Utilisation de boite email sécurisée

par Mika2 Dim 14 Juin 2015 - 17:02

J'ai reçu il y a quelques temps les clés d'une boite email protonmail gratuite qui se veut plus sécurisée que n'importe quelle autre service d'email. L'accès se fait via 2 mdp et le serveur est situé en Suisse. Je n'ai pas bien compris comment fonctionnait le 2eme mdp qui n'est pas enregistré par Protonmail, mais bon cela a l'air de fonctionner. Les options de la boite sont assez basiques pour le moment et il y a des contraintes auxquelles il faut s'habituer, notamment il n'est pas encore possible de faire de sous-dossiers et surtout on ne peut pas accéder à ses emails via Outlook, Thunderbird et autres.

Est-ce que vous avez déjà eu l'occasion d'utiliser ce type de boite sécurisée? Question pour les spécialistes - si un fan d'ANSSI passe dans le coin, on ne sait jamais...- quant est-il vraiment de la sécurité?

Aussi je me demande quelles sont les motivations de protonmail d'offrir ce service gratuit, car comme on dit, si c'est gratuit, c'est que nous sommes le produit!

Pour info, quelques recommandations intéressantes de protonmail - en particulier pour Edward Snowden qui pourrait passer par là, on ne sait jamais ::

par Mika2 Mar 16 Juin 2015 - 9:21

J'ai reçu ce matin un lien, valable jusque demain ou jusqu'aux limites de capacités, pour une création instantanée de compte: https://protonmail.ch/privacyforall
Normalement il faut être sur liste d'attente pour en avoir un.

Pas d'avis éclairé sur la sécurisation de ce type de boite email?

par Mégalopin Mar 16 Juin 2015 - 11:15

Mikadokido a écrit: Pas d'avis éclairé sur la sécurisation de ce type de boite email?

En attendant l'avis éclairé, un lien qui propose des outils et des stratégies:

https://emailselfdefense.fsf.org/fr/

Utilisation de boite email sécurisée Images?q=tbn:ANd9GcTDEAtcwhGcx9YimX0T29HqC7jweqo0mayBnwNCoPZfmcNdVsb-Rh2Akw

Utilisation de boite email sécurisée Images?q=tbn:ANd9GcTDEAtcwhGcx9YimX0T29HqC7jweqo0mayBnwNCoPZfmcNdVsb-Rh2Akw

par alcire Mar 16 Juin 2015 - 14:13

Qu'est ce que signifie "sécurisé" pour toi?

Laisserais-tu un inconnu qui frappe à ta porte rentrer chez toi et installer une alarme juste parce qu'il te garantit qu'elle est sûre?

Ça me fait penser à cet appel reçu l'autre jour:
lui: bonjour, je suis M. trucmuche, votre chargé de compte à la banque. J'ai quelques questions à vous poser.
moi: désolé, je ne réponds pas à des questions quand je ne sais pas à qui je parle
lui: mais je viens de vous le dire, je suis M. trucmuche, votre chargé de compte.

Je pense que vous saisissez tous la débilité de la réplique.

Quand on parle de sécurité dans une communication, on veut 2 choses:
- l'authentification: chaque côté de la communication doit être sûr de l'identité de l'autre côté
- l'intégrité du message: le receveur doit pouvoir être sûr que ce qu'il reçoit est bien exactement ce qui a été envoyé.

La seule sécurité valable pour communiquer, c'est celle que tu contrôles de bout en bout. Pour l'email, ça passe forcément par le chiffrement. PGP est une solution.

https://fr.wikipedia.org/wiki/Pretty_Good_Privacy

par Mika2 Mar 16 Juin 2015 - 22:28

Mégalopin a écrit:
En attendant l'avis éclairé, un lien qui propose des outils et des stratégies:
https://emailselfdefense.fsf.org/fr/

Merci Mégalopin, c'est très intéressant.

alcire07 a écrit:Qu'est ce que signifie "sécurisé" pour toi?

C'est une bonne question, ma réponse témoignera sans doute de mon ignorance en matière de sécurité informatique:
C'est une boite email dont je suis la seule à pouvoir avoir accès. Comme je n'y connais rien en méthode de cryptage, j'imaginais que l'utilisation de la clé de cryptage pouvait même empêcher protonmail de connaitre le contenu de la boite mais c'est sans doute naïf, car quelque part sur le site il est écrit "ProtonMail will not release ANY data unless provided with an enforceable Swiss court order. "

De plus, c'est vrai que si mon interlocuteur n'applique pas les mêmes règles de sécurité que moi, ma boite email fortifiée ne sert pas à grand chose. Quoique sur protonmail, il y a une option qui permet à mon interlocuteur de voir le contenu du mail dans un environnement "sécurisé" même s'il a une boite classique. Mais cela ne met pas à l'abris des logiciels espions par exemple.

alcire07 a écrit: Laisserais-tu un inconnu qui frappe à ta porte rentrer chez toi et installer une alarme juste parce qu'il te garantit qu'elle est sûre?

Non. Mais si ma vie était professionnellement et socialement liée à la possession d'une alarme et que tous les fournisseurs avaient une approche similaire dans son installation, je serais sans doute moins regardante sur qui rentre chez moi. Pire, en bonne citoyenne lambda, je ferais comme le voisin! Au final, j'appliquerai une approche bénéfice-risque, avec toute l'incertitude en termes de risques que cela comporte.

alcire07 a écrit:
Quand on parle de sécurité dans une communication, on veut 2 choses:
- l'authentification: chaque côté de la communication doit être sûr de l'identité de l'autre côté
- l'intégrité du message: le receveur doit pouvoir être sûr que ce qu'il reçoit est bien exactement ce qui a été envoyé.

La seule sécurité valable pour communiquer, c'est celle que tu contrôles de bout en bout. Pour l'email, ça passe forcément par le chiffrement. PGP est une solution.

https://fr.wikipedia.org/wiki/Pretty_Good_Privacy

Merci pour ces précisions. Effectivement je crois qu'on retrouve le PGP dans le protocole cité par Mégalopin.

A part, j'ai également trouvé ce lien dans lequel il y a des stats sur le crackage de mdp et des conseils concernant la sécurité des mdp.

par Jilune Jeu 20 Aoû 2015 - 23:58

Bonjour !
J'aurai voulu savoir combien de temps s'est-il passé entre votre demande du compte Protonmail et la réception.
Merci ! Smile

par Intitus Ven 21 Aoû 2015 - 22:50

quant est-il vraiment de la sécurité?

Est-ce que vous avez déjà eu l'occasion d'utiliser ce type de boite sécurisée?

L'avis de l'expert technique: C'est un axe marketing comme un autre.

Les boites offrent toutes le même type de service grand publique. L'avantage de se fier aux acteurs majeurs c'est qu'ils prennent tous la sécurité très au sérieux. Ils mettent un point d'honneur à respecter les bonnes pratiques de sécurité, ils embauchent les meilleurs talents du monde et ils leurs donnent les moyens d'y parvenir. Ils ont également une armée d'avocats dont le seul travail consiste à ralentir toutes les procédures judiciaires que les états pourraient essayer engager pour accéder à tes données.

Est-ce qu'une startup inconnue peut faire tout ça ? Bien sur que non... elle n'en a pas les moyens.

Est-ce qu'une startup inconnue peut faire le même produit que tout le monde en mieux sécurisé ? Bien sur que non... au mieux elle peut faire le même produit avec le même niveau de sécurité.

par Jilune Sam 22 Aoû 2015 - 1:00

Ton type d'ironie est très plaisante !! :'D
Vouiii : utilisons tous Macintosh et Windows ! Windows, n'a aucune faille dans son OS, une sécurité absolue, comme sa richesse ! Et puis, mangeons tous chez MacDo : ils sont riches donc ils ont les moyens de mettre en œuvre une haute propreté dans leurs produits, tous le monde sait que ces derniers sont sains pour la santé...

On voit que c'est un "expert technique" qui nous parle Laughing

Hi-la-rant !! Razz

par Intitus Sam 22 Aoû 2015 - 13:29

C'était pas de l'ironie.

Un système d'exploitation et une boite mail c'est deux produits totalement différents qui ne sont pas du tout confrontés aux mêmes menaces.

Déjà Windows/Mac/Linux c'est quelque chose qui fonctionne chez toi et que tu contrôles toi alors que dans le cas d'une boite mail c'est l'opérateur qui possède toutes tes données et qui en a le controle total.

Ensuite, Windows fait > 90% des parts de marché PC alors que les boites mails sont partagées entre beaucoup d'acteurs. Ça ne donne pas lieu aux mêmes attaques.

On peut faire le débat MacDo vs Burger King vs Quick si tu veux. Ca sera juste inintéressant comme ils font tous les 3 exactement la même chose Laughing

par Invité Sam 22 Aoû 2015 - 14:06

La règle est simple de toute façon, si vous n’êtes pas un hacker, oubliez la sécurité de vos données, il vous est tout simplement impossible de prendre les mesures défensives approprie car vous n’êtes pas conscient de l'existence de la majorité des vecteurs d'attaque.

Au moment ou vous commencez a taper votre message il est déjà vulnérable, une fois que vous appuyez sur "envoyer" il est presque sur qu'il soit intercepte.

Avis d'expert sur le site : AES-256, très bien mais si on ne connait pas le mode ça n'apporte rien, le reste repose sur RSA/DSA qui sont des protocoles déconseillé par le CNRS, reposant sur notre incapacité a résoudre le problème du logarithme discret, on est oblige d'utiliser des methodes dites difficile, ca prend du temps, beaucoup de temps. Tant que P=NP n'aura pas de solution, son utilisation n'est pas recommande. De plus la NSA serait capable de casser la plus part des cles assez rapidement.

Donc en avis d'expert le service en supposant aucune faille logicielle/matérielle (ce qui est impossible) tiendra quelques années avant d’être brisable trivialement.

par Pieyre Sam 22 Aoû 2015 - 14:41

Il y a un moyen sûr pour que vos messages ne soient pas lus par un tiers, mais forcément il est lourd. Il consiste à rencontrer physiquement la personne avec qui vous voulez échanger, à lui transmettre une clé privée qui permettra de décrypter vos messages, et à composer et crypter ces messages sur une machine qui n'est pas reliée au réseau Internet.
Après, vous pouvez choisir le service de messagerie que vous voulez.

par Jilune Sam 22 Aoû 2015 - 22:17

L'avantage de se fier aux acteurs majeurs c'est qu'ils prennent tous la sécurité très au sérieux. Ils mettent un point d'honneur à respecter les bonnes pratiques de sécurité, ils embauchent les meilleurs talents du monde et ils leurs donnent les moyens d'y parvenir. Ils ont également une armée d'avocats dont le seul travail consiste à ralentir toutes les procédures judiciaires que les états pourraient essayer engager pour accéder à tes données.

Je pensais que tu parlais des grosses entreprises en général, et non uniquement des boites de boites mails Wink

Mais entre Gmail et Hotmail et Protonmail, je ne pense pas que niveau sécurité informatique les deux premiers égalent le dernier, pour l'ensemble des raisons sus-dites. Quand on s'y connait et qu'on fait des tests, on le voit trèèèèès clairement. Je dis ça, comme ça... Rolling Eyes

Je n'ai pas cité Quick et toute la clique, trop fastidueux et tous pareils ;p

Hacker pour notre propre sécurité, il n'est pas si inaisé de le devenir si volonté et internet l'on a. Si on veut pas Tails en live : # install GNU/Linux # chiffre nos partitions avec Luks512 (256 < 512) (quand SHA-3 sera faisable avec Luks, se sera cool !^^) # on utilise TOR en bidouillant les nœuds de sortie pour l'accès internet # on install au moins 2 détecteurs de rootkits # fail2ban pour connaitre les tentatives d'intrusion # et bien sûr - comme vous le dîtes tous - un client mail+PGP/GPG. Et je pense que c'est déjà pas trop trop mal ;p

Mais quand les qubits se réveilleront, la terre tremblera...!! Twisted Evil

Sinon, quelqu'un sait pour le temps d'acceptation approximatif d'un compte Protonmail ?

par Jilune Sam 22 Aoû 2015 - 22:24

Oups, j'ai dit Tails et TOR, je suis un extremiste potentiel ! affraid

http://www.lemonde.fr/pixels/article/2014/11/20/tails-l-outil-deteste-par-la-nsa-qui-veut-democratiser-l-anonymat-en-ligne_4514650_4408996.html

oups, redit..

par Intitus Dim 23 Aoû 2015 - 15:09

Quand on s'y connait et qu'on fait des tests, on le voit trèèèèès clairement. Je dis ça, comme ça... Rolling Eyes Wink

C'est tellement évident que c'est du troll et que t'es pas capable de quoi que ce soit.

Anyway, si t'es le prochain génie de la planete qui a trouvé comment voler les informations de toutes les boites mails, tu peux aller le reporter directement aux entreprises concernées qui te donneront un gros cheque en récompense.

Comme tu serais incapable de trouver par toi-même, voici les liens :
google => https://www.google.com/about/appsecurity/reward-program/
yahoo => http://bugbounty.yahoo.com/
microsoft/hotmail => https://technet.microsoft.com/en-us/library/dn425036.aspx

Of course, si t'es un génie ET que t'aimes pas l'argent ET que t'es philantrophe (voilà la combinaison improbable) tu peux leur demander de reverser le cheque a une association caritative.

par Jilune Dim 23 Aoû 2015 - 16:38

Wouah ! Quelle agressivité !!
D'ailleurs je me demande pourquoi une telle violence... à croire que c'est révélateur..

Je n'ai jamais prétendu ni même fait sous-entendre que j'étais un génie. Et quand bien même en serais-je un que je ne pourrai pas m'autoriser à l'affirmer comme tel et le manifester sinon, je ne pourrai l'être, et surtout si mes actions sont tournées pour gagner de l'argent.

Pour toi, si on trouve des failles, on essaye d'en retirer le max des bénéfices avec de l'argent. de l'argent. de l'argent ! Mais sérieux, c'est une véritable maladie..

Il y a déjà eu plusieurs attaques réussies à l'encontre de ces boites mails.

Tu n'alimentes aucunement le sujet du début, tu ne cesses de critiquer.

J'ai même pas envie de poursuivre quelconque semblant de discussion tellement tout ça est pathétique.. Le fil des messages s'éloigne du sujet initial, la violence verbale grimpe pour un rien, le délire commence. Est-ce vraiment un site pour vrais "zebrés" ? on dirait pas bien des fois..

par Intitus Dim 23 Aoû 2015 - 18:03

L’intérêt de reporter aux services concerné la faille c'était pour que ce soit corrigé. (Rien avoir avec l'argent que tu peux tout à fait refuser)

La seule chose de différent par rapport aux autres services c'est que celui-ci semble demander un 2eme mot de passe pour chiffrer tout le contenu de l'utilisateur (différent du mot de passe pour accéder au compte).

Je vois ces points là qui font que ça n'ajoute potentiellement aucune sécurité par rapport aux autres services existants :
- Le chiffrage pourrait ne pas être fait du tout (ce serait pas les premiers a faire du marketing bidon)

- Le chiffrage pourrait être mal fait (involontairement), d'une façon qui annule la sécurité censée être apportée. (style 2eme mot de passe stocké sur leurs serveurs à côté du 1er, un classique)

- Les gens utilisent des mots de passes faibles (plus ou moins) facilement cassables. Si toute la sécurité repose sur le 2eme mot de passe elle sera complétement annulée en cas de mot de passe en carton (c'est à dire pour la majorité des utilisateurs). [cas d'attaques où quelqu'un se procure un accès aux données du côté de leurs serveurs]

- Le 2eme mot de passe est inutile face aux keyloggers, BITM, MITM, ami/ennemi/copine qui regarde/écoute/webcamise le clavier [bref, toutes les attaques du côté de toi et ton PC, attaques qui sont la majorité il me semble]

- Si la sécurité est faite comme elle devrait l'etre, quand quelqu'un oublie son mot de passe, il n'aura AUCUN moyen de récupérer ses emails et messages. A la vitesse où le commun des mortels oublient leurs mots de passes, ça va faire des mécontents. ca limite le public potentiel et ça annonce des procès contre eux des néophytes qui auront perdues leurs données. [cela étant, ce n'est pas un problème de sécurité mais d'utilisation]

Bref, pour moi ce service n'apporte rien.

Si l'utilisateur lambda veut de la sécurité en plus. Il va sur son gmail/hotmail/yahoo et il active l'authentification 2 facteurs.
Ensuite, quand il se connectera depuis un lieu ou un ordinateur inconnu, gmail/hotmail/yahoo lui enverra un code par SMS qu'il devra taper sur internet pour se connecter.

Le jour où un ~~méchant~~ hacker essaye d'accéder à son compte et bah il peut pas sans voler son téléphone et il l'a dans le cul.

Ce n'est pas parfait mais c'est les limites de ce qu'on peut faire en grand publique sans trop faire chier l'utilisateur et en restant simple.
[p.s. penser à signaler les changements de numéros de téléphone]

par Invité Dim 23 Aoû 2015 - 19:12

Jilune a écrit:Est-ce vraiment un site pour vrais "zebrés" ? on dirait pas bien des fois..

Utilisation de boite email sécurisée Images?q=tbn:ANd9GcS8AIPi0DRY9pLIn1t89cBVSTqM1OL4CVBljn2IydKCIsLoqzyI3c1tTwJf

par Stauk Dim 23 Aoû 2015 - 19:53

Ouais. Ca confirme en tout cas qu'il faut se méfier des experts. Une réponse claire et argumentée vaut tous les experts du monde.

Pour le modèle économique ...

At present all ProtonMail accounts are free, and ProtonMail has promised that free accounts will always be available with the features available now.

In the future, however, ProtonMail plans to fund itself through premium ‘power user’ accounts, although additional features and pricing for these have yet to be announced.

https://www.bestvpn.com/blog/12353/protonmail-secure-webmail-early-beta-review/

ProtonMail accounts are protected by two passwords, the first of which is used to authenticate the user and retrieve the correct account (and which ProtonMail keeps a copy of), and the second is kept only by the user, and is used to decrypt their mailbox. If sending an email to a non-ProtonMail user, the sender chooses a password that only the recipient will know.

Mail is stored encrypted on servers, so the ProtonMail staff has no access to them, and these servers themselves ‘utilize fully encrypted hard disks with multiple password layers so data security is preserved even if our hardware is seized.’

According to ProtonMail, no metadata is kept, and it does not log the IPs users’ connect from (although there is technically nothing preventing it from doing this). As ProtonMail also points out, because messages are encrypted,there is no way for it to scan them in order to deliver targeted advertising.

Ce que ça signifie c'est que SI LA START UP RESPECTE SES ENGAGEMENTS, ça offre effectivement un meilleur niveau de sécurité. Je ne vois pas vraiment de raison pour une telle startup, de ne pas respecter ses engagements. L'idée étant que pour lire les mails, il faut soit obtenir une autorisation de l'état SUISSE, soit pirater les serveurs de la startup. Et ensuite, il faut encore craquer la couche d'encodage. Rien d'impossible, mais ça prétend surtout empêcher la lecture automatique d'une part, et les demandes privées ciblées d'autre part.

Ca n'empêchera pas votre hacker préféré de lire vos mails, car lui passera par d'autres biais. Mais ça empêchera vos concurrents de demander à lire vos mails, ça empêchera votre patron de lire vos mails, et ça empêchera (pour un temps) les automates gouvernementaux et commerciaux de lire vos mails.

C'est en tout cas le but affiché de l'opération, et il n'y a pas de raison de douter que tout soit mis en oeuvre à cette fin.

a team of well-known and respected cryptographers have volunteered (for no payment) to oversee the project and audit the code for backdoors and other nastinesses. We would much prefer that all code be fully open sourced, but this independent auditing does give us greater confidence than we would normally have when discussing closed source projects.

while it is unlikely to be secure against targeted NSA attacks (and users should be aware that the NSA will likely be desperate to target users of the service), ProtonMail for most purposes (including investigations by national law enforcement bodies) provides a high level of privacy, and being based in Switzerland, it should be resilient against most forms of legal of attack.

In short, as long as it’s (considerable) limitations are recognized, using ProtonMail can be very positive step towards improving your privacy and resisting government blanket surveillance, although until such services are much more common, simply having an account with ProtonMail is likely to attract the specific interest of certain organizations

Utilisation de boite email sécurisée

Utilisation de boite email sécurisée

Re: Utilisation de boite email sécurisée

Re: Utilisation de boite email sécurisée

Re: Utilisation de boite email sécurisée

Re: Utilisation de boite email sécurisée

Re: Utilisation de boite email sécurisée

Re: Utilisation de boite email sécurisée

Re: Utilisation de boite email sécurisée

Re: Utilisation de boite email sécurisée

Re: Utilisation de boite email sécurisée

Re: Utilisation de boite email sécurisée

Re: Utilisation de boite email sécurisée

Re: Utilisation de boite email sécurisée

Re: Utilisation de boite email sécurisée

Re: Utilisation de boite email sécurisée

Re: Utilisation de boite email sécurisée

Re: Utilisation de boite email sécurisée

Re: Utilisation de boite email sécurisée