effectivement très fade comme Addon Mozilla, par contre, quand tu les maîtrises, tu comprends mieux pourquoi cette extension marche à fond les ballons et pourquoi on en parle partout sur la toile 😉

Je n'ai plus le temps ce soir, je verrai demain si je lis que tu ne les as pas comprises, bonne soirée...

PS : j'imagine que tu as testé l'extension en te connectant sur le site de Panopticlick pour voir quels étaient tes scores, pour voir si tu étais le seul sur combien d'autres navigateurs à posséder cette signature donnée par l'User Agent ?

Tu as obtenus quels résultats stp ? Tu étais tout seul sur 3 millions, 4 millions ? Ou tu étais tout seul sur 20 000 à avoir cette signature donnée par l'user-agent modifié stp ?

« Page précédente Page suivante »