• 1 Votes
    1 Messages
    48 Vues

    Il y aurait comme un QWAC

    Plus de 300 chercheurs en cybersécurité, et plus d’une dizaine d’ONG et d’entreprises expertes en question de protection de la vie privée, alertent les instances européennes d’une discrète modification d’un règlement qui pourrait permettre aux États membres de l’UE de surveiller le trafic Internet de n’importe quel citoyen européen.

    Plus de 300 chercheurs en cybersécurité et scientifiques originaires de 31 pays, ainsi que plusieurs ONG de défense des libertés numériques (dont le CDT, l’EFF, EDRi, l’Internet Society, La Quadrature du Net et le Tor Project), ont publié une lettre ouverte à l’attention des eurodéputés et du Conseil de l’Europe.

    Ils s’inquiètent, rapporte Le Monde, d’un retour en arrière dans le projet de révision de l’Electronic Identification, Authentication and Trust Services (eIDAS), qui doit être finalisé d’ici au 8 novembre avant d’être soumis au vote au Parlement européen.

    Son article 45 entend en effet obliger les éditeurs de navigateurs à considérer obligatoirement comme « fiables » des autorités de certification choisies par les membres de l’Union européenne (UE), ce qui fait bondir les signataires du courrier :

    « Cela signifie que des États membres pourraient décider seuls d’imposer [une mesure permettant] de surveiller le trafic Internet de n’importe quel citoyen européen, sans parade possible. »

    Un problème déjà dénoncé en 2021, et 2022

    Un problème qu’avait déjà dénoncé Mozilla en 2021, la Quadrature et l’EFF en 2022 (voir ici aussi), et que viennent de nouveau de déplorer, dans une autre lettre ouverte (.pdf), CloudFlare, la Linux Foundation, Mozilla et Mullvad, pour qui « une erreur de jugement, ou une action délibérée d’un seul État membre, pourrait affecter les citoyens de toute l’Union européenne ».

    « En tant qu’Européen, je comprends très bien que l’Europe souhaite avoir le contrôle sur certaines parties de l’infrastructure d’Internet », explique au Monde Sylvestre Ledru, le responsable de l’ingénierie chez Mozilla. « Mais en tant qu’ingénieur, je sais que dans ce cas précis, la solution technique retenue n’est pas la bonne. »

    Le texte proposé ne respecte pas la vie privée des Européens

    Les règlements eIDAS étaient entrés en vigueur pour la première fois en septembre 2018, rappelle Computer Weekly, pour promouvoir et améliorer la confiance, la sécurité et la commodité des citoyens de l’UE grâce à un ensemble unique de règles à l’échelle de l’Union régissant l’identification électronique et les services de confiance, tels que l’identification électronique et les signatures, sceaux, horodatages, services de livraison et authentification de sites Web.

    « Le texte avait été amendé par le Parlement européen pour intégrer les inquiétudes formulées par les experts », précise au Monde Gaëtan Leurent, chercheur à Inria et signataire du premier courrier. « Mais ces adoucissements ont malheureusement disparu du texte lors de la discussion par le trilogue [Commission européenne, Conseil de l’UE et Parlement européen] » :

    « Le texte proposé par le trilogue ne respecte pas la vie privée des citoyens européens, ni les principes garantissant des communications sécurisées. Sans l’intégration de garde-fous, il risque plutôt d’augmenter les risques [pour les internautes]. »

    Des certificats EV & QWAC

    Il donnerait en effet aux États membres de l’UE la possibilité de délivrer des « certificats d’authentification de sites Web qualifiés » (QWAC). Cette mise à jour remplace une précédente tentative infructueuse de l’industrie d’améliorer la transparence des certificats par le biais de ce que l’on appelle un certificat à validation étendue (EV), précise The Record.

    Ces certificats devaient en effet non seulement authentifier le domaine, mais aussi indiquer qui était le propriétaire légal et l’opérateur du site web. Pour un certain nombre de raisons – en particulier le coût de la validation de la propriété légale – ces certificats EV n’ont pas réussi à être largement adoptés, explique notre confrère, sans plus de détails.

    Les QWAC proposés seraient dès lors destinés à permettre aux gouvernements de pallier l’absence de certificats EV pour certains sites, ce qui, écrit The Record, « présente des avantages évidents compte tenu de l’importance de l’authentification lorsque les utilisateurs du web interagissent réellement avec un service gouvernemental plutôt qu’avec une page d’hameçonnage ».

    Le propriétaire d’un certificat racine peut intercepter le trafic web

    « Dans certains cas, il est possible que vous souhaitiez utiliser votre identité émise par le gouvernement pour faire des choses, par exemple signer des contrats juridiquement contraignants sous votre nom, et l’eIDAS est vraiment là pour ça, et c’est très bien, les gouvernements sont les personnes qui émettraient les certificats pour les identités émises par le gouvernement », explique Steven Murdoch, l’un des signataires de la lettre, professeur d’ingénierie de la sécurité à l’University College de Londres et directeur de l’ONG Open Rights Group, interrogé par The Record :

    « Mais là où cette proposition pose problème, c’est qu’elle a été étendue aux navigateurs web, et ce ne sont pas seulement les signatures numériques qui sont utilisées pour signer des contrats et des choses liées aux identités gouvernementales. »

    « Les certificats racine, contrôlés par ce que l’on appelle les autorités de certification, fournissent les mécanismes d’authentification des sites web en garantissant à l’utilisateur que les clés cryptographiques utilisées pour authentifier le contenu du site web appartiennent à ce site web. Le propriétaire d’un certificat racine peut intercepter le trafic web des utilisateurs en remplaçant les clés cryptographiques du site web par des substituts qu’il contrôle », résument les chercheurs en sécurité.

    Source : nextinpact.com

  • 0 Votes
    2 Messages
    57 Vues

    Ça me rappelle il y a quelques années déjà d’avoir un blog chez eux. Ils ont fait pareil que pour les Pages Perso.
    A l’époque, ce fut un “choc” pour les nombreux blogueurs.
    Suis client Orange depuis plus de 20 ans et là, ce qui me saoûle, ce sont les pubs dans les applis et pages internet. Tu payes un service, mais ils t’imposent des pubs quand même.
    Heureusement qu’on a les bloqueurs.

  • 0 Votes
    2 Messages
    59 Vues

    trop compliqué pour un hébergeur, je reste sur un bon vieux cloud a l’ancienne

  • 3 Votes
    2 Messages
    66 Vues

    Je ne connaissait pas cette Molly White, mais elle me plait 🙂

    Par contre lire la transcription est compliqué, je conseil de regarder la vidéo, c’est plus clair. 🙂

  • 2 Votes
    1 Messages
    100 Vues

    Il est Web3, décentralisé, open-source : Skiff Mail est le service d’e-mail lancé par l’entreprise derrière Skiff Drive et Pages en mai dernier. De nouvelles fonctions viennent d’être ajoutées en ce mois de juillet. Qu’apporte donc cette alternative sécurisée à Gmail et Outlook ? Résumé et présentation.

    Lancé mi-mai et déjà intégré à Brave Wallet, le service d’e-mail chiffré décentralisé et Web3 Skiff Mail va beaucoup faire parler de lui. Le développement a pris un rythme impressionnant depuis son lancement. De nouvelles fonctions arrivent (signature, image de profil, planification d’envoi) et la gestion des noms de domaine n’est plus très loin.

    C’est quoi Skiff Mail ?

    Skiff Mail est un service de courrier électronique sécurité natif en Web3, simplifié. C’est un logiciel libre avec chiffrement de bout-en-bout. L’inscription est gratuite.

    Skiff fait partie d’une plateforme de collaboration décentralisée. La société, basée à San Francisco, propose déjà deux produits : Drive et Pages.

    Skiff Mail : nouveautés

    Après avoir introduit le service de stockage chiffré de fichiers Skiff Drive, dont nous vous parlions dans cet article, l’éditeur a profité des dernières semaines pour peaufiner ses services intégrés avec l’introduction d’une photo de profil.

    Pour ce qui est de Skiff Mail, le développement en open source a permis d’ajouter deux fonctions très attendues :
    - Création de signature personnelle aux e-mails envoyés ;
    Planification de l’envoi d’un e-mail (“Snooze”).

    Deux autres fonctions sont attendues dans les semaines à venir, réclamées par bon nombre d’utilisateurs :

    Gestion des noms de domaine
    Importation des e-mails depuis un compte existant

    Sur Discord, Skiff semble annoncer que c’est une question de semaines, d’ici la rentrée de septembre.

    Que peut-on faire avec Skiff Mail ?

    Skiff Mail permet de gérer ses e-mails et collaborer grâce à une intégration avec Pages, qui est un éditeur de texte simplifié développé par le même éditeur et un espace de travail privé, chiffré lui-même.

    Les fonctions :
    - Gestion des e-mails
    Recherche rapide et privée
    Synchronisation sur tous vos appareils
    10 Go de stockage gratuit
    - à venir : gestion du nom de domaine

    Après avoir ouvert un compte, chaque message de Skiff à Skiff est chiffré de bout en bout, mais la confidentialité s’applique au-delà des messages envoyés vers et depuis Skiff Mail : “Chaque message reçu d’un fournisseur de messagerie externe et tiers est immédiatement chiffré - ce qui garantit que seuls les utilisateurs ont accès aux copies non cryptées de leurs e-mails”.

    Combien ça coûte ?

    Skiff Mail est gratuit jusqu’à 10 Go de données pour l’e-mail et 1 Go pour Pages.

    Vous pouvez créer gratuitement votre adresse e-mail Skiff via ce lien.

    Vous pouvez opter pour un plan payant avec 100 Go d’espace pour l’e-mail et 100 Go pour les pages, pour 8$ par mois, soit 7,6€ à l’heure où nous écrivons ces lignes (14 juin 2022). Il existe également des tarifs pour les équipes.

    Sur quels appareils peut-on utiliser Skiff Mail ?

    Skiff Mail est lancé avec des applications mobiles complètes pour iOS/iPadOS et Android, ainsi qu’une application de bureau macOS. L’application Windows et Linux est prévue ultérieurement.

    Il est également possible d’utiliser Skiff Mail depuis n’importe quel navigateur internet, y compris sous Linux et Windows.

    Si vous utilisez Brave, le navigateur dispose d’un partenariat avec Skiff. Tous les utilisateurs de Brave Wallet peuvent se connecter de manière transparente à la suite d’applications de Skiff.

    Web3 : quelle différence ?

    Skiff Pages est un service Web3 natif. Vous pouvez ainsi vous connecter avec Metamask ou stocker vos données sur IPFS.

    Skiff Mail est il open source ?

    Oui, les développements de Skiff sont open source :

    “Skiff Mail est open-source depuis le premier jour, de sorte que nos déclarations de confidentialité et nos protocoles de chiffrement peuvent être vérifiés par n’importe qui.”

    Si vous voulez en savoir plus, lisez cet article de blog en anglais sur le développement open source de Skiff Mail.

    Le code est accessible sur Github.

    Pour vous inscrire gratuitement, rendez-vous sur cette page.

    Source : toolinux.com

  • 4 Votes
    10 Messages
    421 Vues

    Perso, c’est Protonmail ou rien. J’ai déjà essayé d’autres solutions qui ont fermé avec mes mails dessus… donc je paye l’écosystème Protomail qui par ailleurs est performant 😉

  • 2 Votes
    4 Messages
    201 Vues

    C’estt une horreur !

  • 1 Votes
    3 Messages
    200 Vues

    @aerya

    Bon c’est pas exactement pareil mais ça me fait penser au réseau Freenet qui n’a jamais vraiment décoller.

    ça me fait penser que ça fait bien une décennie que je n’y suis pas allé 😆

  • 2 Votes
    12 Messages
    350 Vues

    c’est marrant parce que tout ce que vous décrivez ça a été des révolutions pour les soixantenaires … Dites cous qu’on s’est tout pris dans la gueule, de l’écran de 24 lignes de 80 caractères à l’écran 4k g-sync hdr blablabla !

    et que dire alors de la puissance des machines, une chaine de comptabilité complète tenait sur une disquette 8 pouces de 64ko, une deuxième pour les data, un processeur à coté duquel un 8086 fut une bombe quelques années après, et 64ko de mémoire et les sociétés étaient très satisfaite … c’était magique !

    et je ne parlerais pas du développement parce que je vais lever des polémiques lol