Des données qui n’ont de privées que l’expression que vous employez

Facebooktwitterlinkedinmailby feather

Facebook…

C’est horrible vos messages privés ont été affichés sur vos murs… Oui, j’ai barré privé, tout simplement parce que ces messages n’ont de privé que l’expression que vous y mettez dessus.

Je m’explique.

Quand vous postez un message sur facebook, même dans la partie « message privée », vous déposez ce message dans une sorte de petite boite « facebook », ils sont donc accessible à qui a la main sur les serveurs du site. Et vu le nombre de gus qui travaillent là-dessus… ça fait un beau paquet de monde.

Je relatais ici l’histoire de ces activistes égyptiens qui s’étaient fait arrêter alors qu’ils étaient parti enquêter, dans le centre du pays, sur une fusillade intervenue après la messe du Noël copte en 2010. La police avait mis la main sur tous leurs échanges « privés » FB et n’avait eu qu’à les cueillir sur le quai de la gare d’arrivée. Ce n’est pas un fil, c’est arrivé. Il fallut une grève de la faim et des manifs devant le commissariat pour que le petit groupe soit libéré et puisse rentrer sur le Caire sans avoir pu enquêter.

Pédagogie des tubes

Pendant qu’on y est, lecteur, laisse moi te dire que pour tes emails, c’est pareil ! Quand tu dis à bobonne que tu la kiffes, quand tu envoies ton RIB à ton nouvel employeur, quand tu écris à ton pote pour préparer la soirée de ce soir, il existe au moins 4 copies de ton mail. Pas juste un mail envoyé au destinataire.

Une chez l’expéditeur (toi), dans ta boite d’envoi, une chez google, ou hotmail, ou yahoo, ou autre, tout dépend de la crèmerie que tu as choisi et donc Monsieur Hotmail peut très bien lire ton courrier. Il y a aussi une copie dans la boite de réception de ton/ta destinataire, et enfin une copie chez monsieur yahoo, google, etc… du destinataire qui pourra aussi à loisir consulter tes mots doux ou relever les quelques chiffres apposés sur ton RIB.

Envoyer un email équivaut à envoyer une carte postale

Te passerait-il par l’idée, lecteur, de mettre tous les trucs trash que tu envoies à ta blonde, au dos d’une carte postale, histoire que ce soit bien lisible par le facteur ? Y agraferais-tu ton RIB ? La photo de tes gosses ? Ca pourrait être cool, n’empêche, ça permettrait d’égayer la vie des postiers…

Encore une fois, tes mails n’ont de privé que l’idée que tu t’en fais. Pour le reste… La vie privée n’est pas qu’une affaire de vieux cons, ça te concerne. Ca nous concerne.

Il existe des solutions, chiffrer tes mails par exemple… Et même moi, j’ai réussi donc c’est visiblement accessible aux nouilles. Donc non, lecteur, tu n’as aucune excuse pour ne pas t’y mettre, cela te permettra de mettre une petite enveloppe chiffrée en PGP et, une fois ton système installé, ça ne prend que deux clics.

Tout est expliqué ici, ou ici, ou bien encore ici. et il existe des tas de recoins dans les tubes pour poser des questions si tu bloques sur qqch.

Question…

Seule petite ombre au tableau, et question (ohai, les nerds !), je n’ai la possibilité d’avoir ma clé que dans mon thinderbird sur un ordinateur et n’ai pas trouvé le moyen de l’ajouter ailleurs, sur un autre client mail posé sur un autre ordinateur… Et je n’ai pas non plus trouvé de tuto s’y rapportant. Question, donc, est-ce que cela est faisable et si oui, comment ? Ce qui me permettrait de pouvoir chiffrer mes mails même en étant sur une autre machine. (merci !)

This post has already been read 2909 times!

twitterlinkedinby feather

Auteur : Ju

Manager en sécurité informatique, je travaille sur le secteur depuis plusieurs années après une reconversion réussie suite à 12 annés dans le journalisme. J'adore la recherche, Je suis certifiée Iso/CEI 27001 Lead Auditeur (PECB) – ISLA1006895-2015-09. Parfois, je donne des cours et des conférences, et j’ai eu deux livres publiés par un éditeur… il y a fort longtemps.

13 réflexions sur « Des données qui n’ont de privées que l’expression que vous employez »

  1. Malgré que je trouve cela une très mauvaise idée (car si quelqu’un obtient ta clé privée, il peut tout faire), la solution est :
    http://www.thierry-jaouen.fr/dokuwiki/doku.php?id=gnupg

    « Transferer une clef privée

    Il ne faut jamais faire ça, mais parfois il le faut.
    Extraire clef privée

    $ gpg –armor –export-secret-keys >kprive.txt

    Ce qui exporte la clef privée de dans kprive.txt.
    On copie:

    $ scp kprive.txt :~/tmp/.

    On importe:

    $ gpg –import kprive.txt

    Et voila, mais il ne faut pas faire ça ! Oh non! »

    Et après il suffit de faire un « gpg –import kprive.txt » et c’est bon.

    Mais c’est pas quelque chose à faire :/ (bis).

    Pour les autres, vous voyez, si vous avez des questions, il y aura toujours quelqu’un pour y répondre ! Il suffit juste de demander.

  2. @Rutilant poneysque
    Hey mais t’es trop fort, mon poney ! Quand tu veux pour t’offrir un verre !
    Mais oui, c’est ce que tu évoques dans ton premier message qui me pose un problème ethique.
    En fait, j’ai installé mon ThBird dans une VM histoire de pouvoir la crasher en cas de souci dans un pays chelou et suicider par la même occasion , la clé et rendre illisibles tous les messages qu’elle permet de déchiffrer.
    J’ai donc deux options… Soit je reste ainsi et je ne peux pas envoyer de mail chiffré une bonne partie de la journée, soit je copie ma clé ailleurs, ce qui est moins sécure mais me permet d’envoyer des mails chiffrés toute la journée…
    hmm

    hmm

    Me voila pensive.
    Ju

  3. c’est pas plus simple pour toi d’avoir un serveur ou tu met ton client mail (mutt par exemple) comme ça c’est chiffré en ssh jusqu’au serveur , et ta clef gpg ne bouge pas du serveur.

  4. Pour tout te dire, j’ai pensé à faire ça avec un ShivaPlug (qui aurait l’avantzge de l’autohébergement, ce à quoi je veux arriver) mais cela pose visiblement quelques pbs de sécurité. Et plus généralement, je n’ai pas le niveau pour gérer un serveur, je serais backdoorée de tous les côtés en quelques minutes. Donc pas sûre que ce soit plus sécure 😉

  5. @Rutilant poneysque
    Hey mais t’es trop fort, mon poney ! Quand tu veux pour t’offrir un verre !
    Mais oui, c’est ce que tu évoques dans ton premier message qui me pose un problème ethique.
    En fait, j’ai installé mon ThBird dans une VM histoire de pouvoir la crasher en cas de souci dans un pays chelou et suicider par la même occasion , la clé et rendre illisibles tous les messages qu’elle permet de déchiffrer.
    J’ai donc deux options… Soit je reste ainsi et je ne peux pas envoyer de mail chiffré une bonne partie de la journée, soit je copie ma clé ailleurs, ce qui est moins sécure mais me permet d’envoyer des mails chiffrés toute la journée…
    hmm

    hmm

    Me voila pensive.
    Ju

    dans ce cas, je mettrais la clé privée dans un conteneur truecrypt et lui même sur un serveur (Shivaplug ou Raspberry Pi).

  6. Une question m’interpelle : comment le destinataire pourra accéder au mail crypter ? Il lui faudra disposer d’une clé ou d’un mot de passe, je suppose. Et là, ça complique vraiment les choses. Comment faire avec une administration par exemple ? Et qui va se charger d’expliquer tout ça à ma mère (parce que là, c’est pas gagné) ?

  7. Une question m’interpelle : comment le destinataire pourra accéder au mail crypter ? Il lui faudra disposer d’une clé ou d’un mot de passe, je suppose.

    1 On dit chiffré.
    2 C’est de la crypto asymétrique, donc chacun a deux clés (ou une paire).

    Et là, ça complique vraiment les choses. Comment faire avec une administration par exemple ? Et qui va se charger d’expliquer tout ça à ma mère (parce que là, c’est pas gagné) ?

    Avec une administration … on repassera hein.
    Pour ta mère, apprends lui.
    J’ai un copain qui a appris à sa mère de se servir d’Ubuntu et pour discuter de Pidgin + OTR.

  8. @FabEhrhardt
    Toi, tu n’as pas regardé les liens que j’ai mis en fin d’article ! Tout y est expliqué. les mails chiffrés fonctionnent par clés Publiques/privée. pour déchiffrer un mail ou en envoyer un, tu as besoin de la clé publique de la personne, accessible sur un serveur si elle ne te la donne pas, et de ta propre clé privée, et l’inverse pour la personne de l’autre côté du tube.
    Et ça existe déjà dns des administrations et même dans les banques et assurances. Une fois le système installé, tu n’as besoin que deux clics pour chiffrer/déchiffrer, deux de plus pour ajouter une nouvelle clé publique quand tu envoies un mail à une personne dont la clé n’est pas encore dans ta liste.

    @Ploufplouf
    Chiffrer, pas crypter. Merci pour les liens, je vais aller lire ça.

  9. L’Office québécois de la langue française permet le terme « cryptage » mais ne reconnait pas le terme « chiffrement ». Donc pour moi on dit crypter et pas chiffrer :p

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *