Je crois qu’on a raté un truc dans les /@chiffrofete
On est resté uniquement sur le côté technique (pratique et théorique) mais on carrément loupé le créneau juridique…

Follow

@TosDR avait pas mal avancé sur ce côté-là, mais il n’y a jamais eu de sensibilisation du grand public à la (vraie) lecture des CGU, privacy policy & companie

Les gens résument aujourd’hui la vie privée à « c’est 🇫🇷 et la presse en a dit du bien ».

On l’a vu aussi très bien avec l’incendie d’OVH ou l’actualité ProtonMail… Les gens résument ces volets à :
1- ce qu’ils aimeraient bien avoir
2- ce qui en sort rapidement dans la presse (donc généralement de la pub/communication)

On est combien en vrai à aller auditer les bidules, décoder les ToS pour en faire une synthèse de ce qui ne va pas, aller gratter le vernis ?

Sans parler que de l’autre côté, on a aussi de gros quiproquos et incompréhensions de la réalité de « l’ennemi ». Combien de personnes ont en tête des choses extrêmement fausses concernant les GAFAM ?

Du coup on a des gens qui se ruent sur le moindre truc au motif que c’est pas du GAFAM, trop souvent en troquant un modèle de menace fantasmé contre une réalité des risques trop souvent sous-estimée voire ignorée.

Côté produit & service, la com’ tient aussi compte de ça. Combien d’utilisateurs resteraient réellement sur les services s’ils avaient conscience de la véritable réalité des choses ? Typiquement ProtonMail, combien y auraient été en sachant le résultat possible d’une perquisition ? Ou OVH en sachant la réalité d’un incendie ?

@aeris

Tiens d'ailleurs sur l'email, je me souviens que tu expliquais que tout allait beaucoup mieux depuis que Gmail avait commencé à mettre le smtps partout (et avait forcé les autres à suivre).
Mais si j'ai bien pigé que smtps protège contre du sniff/du mitm mais pas du fournisseur mail, j'ai pas compris si le trajet entre le fournisseur de l'émetteur et celui du destinataire était complètement (et bien) chiffré ?

@aeris

En gros si on a confiance dans les deux opérateurs (mail chaton vers mail en imirhil.fr par example) est-ce que l'envoi d'un mail est maintenant sécurisé même non-chiffré avec GPG ?

@Iutech La réponse est non. STARTTLS est faillible à des tonnes de trucs extrêmement facile à mettre en œuvre.

@Iutech C’est du moindre mal, mais actuellement tu fallback en plain juste avec 2-3 sed sur un flux réseau.

@Iutech Il y a des moyens de durcir un peu le truc, mais ça suppose que les 2 communicants se connaissent et aient config ce qu’il faut pour rendre plus difficile un fallback.

@aeris

"communicants" tu veux dire les utilisateurs ou les fournisseurs mail ?

@aeris

Et il y aurait/serait possible d'avoir une carte des fournisseurs qui ont tout configuré comme il faut et peuvent communiquer entre eux de façon sécurisée ?

@ChatonsOrg

@Iutech En gros ça suppose d’activer DANE (donc de supporter DNSSec des 2 côtés), avec interdiction explicite du fallback vers plain en cas de soucis lors de la négociation (ce qui revient à ne pas tenir compte des RFC).

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!