Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Own-Mailbox:la boite mail confidentielle qui vous appartient vraiment!

dragoon76

@Nairwolf

Après, j'ai effectivement découvert la brique Internet, et je trouve ça aussi bien car toutes les communications sur le net sont chiffrés.

D'ailleurs je trouve que le schémas dans la vidéo de la brique internet est un peu trompeur, car les communications ne sont chiffrées que jusqu'au fournisseur d'accès associatifs, puis repartent en clair pour un voyage vers des contrées inconnues, qui pourraient bien être ... la NSA ou ses collaborateurs. Donc si tu n'utilises pas un système de chiffrement de mail solide comme GPG , (qui n'est à priori, en attente de confirmation, pas inclus dans le mail auto-hébérgé de la Brique Internet) alors il faut considérer que tes mails sont lisibles par la NSA. Et ça je pense que Elzen sera d'accord pour le confirmer. (Je dis ça sans rien retirer à l’intérêt du reste de la vidéo)

Elzen

dragoon76 a écritJe penses que dans des conférences tu risques de ne rencontrer que les personnes déjà intéressés par le sujet, donc c'est un peu biaisé pour juger l’intérêt du très grand publique, bon après je ne sais pas dans quelles circonstances précisément tu as données ces conférences.

La fin de la phrase est tout à fait justifiée.

En l'occurrence, il s'agit de personnes fréquemment activement des MJC, donc effectivement, c'est un public qui a quelques prédispositions à comprendre ce genre d'enjeux ; néanmoins, ce sont des gens qui ont en moyenne très peu de notions d'informatique, et qui ne savaient pas forcément qu'on allait (entre autres) parler de ça.

dragoon76 a écritles gens (et les filles ^^)

Les filles ne sont pas des gens, d'après toi ? 😐

(Gaffe avec le fait d'aborder dans la rue : le plus souvent, ça dérange les gens, et donc, entre autres effets nuisibles, ça ne donne pas une bonne image de toi, ni de ce que tu promeus).

dragoon76 a écritPour avoir déjà essayé de présenter des projet plus pointus que j'ai fais avant Own-Mailbox, et je peux te dire avec pas mal de certitude que si tu leur parle de VPN, neutralité du net, IPV6 ect... , pour 97% tu as perdu leur attention pour toujours à la seule prononciation d'un de ses mots, ils comprennent que ce n'est pas pour eux.

Alors tu le présentes mal 😛

Et, d'une manière générale, « vendre » aux gens une sécurité sans leur expliquer un minimum de choses sur la façon dont les choses fonctionnent (au minimum, la structure très simplifiée du réseau), ça ne sert simplement à rien. Au contraire, même. Parce que l'élément le plus important dans la chaîne, c'est l'utilisateur lui-même.
Il n'y a évidemment pas besoin de faire de tout le monde des experts. Mais dire aux gens « vous avez juste à utiliser notre machin et c'est bon », sans faire un minimum de vulgarisation, c'est mensonger, et potentiellement dangereux.

dragoon76 a écritD'ailleurs je trouve que le schémas dans la vidéo de la brique internet est un peu trompeur, car les communications ne sont chiffrées que jusqu'au fournisseur d'accès associatifs

Non.

Le trafic VPN est chiffré jusqu'au FAI associatif, notamment parce que c'est le seul moyen d'empêcher le FAI commercial, qui est le point le plus critique de l'échange de messages, d'accéder aux informations. Le reste du trafic est chiffré jusqu'au destinataire, parce que c'est géré par l'application (les serveurs Web, Jabber, etc. chiffrent sans difficulté). Et, la Brique permet aussi un passage par TOR, d'ailleurs.

Pour ce qui concerne spécifiquement le chiffrement mail, renseignements pris, c'est un des gros chantiers en cours.

dragoon76 a écritqui pourraient bien être ... la NSA ou ses collaborateurs.

À un moment, il faut arrêter de caser « NSA » partout comme un épouvantail. En France, on a largement plus à se préoccuper de la DGSI.

Et, je le répète une fois encore, mais l'impression de sécurité ne fait pas la sécurité, au contraire. Chiffrer ses mails, évidemment, c'est une bonne pratique ; et c'est à privilégier dans pas mal de cas. Mais le contenu des mails, s'il peut intéresser les Google et consorts⁽¹⁾ qui ont d'autres objectifs, n'a à peu près aucun intérêt pour les services de renseignement.
Ce qui prime, pour les services de renseignement, ce sont les méta-données (qui a parlé à qui, quand, à quelle fréquence). Et ça, ce n'est pas chiffré, GPG ou pas.

(1) Rappelons aussi qu'avoir des mails auto-hébergés et chiffrés n'apporte strictement rien si le destinataire utilise le service fourni par un tiers : dans ce cas, le tiers dispose généralement de la clef de déchiffrement et peut lire le contenu sans problème. Dans ce cas, une « bonne pratique », mais dont l'application par l'utilisateur lambda est irréaliste, est de chiffrer le contenu à part (avec une autre clef) et de l'envoyer en pièce jointe.

Kanor

Petit commentaire sur la vie privé:
- ton site offre le pistage de tous ses visiteur par google et twitter
pour google par le chargement des fonts http://fonts.googleapis.com/
pour twitter par le chargement du widget
- de plus ne pas avoir son propre serveur mail ça ne donne pas confiance (utilisateur des serveur de 1and1 pour contact@own-mailbox.com)
- petit détail, il n'y a pas d'https donc les adresses emails sont envoyées en clair.

Voila pour ma petite analyse.

tiramiseb

- de plus ne pas avoir son propre serveur mail

Arf !

Un peu de dogfooding, que diable !!!

dragoon76

@Elzen
Quand tu aborde les gens dans la vraie vie dans ça les dérange et c'est nuisible? Non, souvent ils sont super content qu'on viennent leur parler. (Je précise qu'il me parrait évident que je ne parle pas aux gens dans le but ou avec l'arrière pensée, de promouvoir ou de faire de la pub pour mon projet. C'est juste que ça vient en général dans la discussion parmi d'autres sujets.)
Perso je ne veux pas vivre dans un monde ou on est chacun chez soit derrière son PC et on ne se parle plus en vrai, et ou est tous isolé.
Et je n'ai pas envie de m'en cacher, et si ça donne une mauvaise image, et bah tant pis, je ne vais pas changer pour avoir une bonne image sur ce forum (tache qui de toute façon parait mal partie! ^^)
On ne vie qu'une fois, il faut vivre pleinement.

Le reste du trafic est chiffré jusqu'au destinataire, parce que c'est géré par l'application (les serveurs Web, Jabber, etc. chiffrent sans difficulté)

Si les données que tu envois et reçoit sur internet sont déjà chiffrées (HTTPS, GPG, ect... ) , et dans ce cas là passer par un VPN, n'apporte rien en terme de vie privée, sauf tu va me dire les méta-données, mais celle-ci sont également récupérable sur des noeuds externe du réseaux via lequel transite le message, donc en pratique ça n'offre aucune garantie que tes méta-données ne seront pas stockées. D'autant que au final même le fournisseur d'accès associatif peut fournir les données aux services de renseignement, si la loi le contraint , comme ça risque d'être le cas avec la loi de renseignement.

A mon avis la solution pour les méta donnée, qui n'est pas encore applicable aujourd’hui et qui est un peu lourde, c'est de faire un réseaux de fausse requettes encryptées, qui ne seront pas traité par les serveur qui les reçoivent, constament envoyé par tous le monde vers tous le monde. Ainsi aucun organisme de surveillance ne pourra faire la différence entre des vraies meta-données et des fausses.

Petit commentaire sur la vie privé:
- ton site offre le pistage de tous ses visiteur par google et twitter
pour google par le chargement des fonts http://fonts.googleapis.com/
pour twitter par le chargement du widget
- de plus ne pas avoir son propre serveur mail ça ne donne pas confiance (utilisateur des serveur de 1and1 pour contact@own-mailbox.com)
- petit détail, il n'y a pas d'https donc les adresses emails sont envoyées en clair.

Voila pour ma petite analyse.

Merci pour le retour je vais m'en occuper! 🙂

Elzen

dragoon76 a écritQuand tu aborde les gens dans la vraie vie dans ça les dérange et c'est nuisible?

Assez souvent, oui.

dragoon76 a écritPerso je ne veux pas vivre dans un monde ou on est chacun chez soit derrière son PC et on ne se parle plus en vrai, et ou est tous isolé.

Tu sais, entre ne jamais parler à qui que ce soit de vive voix et se faire aborder par des inconnus dans la rue, il y a une sacré marge.

dragoon76 a écritOn ne vie qu'une fois, il faut vivre pleinement.

L'idéal étant de vivre pleinement sans empêcher les autres de faire de même, et notamment en ayant conscience du fait que tout le monde n'a pas la même définition de « vivre pleinement ».

Le point n'est pas ton image sur ce forum.

dragoon76 a écritSi les données que tu envois et reçoit sur internet sont déjà chiffrées (HTTPS, GPG, ect... ) , et dans ce cas là passer par un VPN, n'apporte rien en terme de vie privée, sauf tu va me dire les méta-données, mais celle-ci sont également récupérable sur des noeuds externe du réseaux via lequel transite le message, donc en pratique ça n'offre aucune garantie que tes méta-données ne seront pas stockées.

Désolé, mais là, j'en viens à m'interroger sur ta connaissance du réseau.

Un principe de base du fonctionnement d'Internet est que chaque paquet peut prendre un chemin différent pour aller jusqu'au destinataire. On a d'ailleurs des exemples connus de surveillance effectuée sur un GIX donné, pour lequel on voyait les messages passer dans un sens, mais pas dans l'autre, les réponses suivant un autre chemin.
Surveiller l'intégralité du trafic requiert donc une surveillance de l'ensemble des points d'interconnexion, ce qui est extrêmement coûteux à mettre en place. Suffisamment coûteux pour être hors de portée (c'est la conséquence d'avoir voulu, à la base, un réseau indestructible, et donc incontrôlable). Les seuls points sensibles sont ceux par lesquels le message est obligé de transiter : le point de départ (donc, ton FAI) et le point d'arrivée (l'opérateur du destinataire).

C'est pour cette raison que la loi Renseignement prévoit des boîtes noires chez les FAI : c'est le seul endroit par lequel ils peuvent concrètement surveiller ce qui se passe de manière un minimum efficace.
Et faire passer du VPN là-dessus est très efficace, parce que le FAI surveillé ne sait plus avec qui tu communiques (le seul destinataire qu'il peut voir est le serveur de VPN) ; et que l'opérateur d'arrivée communique avec l'IP du VPN plutôt qu'avec celle fournie par ta box. Dans ce cas, le seul point sensible devient le fournisseur de VPN (et, s'il s'agit d'une association dont l'usage est membre, celui-ci est bien placé pour savoir s'il y a surveillance ou pas).
Bien sûr, pour une sécurité encore meilleure, il faut passer par un système comme TOR.

dragoon76

Bon j'aurai plein de choses décapantes à répondre à ton dernier message, mais je vais m'abstenir pour conclure comme j'aurai du conclure plusieurs postes plus haut:

Les critiques constructive (même sévères) faites clairement avec l'intention de m'aider à m'améliorer et/ou à améliorer mon projet (et qui peut déboucher sur une action, pour mettre en place cette amélioration) je les accueille avec grand plaisir et gratitude. (N'hésitez pas à m'envoyer un message à contact@own-mailbox.com )

Les messages postés avec l'attitude générale "je donne une mauvaise note à toi et/ou a ton projet", ou les simples jugement arbitraire sans volonté d'aider, ne me sont d'aucune utilité. Si c'est votre droit le plus absolu
de poster ce genre de message, et je ne voudrais vous le retirer en aucun cas; de mon coté je n'ai pas le temps pour ça, (surtout en ce moment), et d'une part je ne doute pas de ma valeur personelle (et vous n'arriverez pas à m'en faire douter, d'autant plus que vous ne me connaissez pas personnellement). Et d'autre part parce-que depuis 72H que le site est en ligne plus d'une centaine de personnes ont déja manifesté de l’intérêt pour le produit en s'inscrivant sur la mailing-list. Et finalement que de toute façon l’intérêt d'un produit ne se mesure pas par le nombre de gens qui ne l'aime pas (ou n'aime pas la com) , mais par le nombre de gens qui y trouvent de la valeur, et donc que l’intérêt ou non de mon produit ne sera pas en définitive statué par un débat philosophique ici.

Sur ce bonne continuation! 🙂

Elzen

Je vais me permettre de te retourner ton dernier propos, mais c'est toi qui a donné le ton avec un certain nombre de piques absolument pas constructives. Tu t'es mis en position de donner des leçons sur tout le reste et de dire que seul ton projet valait la peine : il aurait été normal que tu aies droit à un retour de bâton bien plus important.

La plupart des critiques que j'ai exprimées se sont efforcées d'être constructives : si tu ne veux pas en tenir compte, c'est ton problème ; mais inutile de jouer les chevaliers blancs qui n'acceptent que les avis positifs (ce dont donne l'impression, notamment, ta remarque sur les retours reçus sur la ML de la Quadrature, beaucoup plus mitigés en pratique que tu ne l'exprimes ici).

En l'état, ton projet est intéressant malgré ta façon d'en parler. Reste à espérer qu'il tienne ses promesses.

dragoon76

de dire que seul ton projet valait la peine

Il ne me semble pas avoir dis ça, il me semble même que j'ai dis littéralement exactement le contraire, (" cette Brique Internet c'est vachement intéressant! Merci pour le liens 🙂 ! " ,"Et je trouve que la brique internet est super aussi; et honnêtement la démo ma donnée envie d'en prendre une!", "Je ne dis PAS on fait moins chère donc on fais mieux et le reste c'est nul", ...) mais bon peu importe.

Je vais me permettre de te retourner ton dernier propos, mais c'est toi qui a donné le ton avec un certain nombre de piques absolument pas constructives.

Effectivement il est possible que dans le processus de me défendre, je me suis inconsciemment laissé attiré à ajout du piquant mes propos sans que ce ne soit nécessaire , face aux toutes premières réponses à mon topic elles même piquantes (ou en tous les cas c'est comme ça que je les ai interprété) et face à la suppression de mon topic.

Mais disons que l'on s'est tous les deux fourvoyé, malentendu, pardonnons nous l'un l'autre, et passons à autres chose! 🙂

Moi j'ai déjà oublié en tous les cas! ^^ (car je ne continuai pas ce débat du coup il appartient au passé).

En l'état, ton projet est intéressant malgré ta façon d'en parler. Reste à espérer qu'il tienne ses promesses.

Merci c'est gentils! 🙂
Je te souhaites le meilleurs!

Pierre.

psic

un ch'tite question pour ce projet qui m'a l'air à première vue bien sympathique, et bien mal accueilli je trouve par ici.

Sachant que de plus en plus de monde utilise des smartphones, et envoient un grand nombre de mail directement dessus, est ce qu'il y a qq chose dans ta box pour prendre en compte ce phénoméne ?

psic

Tiens puisque ça pourrait m'interresser, tu pourrais peut être me dire comment pratiquement cela pourrait s'appliquer à mon cas d'utilisation.

2 utilisateurs :

Moi : boite free, et gmail consulté principalement avec un gestionnaire de mail (claws-mails) en IMAP (pour pouvoir conserver mes mails autre part que sur ma machine qui change régulièrement), mais je pourrais passer en POP. Parfoir, lecture en webmail.
Ma compagne : Gmail, uniquement en Webmail.

Disons, que je branche la own-MailBox derrière ma LiveBox.

Est ce que ça fait du multi-utilisateur, et si oui comment ?
Est ce que c'est possible de faire du POP et d'avoir les mails stocké sur l'own-MailBox ? Et si oui comment y accèder pour sauvegarde ou autre ?
Est ce que je pourrais faire du webmail de l'exterieur (avec les configuration de Livebox qui vont bien), et accèder à mes 2 comptes ?

dragoon76

Salut,

>Est ce que ça fait du multi-utilisateur, et si oui comment ?

Oui, et je ne comprends pas bien la question du comment, tous les systèmes sur lequels on se base font déja du multi-utilisateur.

>Est ce que c'est possible de faire du POP et d'avoir les mails stocké sur l'own-MailBox ? Et si oui comment y accèder pour sauvegarde ou autre ?
Oui et il y a moyen de faire des backups en usb ou https.

>Est ce que je pourrais faire du webmail de l'exterieur (avec les configuration de Livebox qui vont bien), et accèder à mes 2 comptes ?

Bien sur c'est toute l'utilité de la Own-Mailbox pouvoir envoyer et recevoir des mails chiffrés depuis partout dans le monde!

>Sachant que de plus en plus de monde utilise des smartphones, et envoient un grand nombre de mail directement dessus, est ce qu'il y a qq chose dans ta box pour prendre en compte ce phénoméne ?

On a proposé de développer une appli smartphone, mais uniquement si notre campagne Kickstarter atteins un certain montant (voire page), car dans le cas contraire on aura pas forcement assez de ressources
pour le développer.

Pierre.

Elzen

Bon, j'aurais préféré laisser tomber ce sujet, mais puisque l'enjeu – la vie privée des utilisateurs – est assez important, je me permet de lier ici ces trois articles sur le sujet.

Pour les adeptes du TL;DR : comme certains d'entre nous l'avaient soupçonné après la spamesque publicité faite ici, la sécurité d'own-mailbox est nettement en deçà de ce qui est promis, avec plusieurs aspects assez problématiques. Les commentaires montrent que le responsable com' du projet répond aux critiques de la même manière qu'ici : en se posant comme victime pour tenter de faire passer les signalements de problèmes pour des attaques non-constructives, et en fournissant des “explications” laissant planer le doute sur ses compétences en la matière.

[supprimé]

bonsoir

le sujet est évoqué sur linux planète Août septembre

web mail chiffré, un petit boitier que l'on installe a domicile et qui chiffre vos mails
garantie 100% logiciel gpl il sera possible d’envoyer et de communiquer avec des contacts de manière chiffrée grâce a ce boîtier,

Pourquoi employons nous le futur ? par ce que le projet n’existe pas encore!
il est actuellement a la recherche de fonds dans une option kickstarter qui débutera fin août

Kanor

Elzen a écritBon, j'aurais préféré laisser tomber ce sujet, mais puisque l'enjeu – la vie privée des utilisateurs – est assez important, je me permet de lier ici ces trois articles sur le sujet.

Pour les adeptes du TL;DR : comme certains d'entre nous l'avaient soupçonné après la spamesque publicité faite ici, la sécurité d'own-mailbox est nettement en deçà de ce qui est promis, avec plusieurs aspects assez problématiques. Les commentaires montrent que le responsable com' du projet répond aux critiques de la même manière qu'ici : en se posant comme victime pour tenter de faire passer les signalements de problèmes pour des attaques non-constructives, et en fournissant des “explications” laissant planer le doute sur ses compétences en la matière.

et oui il faut toujours écouter Elzen 😉 et il est gentil par rapport à Aeris

inkey

Kanor a écrit
Elzen a écritBon, j'aurais préféré laisser tomber ce sujet, mais puisque l'enjeu – la vie privée des utilisateurs – est assez important, je me permet de lier ici ces trois articles sur le sujet.

Pour les adeptes du TL;DR : comme certains d'entre nous l'avaient soupçonné après la spamesque publicité faite ici, la sécurité d'own-mailbox est nettement en deçà de ce qui est promis, avec plusieurs aspects assez problématiques. Les commentaires montrent que le responsable com' du projet répond aux critiques de la même manière qu'ici : en se posant comme victime pour tenter de faire passer les signalements de problèmes pour des attaques non-constructives, et en fournissant des “explications” laissant planer le doute sur ses compétences en la matière.
et oui il faut toujours écouter Elzen 😉 et il est gentil par rapport à Aeris

D'un autre côté, fusillé une solution car elle n'est pas parfaite n'est probablement pas la meilleure approche pour espérer qu'une meilleure approche apparaisse.
Ça me fait penser au librem : https://puri.sm/ , ordinateurs qui ont l'originalité d'être plus libre que la moyenne et ou nombreux puristes se sont empresser de pointer
toute les limites du projet en la matière, quelque-part c'est salutaire, néanmoins si les puriste refuse de jouer le jeu car la solution est imparfaite, je ne vois
pas très bien qui pourrait avoir l'envie de soutenir ce genre de projet.

Je doute qu'il est possible facilement d'obtenir une solution à la fois viable et qui répond à ces problématique de façon exigée. Il y à un compromis à faire.

Dans le genre l'openmoko est presque parfait niveau libre, mais bien trop difficile d'accès, firefox os l'est plus, mais bien moins libre.

pierrecastor

Y'a eu du changement de positionnement depuis :

https://www.own-mailbox.com/aeris.html
https://www.own-mailbox.com/episode5.html

Ces deux textes montres qu'au final, ils ont réussi à accepter la critique et prendre un certain recule. C'est une bonne chose pour ce projet dont je trouve le concept intéressant.

src

Un projet avorté de plus.

pierrecastor

Je n'ai pas compris qu'ils abandonnent tout, mais plutôt qu'ils vont retravaillé sur la sécurité et la communication avant de se relancer.

Elzen

inkey a écritD'un autre côté, fusillé une solution car elle n'est pas parfaite n'est probablement pas la meilleure approche pour espérer qu'une meilleure approche apparaisse.

Comme ça avait été évoqué ici, et comme Aeris l'a reprécisé plusieurs fois dans les articles sus-mentionnés, le soucis était principalement dans la com'.

Quel que soit l'intérêt du projet – et, sur le principe général, Own-Mailbox est intéressant  –, se vendre comme une solution pour la sécurité des données quand ce qu'on propose n'a rien de plus sécurisé que le reste est un problème capital, parce qu'elle entraîne une fausse impression de sécurité. Je ne pense pas que ça empêche les gens d'avoir de proposer de nouvelles choses sur le plan de la sécurité, mais si ça pouvait empêcher que des gens claironnent avoir trouvé la solution ultime quand ce n'est clairement pas le cas, ce serait un très grand pas en avant.

Après, je ne crois pas qu'on puisse dire que le projet ait été « fusillé » dès le début, mais le ton est effectivement monté assez, sans doute trop, vite, et je ne pense pas que ce soit principalement la faute des gens qui ont émis les réserves. Je vais rester très critique, mais ici, ils ont commencé par publier ce que toute l'équipe de modo et plusieurs membres ayant signalé le sujet ont considéré comme du spam ; et dragoon76 mentionne lui-même que, son post ayant été supprimé, il l'a remis avant de se demander la raison.
Par la suite, quand j'ai commencé à parler de la Brique Internet, il a trouvé le moyen de mettre en doute son impact deux posts après avoir découvert son existence ; puis, reprit sur ce point, de faire comme s'il pouvait en améliorer grandement la situation. Dans le genre montrer qu'on prend les autres pour des branques, c'est quand même plutôt pas mal.
Le point 2 de leurs excuses à Aeris sus-liées me semble aussi assez révélateur : ils reconnaissent avoir considéré d'entrée de jeu leur interlocuteur comme moins compétent techniquement qu'il ne l'est, et trouvent même le moyen de glisser l'air de rien que c'est en partie de sa faute (parce qu'il n'aurait pas prit le temps d'éplucher leur truc dans son ensemble, le vilain) et de se poser en situation de lui faire une fleur (« ce que nous comprenons totalement »).
Forcément, ce genre de posture dans laquelle ils considèrent être les seuls à pouvoir avoir raison jusqu'à preuve du contraire n'aide pas, et les gens techniquement compétents comme Aeris ne brillant pas nécessairement par leur patience, ça dégénère assez vite.

S'ils ont fini par entendre raison, tant mieux (et effectivement, Aeris et Lunar sont d'excellentes sources de bonnes idées, quand on prend la peine de les écouter 🙂). Avec une com' plus prudente, ce projet a du bon potentiel sur pas mal de plans.

« Page précédente Page suivante »