Échaudé par les révélation d’Edward Snowden sur l’espionnage généralisé de la NSA, Google annonce aujourd’hui que tous les messages envoyés et reçus depuis Gmail passeront obligatoirement pas une connexion en HTTPS. Mieux, quand les messages transiteront sur les serveurs de Google, ils seront chiffrés.
Google annonce sur son blog qu’à partir d’aujourd’hui, la connexion à Gmail ne se fera plus qu’en HTTPS. Ce n’est pas vraiment une nouveauté. Gmail propose d’utiliser le HTTPS par défaut sur Gmail depuis 2010. Mais il est désormais impossible de consulter ses emails autrement qu’avec ce type de connexion. La deuxième nouveauté – et la plus importante – concerne le chiffrement des données lors de leur transit dans, et entre, les serveurs de Gmail. « Tous les emails que vous envoyez ou recevez – 100 % de ceux-ci – sont désormais chiffrés lorsqu’ils transitent sur nos serveurs internes. Cela garantit que vos messages sont protégés, non seulement entre vous et les serveurs de Gmail, mais aussi durant leur passage dans les data centers de Google ». C’est le point le plus important de ce dispositif. La NSA (et certainement d’autres services de renseignements) espionnaient les activités de monsieur tout le monde en se branchant directement sur les serveurs des grandes sociétés informatiques.
Google termine son billet de blog par un soupçon d’auto-promo. Il rappelle que que Gmail a été disponible 99,978 % de l’année 2013, soit environ 2 heures d’interruption sur l’année. Et de rappeler que ses ingénieurs veillent 24 heures sur 24 et 7 jours sur 7 au bon fonctionnement de ses applications. Enfin, en cas de doute, un petit tour par l’Apps Status Dashboard devrait vous renseigner sur l’état actuel de fonctionnalités des services de Google.
Rendez-vous un mercredi sur deux sur Twitch, de 17h à 19h, pour suivre en direct l’émission SURVOLTÉS produite par Frandroid. Voiture électrique, vélo électrique, avis d’expert, jeux ou bien témoignages, il y en a pour tous les goûts !
La news est trompeuse : les emails ne sont pas chiffrés, c'ets uniquement quand ils transitent qu'il y a un chiffrement. Pour ce qui est de RSA... http://www.theverge.com/2013/12/20/5231006/nsa-paid-10-million-for-a-back-door-into-rsa-encryption-according-to
Pour ce qui est de RSA, tu te trompes http://www.theverge.com/2013/12/20/5231006/nsa-paid-10-million-for-a-back-door-into-rsa-encryption-according-to Si tu utilises GnuPG, tu n'as pas à ce problème étant donné qu'il n'utilise pas RSA d'après la doc. http://gnupg.org/howtos/fr/index.html
À priori, le modèle mathématiques de SSL3+/TLS est bon, étant donné qu'il a été pas mal étudié d'une manière indépendante. Pour ce qui est des implémentations, c'est beaucoup moins sur, il y a eu le problème de OpenSSL sous Debian, et plus récement les goto de Apple et GNU-TLS. Au passage, pour les emails, on utilise plus souvent le IMAPS ou le POPS que le HTTPS qui lui est dédié au Web.
Rien que tu envoies chez Google ou pas. À cause du Patrioct Act et d'autres lois, les géants de l'Internet US sont obligés de coopérer dans le plus grand secret. D'une manière plus générale, il faut avoir peu confiance en des tiers. Si tu veux sécuriser le contenu de tes échanges (on ne peux pas encore le faire pour les méta-données), tu dois chiffrer tes emails sur ton PC avec PGP. http://gnupg.org/howtos/fr/index.html Bien entendu, cela ne suffit pas si ton OS ou tes apps sont backdoorés ou plus mis à jour ou que tu as des malwares.
Enfin une personne qui parle avec les bons mots ! ^^ Meme si décrypter existe aussi. C'est simple : Chiffrer : c'est quand on utilise une clé de chiffrement pour chiffrer le message. Déchiffrer pour le déchiffrer. XD Décrypter c'est déchiffrer un message sans avoir la clé. Crypté ça n'existe pas XD C'est un abus de langage !
qui nous dit que la NSA n'a pas de système pour casser les clés? ou même qu'une loi forcerait Google a fournir les clés. <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
pas besoin,tous les grand du web ricain coopèrent pleinement.
Pour ceux qui ne savent pas lire, à commencer par l'auteur de ce truc : "encrypted while moving internally". NON, rien ne sera crypté sur les serveurs eux-mêmes. Les messages sont toujours stockés en clair. Ce sont les canaux de communication qui seront cryptés de point en point ! Et pour ceux qui n'avaient pas suivi, la NSA avait accès aux communications qui transitaient entre les datacenters de Google et pouvaient donc intercepter les contenus des mails sans souci. Ils n'ont pas accès aux serveurs, donc ça ne sert à rien de crypter les mails en stockage local. D'autant moins que la clé de décryptage doit forcément être stockée localement donc tout autant récupérable que le contenu crypté.
c'est la communication qui est chiffrée , pas le stockage et comme la NSA a accès aux serveurs Google ;)
Good news<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Comme de toutes façons ils ont obligation de fournir la clé de chiffrement aux autorités cela ne va pas changer grand chose juste peut être ralentir un petit peu les traitements et encore...
xD
yep, j'suis a deux doigts d'être bilingue !
Essaye de faire passer un certificat autosigné sur un navigateur récent, tu risques juste de faire peur à l'utilisateur et donc perdre des clients. Donc le passage par Verisign ou autre est obligatoire. Mais qui a mis en place le RSA à la base ? Qui donne les conseils sur les tailles des clés à utiliser etc ? Bref la NSA est en plein milieu. ;)
C'est bien, tu connais un mot en anglais ;)
Mais Google oui, et ils coopèrent avec la NSA...
Beau ramassis de bullshit. C'est comme les déclaration comme quoi ils étaient pas au courant pour Prism ça... des bullshit.
merci pour tes lumières ! :)
Ça dépendra de la société qui gère le webmail à qui tu envoies ton email. Pour faire simple, la ne s'occupe pas du transfert de donnée entre ton navigateur et les serveurs de Google, puisqu'il y a un chiffrement grâce au HTTPS. En revanche, la NSA se branchait directement sur les serveurs de Google pur voir les emails, parce que sur ces serveurs, les emails étaient déchiffrés. Ce qui n'est plus le cas maintenant. Sur un autre webmail, ça dépendra de la décision de la société. A vrai dire je n'ai aucune idée si Microsoft chiffre les données qui transitent en interne sur ses serveurs lors de la gestion des emails d'outlook/hotmail. Si ce n'est pas le cas, ça ne m'étonnerait pas qu'il le fasse bientôt.
Le chiffrement, c'est avec NSA inside ? ^^<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Mouais. Pas convaincu. Ils sont bien déchiffrés à un moment donné pour l'indexation, la pub ciblée.... le fond de commerce de google quoi. Suffit à la NSA de s'infiltrer sur les machines où les messages sont en clair. La meilleure façon de se protéger est : 1) d'éviter de balancer des informations sensibles par email / sur internet de manière générale 2) si 1) n'est pas une option, chiffrer de bout en bout avec crypto forte (RSA / ECC) et ne pas faire confiance aux "autorités" de certificat classiques.
Une backdoor dans RSA, je ne sais pas et je ne pense pas, d'après Snowden il n'y en a pas, ou alors il ne l'a pas encore révélée. Par contre, je ne suis pas sûr qu'un ordinateur quantique soit capable de déchiffrer rapidement du RSA 4096. Après ils en seront bientôt capable, mais on peut déjà chiffrer en 8192 et on passera à 16384, etc... Il y a quelques années PGP en 1024 était sûr, aujourd'hui, le chiffrement est trop faible... Et si tout le monde chiffre, la puissance nécessaire à tout déchiffrer serait phénoménale ;-)
Je ne pense pas que les serveurs sortent les mail d'une crypte. On dit plutôt "déchiffrer" ;-)
bah si j'envoie un mail sur une boite hotmail, Microsoft a bien la clé publique permettant de déchiffrer le mail chiffré avec la clé privée Google ! Donc pourquoi Prism ne l'aurait pas ???
Quand la NSA intercepte et écoute la totalité des conversations téléphoniques d'un pays, la plupart est inutile, mais vu qu'ils en ont la capacité, pourquoi s'en priveraient-ils ?
ton raisonnement tient parfaitement la route... sauf si la NSA a un moyen de déchiffrer un message dont elle n'a pas la clé privée (super calculateur ou backdoor dans RSA)...
Ben PRISM ne dispose pas de l'algorithme de déchiffrage tout simplement ;)
oui mais ça c'est un autre débat ! :) en plus meme si la plupart des mails ne les intéresse pas ("Maman je suis allé aux toilettes ce matin !" ^^) ce sont des bots qui font ça et qui cherchent des mot-clés
Les données chiffrées sur leurs serveurs, pourquoi pas, mais Google possédant les clés de chiffrement et collaborant avec la NSA, c'est comme si les données étaient en clair... OK ils mettent enfin une enveloppe, mais si ils ne la cachettent pas, ça reste une carte postale ! Encore et toujours de la com... Chiffrer soit même ses mails avec PGP me semble plus efficace, Google n'a pas la clé privée, et ne peux donc pas déchiffrer sous demande de la NSA. @Nicolas Cognaux:disqus Les instances dont tu parles sont les autorités de certification ? Si oui, elles ne sont aucunement indispensables à l'utilisation de SSL. Un certificat auto-signé permet parfaitement l'utilisation de HTTPS, et responsabilise l'utilisateur. Quand on regarde toutes les CA intégrées actuellement dans les navigateurs, on trouve pas mal de gouvernements qui ne sont pas spécialement regardant sur la vie privée...
" qu'est ce qui empeche PRISM de déchiffrer " => " l'inutilité " de la plupart des mails devrait suffir ^^
bah oui mais du coup qu'est ce qui empeche PRISM de déchiffrer à la sortie des serveurs Google ? :D
Les serveurs décryptent à la sortie, pas plus compliqué que ca.
Ce qui est drôle c'est que quand on se penche un peu plus sur le SSL (a la base du HTTPS). On se rend compte que les instances qui le gèrent et qui l'ont mis en place sont pas mal rattachées au gouvernement américain et certainement à la NSA également. Je me demande bien s'ils n'ont pas pensé à poser un backdoor bien placé ou s'ils n'ont pas trouvé une faille à RSA depuis tout ce temps. Ce qui rend alors le HTTPS complètement inutile face a la NSA.
oui mais qu'est ce qui se passe si j'envoie un mail à une personne qui n'utilise pas gmail ? c'est chiffré ? si quelqu'un peut m'éclairer ! :)
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix