Tutanota, l’autre webmail gratuit sécurisé

Suite à l’article de David sur ProtonMail, j’ai reçu un mail de tutanota.de m’invitant à tester cette alternative, traduite en français par la communauté.

Over 100,000 users have registered already, and we’ve left beta a few weeks
ago. By mid of July we will release custom domains so that people can use
Tutanota with their own domain.

Après un échange avec quelques personnes sur Twitter sur ce sujet, un ayant adopté Protonmail, l’autre Tutanota, tous les deux satisfaits, donc j’ai décidé de tester les deux.

Merci @swisstengu et à @FCharlet  qui avait écrit un article sur protonmail en mai dernier ici !

Damien quant à lui m’a aussi parlé de son article détaillé sur le choix judicieux à faire dans les des webmails  et de lavaboom sur lequel il faut réserver son adresse car ils sont en bêta privée  : https://www.lavaboom.com/

Nous sommes actuellement en beta fermée, et nous validons les invitations petit à petit. L’email que vous recevrez vous indiquera la durée du temps d’attente.

Rappel : Protonmail est basé en Suisse. Tutanota est basé en Allemagne, donc côté juridique et retentions des données pour le moment c’est plus cool que la France ou les USA.

N.B. : si quelqu’un connaît / trouve un lien qui explique simplement les droits liés à la rétention/conservation des données numériques dans les pays européens je prends !

Edit du 17/07/2015 dans cet article de Numerama :

La Grande-Bretagne vient ainsi compléter un tableau fourni de pays qui ont pris acte de la décision des juges européens, après la Belgique le mois dernier, la Slovaquie, l’Irlande, l’Autriche, la Roumanie, la Slovénie, les Pays-Bas et la Bulgarie.

En France, le Conseil constitutionnel organise le mardi 21 juillet prochain une séance publique pour l’examen d’une question prioritaire de constitutionnalité (QPC) demandée via le Conseil d’Etat par la Quadrature du net, FDN et FFDN.

Bon en fait pour protonmail, ils ont eu tellement de demandes que c’est sur liste d’attente, donc wait & see.

Ce que j’aimais bien dans protonmail par rapport à tutanota c’est qu’il y avait la possibilité de définir une durée de vie au mail envoyé. Je crois qu’il y a une limite à 500 mails / mois pour la version gratuite…

 Tutanota : simple, épuré 🙂

Côté tutanota c’est très rapide : premiers arrivés = premiers servis pour les noms des adresses mail.

Pour créer très rapidement son compte : https://tutanota.com/

1) Choisir son nom ou pseudo et un mot de passe fort, puis créer le compte.

page d'accueil tutanota

2) Quelques secondes et hop, vous voilà dans votre boite mail avec des fonctionnalités simples et utiles !

Et un petit mail automatique de présentation du service vous attend :

Message accueil tutanota

Attention : compte gratuit limité à 1Go. Possibilité (en payant ou code promo ??) d’avoir 5 Go.

Dans les paramètres il y a possibilité :

– de définir 1 seul alias

– de choisir si par défaut les mails envoyés seront confidentiels = chiffrés ou non.

Quand vous rédigez un message, même à quelqu’un qui n’a pas de compte tutanota, c’est facile. Seul pré-réquis : avoir défini un mot de passe commun avec lui (idéalement oralement sur un banc dans un parc public… ^^)

Film Ennemi d'état - sur un banc public

La personne qui n’a pas de compte tutanota reçoit un mail automatique avec en guise d’expéditeur votre adresse zzz@tutanota.de et en guise d’objet (non chiffré) :  message confidentiel de -votrepseudosurtutanota- qui explique qu’il faut cliquer sur le lien pour entrer le mot de passe commun et avoir accès au mail confidentiel.

Mail reçu par un non utilisateur de tutanota

En cliquant sur ce lien l’ami tombe sur une page lui demandant le mot de passe défini en commun

entrer son mdp sur tutanota

 

Enfin l’accès à une version très limitée de tutanota mais qui permet de répondre directement :

vue d'une personne n'ayant pas de compte tutanota

A noter : pas de souci pour s’auto-envoyer un mail !

Conclusion : Tutanota c’est très simple, épuré,  juste ce qu’il faut !

Publicités

Protonmail, vers des emails (vraiment) sécurisés ?

Edit by daria : Premier article de l’invité de ce blog

Présentation

Logo_protonmail ProtonMail est comme son nom le laisse présager, un service de messagerie internet.Fondé en 2013 par trois scientifiques Jason Stockman, Andy Yen et Wei Sun (merci Wikipédia 😉 ) qui se sont rencontrés au CERN. L’idée générale était de fournir aux utilisateurs de leur messagerie, un système d’envoi complètement sécurisé, où Bob rédacteur et Alice lectrice seraient les seuls à pouvoir visualiser le contenu d’un message qui transiterait via l’Internet d’un protagoniste à l’autre.

Fonctionnement d’une messagerie classique

Je ne vais pas trop rentrer en détail dans les principes de la cryptographie (sinon vous n’auriez plus envie de continuer la lecture). Basiquement, on utilise une clé pour chiffrer un message, et il est possible de découvrir ce message en utilisant une clé (pas la même que pour crypter) pour déchiffrer (décrypter) ce message et le rendre lisible par un humain. Ce principe est mis en avant dans cet exemple : Source = http://www.wri-irg.org Actuellement, les services de messagerie de type email fonctionnent en adoptant ou non des systèmes de cryptage pour en sécuriser le contenu : Scénario simplifié : Bob désire envoyer un email à Alice en passant par sa messagerie préférée, il compose donc son mail; ce dernier sera crypté lors du transport, par un intermédiaire ou par le serveur de messagerie.Cependant, le serveur de messagerie dispose des clés pour décrypter le message d’Alice. Nota bene : j’ai volontairement simplifié le processus, dans la réalité, c’est plus complexe (mais dans le même esprit).

Enjeux

Quiconque ayant accès au serveur de messagerie (et donc aux clés de déchiffrement), peut s’approprier le contenu des emails, mais qui est-ce que ce genre d’information peut intéresser ? La NSA, qui fait de la collecte d’information globale, avec l’appui de nombreux gouvernements. Les publicitaires, qui vont scanner le contenu des mails, des entêtes, pour constituer des collections d’adresses qui seront redistribuées à des intermédiaires et c’est un point de départ pour une bonne partie du courrier indésirable. Des utilisateurs malintentionnés, de méchants hackers, pirates, fraudeurs ? Alors voilà, comment faire pour communiquer par email sans que le contenu du mail ne puisse être intercepté ? En théorie, nul système n’est infaillible. Il est possible de crypter soi-même ses mails à l’aide d’outils dédiés tel OpenPGP : http://openpgp.vie-privee.org/ Mais sur le long terme, cela peut vite devenir laborieux… Et c’est là qu’intervient Protonmail, une solution plutôt pratique pour envoyer ses mails de manière sécurisée, mais comment est ce que cela fonctionne ? Prenons pour exemple nos deux internautes préférés, Bob et Alice, chacun d’eux disposent de deux clés :

  • Bob possède une clé publique et une clé privée
  • Alice possède une clé publique ainsi qu’une clé privée.

Bob souhaite envoyer un message à Alice, il chiffre donc son message avec la clé publique d’Alice. Et seule Alice pourra décrypter ce message, avec sa clé privée. Réciproquement, Alice souhaite envoyer un message à Bob, elle chiffre son message avec la clé publique de Bob; ainsi Bob découvrira le message grâce à sa clé privée.

Interface de la messagerie

Voici maintenant un aperçu de ladite messagerie, toujours au stade de bêta : Une fois connecté sur ProtonMail, on arrive sur cet écran, invitant l’utilisateur à saisir une seconde fois son mot de passe, pour déchiffrer le contenu de ses mails : Apercu_1 Notez bien que si vous vous absentez quelques minutes boîte ouverte, il faudra déchiffrer à nouveau votre messagerie. Aperçu de la boîte aux lettres Protonmail : Boite_a_lettres à première vue, l’interface semble assez sobre, on découvre intuitivement les fonctionnalités, à l’aide des icones du menu latéral, le cas échéant, en survolant ou en cliquant, on arrive sur la fonctionnalité en question… (Respectivement: Composer un mail, Boîte aux lettres, Brouillons, Envoyés, Favoris, Archive, Spam, Corbeille, Contacts, plus une barre de recherche en haut pour filtrer vos messages, un lien pour rapporter les bugs, et la possibilité de se déloguer (je ne suis pas certain que cet angliscisme se dise, mais vous m’aurez compris), pas de pubs, ça respire le flat design, pas de fioritures… Où est le piège ? Pour le moment, je n’ai pas encore intégré cet outil quotidiennement, car je suis assez familiarisé à des outils tels que Thunderbird,Outlook etc… et il est pour l’instant incompatible avec ces derniers. Il existe toutefois un plugin chrome pour permettre d’accéder plus rapidement à ses mails Proton, mais le temps gagné est minime… ça permet en gros, d’enregistrer son mot de passe dans le browser pour décrypter ses mails automatiquement, mais la sécurité n’est pas aussi élevée qu’en passant directement par l’interface de Proton.

Mails perissables

Une autre fonctionnalité que j’aime beaucoup avec cette messagerie est le fait de pouvoir envoyer un email qui avec date d’expiration. vue3 Ici, je souhaite que mon mail soit lisible 51 heures après envoi http://img11.hostingpics.net/pics/385250proton4.png Ce service fonctionne avec n’importe quel type de messagerie, voici à quoi ressemble un mail chiffré reçu par un utilisateur de Gmail : Message_received Ici pour lire son mail, l’utilisateur devra saisir le mot de passe fourni par l’expéditeur lors du chiffrement pour découvrir son message, sans quoi le message sera illisible par ce dernier. Voici une présentation bien plus exhaustive du fonctionnement de ProtonMail :

Conclusion

L’anonymat sur internet n’est donc pas totalement utopique, il existe des moyens de protéger ses données et ce que l’on partage, sous certaines conditions, dont l’une d’elles qui est de ne (jamais 😉 ) pas toujours faire confiance aux prestataires de services de messagerie internet. Les serveurs de ProtonMail sont localisés en Suisse, donc, ne sont pas soumis à la legislation européenne ou américaine. La légende raconte que les messages sur ProtonMail sont tellement « chiffrés » que les créateurs eux-même ne peuvent pas lire les messages des utilisateurs. Pour le moment, l’entête du mail n’est pas encore chiffrée, donc pensez à ne pas transmettre d’informations capitales dans l’objet de votre mail chiffré/crypté… Merci de m’avoir lu, en espérant n’avoir pas été trop assommant..

EDIT du 16/06/2015 :

Si ça intéresse des personnes qui passeraient par là, il est possible depuis hier et pour une durée indéterminée de créer une compte en passant par le lien suivant (pour le moment uniquement par invitation depuis la page d’accueil) :

https://protonmail.ch/privacyforall

MAT : pour supprimer les métadonnées de divers types de documents

MAT : Un petit logiciel pratique et  simple, sous Linux, pour supprimer les métadonnées (« EXIF (images), RDF (web resources), DOI (digital documents) ») de divers types de fichiers (images, documents, archives).

Les métadonnées des fichiers donnent une foule d’informations diverses comme pour les images le type d’appareil, la date, les paramètres de l’appareil photo etc. Elles peuvent être utiles pour indexer/classer vos photos par exemple. Mais elles peuvent aussi donner des informations « à l’insu de votre plein gré » et être utilisée ; exemple un article The Guardian 2013 sur la  NSA avec en anglais une infographie sur les métadonnées.

Pour supprimer ses métadonnées il existe le logiciel exiftool (voir vieil article chez Korben ou celui-ci) et même une version graphique (GUI).

En version beaucoup plus simple pour supprimer ces métadonnées sur divers formats d’images mais aussi sur les .docx, .odt, .pdf, .mp3, .ogg, .tar, etc, il y a aussi, sous GNU/Linux, le logiciel MAT (Metadata Anonymisation Toolkit).

Pour l’installer sous Debian/Ubuntu :

– soit vous passez par le gestionnaire de paquets synaptic

– soit dans le terminal :

sudo apt-get install mat


N.B : attention la version dans les (mes ?)  dépôts Ubuntu est la 0.4.2 (stable) or l’actuelle est la 0.5.2.x :/ ->https://mat.boum.org/files/

J’ai installé le paquet .deb de la version 0.5.2.2 ici est l’icône clean se nomme « scour » mais sinon rien de dramatique.

La version 0.5.2.3 est instable avec 1 bug (nom de librairie « lib » trop générique).


Pour Fedora se reporter à l’article source en bas de cet article.

Ensuite en version graphique vous le trouverez en le recherchant dans votre menu, ou dans la partie Administration du menu, ou dans un terminal lancez :

mat-gui

Ensuite l’interface graphique, en anglais est très simple.

1) Ajouter votre fichier dont il faut supprimer les données exif en cliquant sur le bouton Add.

2) Clic sur le bouton « loupe » Check pour que le logiciel indexe les métadonnées. Si le fichier présente des données à effacer, le statut indiquera « préjudiciable ». Vous pouvez voir les métadonnées en double-cliquant dessus dans la fenêtre MAT.

3) Pour le nettoyer un coup de balai  avec le bouton « Clean« . Le statut de votre fichier passera à « nettoyer ».

Voilà plus de métadonnées pour vous pister dans vos fichiers.

Amoureux de la ligne de commande, référez-vous à l’article source ci-dessous.

Source : http://xmodulo.com/remove-file-metadata-linux.html

Blogosphère : Genma un blog sur la sécu, mais pas que

J’ai découvert enfin (re découvert car je l’avais vu sur Twitter auparavant) le blog de Genma grâce à un de ses commentaires sur le 9e épisode du podcast du comptoir sécu.

Un blog riche en info sécu principalement mais d’autres aussi.

Il ouvre son blog chaque dimanche aux auteurs qui le souhaitent via cette page « Quartier libre« .

Il a une manière « solidaire » (?) d’utiliser Flattr en reversant de manière proportionnelle  les contributions qu’il peut avoir à des associations ou sites pour le libre ou l’informatique en général (Framasoft, April, Quadrature du net…)

Si je devais ouvrir le blog aux sponsors (lol) je ne trouverais pas mieux à dire que sa page : http://genma.free.fr/?Sponsors-pour-ce-blog-et-si-je

Une page conférences comme Jérôme fait des conférences lors de ciffrofête/cryptoparty

Je suis le flux rss de son shaarli : instructif !

Un regard personnel, des articles bien documentés, à découvrir.

 

N.B : cet article a été rédigé en février 2014 et publié en décembre 2014, mais Genma fait, lui, toujours des articles intéressants.

Podcast et blog : Le comptoir sécu

Découvert via un podcast de niplife ou niptech dans lequel un des 4 jeunes auteurs du podcast du comptoir sécu intervenait :

Ma première entrée : via le podcast

Bien les sujets 🙂 et assez clairs même pour les néophytes comme moi.

  • Premier podcast son pourri, dommage qu’ils ne l’aient pas refait (une bêta avant de sortir la version stable quoi…comme niplife je crois d’ailleurs ou plus récemment nipsales) A ce propos (hors sujet) : le premier podcast nipsasles vaut l’attention, des vrais vendeurs…envisager la séduction comme un moyen de se vendre…on sent le virus de la vente interne ! 😮
  • Deuxième podcast : les commentaires (postés où d’ailleurs ?) ont été pris en compte et c’est mieux (bon perso la musique je m’en serais bien passée mais bon les goûts et les couleurs hein)
  • J’ai bien aimé le 9e podcast au titre pas si évocateur ou accrocheur « Où l’on parle de la guerre pour l’identité numérique et de l’avenir des bitcoins »

Guerre pour l’identité numérique c’est un peu trop fort. Plutôt quelque chose comme : Une identité numérique quasi incontournable à l’avenir ?

Le dossier sur l’identité numérique était très intéressant. Les liens en première partie d’émissions comme sur les bouilloires espionnes et cryptolocker qui fait des tutos pour se faire payer !

  • Même pas peur avec les révélations dans le dossier SCADA de l’épisode 11 mais heureusement en 2014 la sécurité industrielle devrait être mieux assurée en France du moins.

C’est dans cet épisode (à 8min 53 s)  aussi que j’ai appris que les SMS de niveau 0 à la base servait de fichier de config. aux opérateurs/constructeurs !

Il me semble aussi que c’est dans cet épisode que j’ai appris un nouveau mot économique/financier (?) : « démurage » ou monnaie flottante = l’argent perd de la valeur avec le temps.

Arf leurs problèmes de son persistent -> épisodes 13 et 14

Le 15e épisode mêle à la fois des termes juridiques et techniques Mme Michu s’est accrochée, mais bon elle n’a pas compris toutes les subtilités :/

Leur twitter : https://twitter.com/comptoirsecu

m’a l’air pas mal et n’est pas seulement un relai de leur flux rss comme d’autres 🙂 « comptoirsécu : one point » 😀

Leur communauté Google+ (arf pas de flux rss possible !) : https://plus.google.com/communities/117090624990342742312

Leur site : pas de logo rss visible de suite mais bon si on ajoute rss à l’url de base : http://www.comptoirsecu.fr/

on obtient leur flux.

Un peu d’originalité (trop ?) dans le choix de la mise en page des articles nuit à leur lisibilité ou suis-je déjà formatée ?

Conclu : des infos à suivre sur comptoirsecu.fr !

Espionnage : les USA, l’Europe…et la Suisse ? (recyclage)

Espionnage : l’Histoire se répète…

* Dans l’actualité hi-tech récente : la NSA qui espionne tout le monde y compris ses alliés (qui font mine d’être offusqués…). Rien de nouveau c’était déjà le cas avec Echelon ( un lien vers un documentaire vidéo sur l’histoire d’Echelon)

* La NSA qui aurait affaiblit des systèmes cryptologiques (RSA) c’est aussi dans les actus récentes  et pourtant…

C’était aussi le cas entre 1947 et 1992 (!) quand la NSA et le BND allemand (des sociétés européennes comme Siemens, Nokia…semblent avoir été mis en cause également) ont demandé à une entreprise suisse Crypto AG (plein de liens intéressants en bas de cet article wikipedia) d’insérer dans leurs machines des faiblesses pour pouvoir décrypter tranquillement et facilement les communications de ses clients. C’est l’affaire Hans Buehler, commercial chez AG Crypto qui s’est fait arrêté pour espionnage par les Iraniens suspicieux (à raison pour le coup) qui a mis à jour cette histoire.

Source : p184-186 du livre « Cyber-criminalité » (lien commercial) d’Eric Filiol et Philippe Richard.

et http://www.hermetic.ch/crypto/kalliste/speccoll.htm

* Autre révélation corrélaire : la neutralité de la Suisse serait mise à mal par la découverte d’un document de 1956 entre la Suisse (Paul Chaudet) et le général Montgomery (OTAN)

A document released in 1995 by Britain’s Public Records Office indicates that Switzerland and nato concluded a secret deal in 1956. The « Top Secret » document, dated February 10, 1956, with the reference « prem 11/1224, » was written by the famous British World War II figure, Field Marshal Bernard L. Montgomery. While « Monty » was a vice-commander of nato, he discussed a secret alliance with Swiss Defense Minister Paul Chaudet. In peacetime, Switzerland would be officially neutral, but in wartime, it would side with nato. A US document released in 1995 shows Switzerland’s importance to US national security. A Presidential directive on national security prepared for President Truman states that « Switzerland … delivers precision instruments and other materials necessary for the armament of the USA and NATO countries [emphasis added]. » Germany’s BND, too, has apparently cooperated with the US encryption rigging scheme through Siemens Defense Electronics Group of Munich.

Source : http://www.maurizioturco.it/dossier/echelon_dossier/banca_dati/rassegna_stampa/1998_covertaction_quarterly.html

* Un dernier clin d’oeil pour @MmeChomeuse qui m’avait recommandé la lecture du Meilleur des mondes

Ce court extrait du « Meilleur des mondes » (1931) est donc une parfaite illustration de ce qui survient aujourd’hui. Et pour ceux qui ne l’ont pas lu, lisez « Brave new world ».

Ensuite, on poursuivrait le conditionnement en réduisant de manière drastique l’éducation, pour la ramener à une forme d’insertion professionnelle. Un individu inculte n’a qu’un horizon de pensée limité et plus sa pensée est bornée à des préoccupations médiocres, moins il peut se révolter. Il faut faire en sorte que l’accès au savoir devienne de plus en plus difficile et élitiste. Que le fossé se creuse entre le peuple et la science, que l’information destinée au grand public soit anesthésiée de tout contenu à caractère subversif. Surtout pas de philosophie. Là encore, il faut user de persuasion et non de violence directe : on diffusera massivement, via la télévision, des divertissements flattant toujours l’émotionnel ou l’instinctif. On occupera les esprits avec ce qui est futile et ludique. Il est bon, dans un bavardage et une musique incessante, d’empêcher l’esprit de penser.

On mettra la sexualité au premier rang des intérêts humains. Comme tranquillisant social, il n’y a rien de mieux. En général, on fera en sorte de bannir le sérieux de l’existence, de tourner en dérision tout ce qui a une valeur élevée, d’entretenir une constante apologie de la légèreté ; de sorte que l’euphorie de la publicité devienne le standard du bonheur humain et le modèle de la liberté.

Source : http://reflets.info/apple-la-nsa-ta-webcam-ton-smartphone-et-le-meilleur-des-mondes/

Troublant ou simplement « that’s just the way it is baby ? Mind your own business ! » ?

Fuite d’infos dans des documents propriétaires (Word & co)

Certes je savais que les documents de microsoft Office 5word, Excel, Powerpoint etc.) avait du code « invisible » pas tout net car propriétaire donc on ne sait pas exactement ce qu’il y a ; mais je en connaissais pas toutes ces fuites d’informations possibles à partir d’un simple échange de fichier Word.

Donc est-ce que c’est toujours un sujet d’actualité ?

Oui parce que que mon côté Marty mac Fly me fait ressortir des publications qui ont presque 10 ans 😮

Le premier article date de 2006 il est bref mais la citation mise en exergue m’a bien plue :

« Le format Microsoft Word est complexe et non-documenté. Comme il n’a pas été prévu pour être utilisé comme format d’échange, il n’est pas étonnant qu’il permette des fuites d’informations confidentielles. […] Lorsque l’on fait des modifications, des données sont ajoutées, supprimées, etc. Or, il est toujours possible de retrouver les données effacées, même celles que l’on ne voulait pas diffuser car elles sont toujours dans le fichier, pour permettre de revenir en arrière », ajoute Hervé Schauer, du cabinet HSC.

J’enchaîne sur un deuxième document http://www.chambet.com/publications/fuite-infos/ qui explique qu’un lecteur d’un fichier Word modifié peut facilement avec un éditeur hexadécimal par exemple (ou des logiciels Windows cité uniquement dans le diaporama pdf d’octobre 2003) les modifications précédentes et qu’avec un coup d’Adobe dans un PDF redimensionné on peut retrouver le format d’origine et donc voir des infos qu’on ne devrait pas voir.

Inversement il existe des Word bugs qui permettent d’insérer un champ et donc d’inclure des données (un fichier) invisible pour le lecteur…

…un peu comme les web bugs ces mini images espionnes d’un pixel cachées dans des pages de site par exemple pour traquer vos infos, les cookies aussi faut la même chose mais en ce moment on nous redemande tout le temps « tu veux manger les cookies de mon site? ».

Heureusement des extensions Ghostery ou Self Destructing Cookies pour Firefox existent !

Voici un lien http://www.bounceapp.com/126929 vers le deuxième document mais annoté par mes soins avec toujours la même questions : est-ce que c’est toujours possible aujourd’hui ?!

Conclusion : soit on copie colle dans un nouveau .doc le fichier Word que l’on veut envoyer, soit on utilise LibreOffice !