Je crois qu’on a raté un truc dans les /@chiffrofete
On est resté uniquement sur le côté technique (pratique et théorique) mais on carrément loupé le créneau juridique…

@TosDR avait pas mal avancé sur ce côté-là, mais il n’y a jamais eu de sensibilisation du grand public à la (vraie) lecture des CGU, privacy policy & companie

Les gens résument aujourd’hui la vie privée à « c’est 🇫🇷 et la presse en a dit du bien ».

On l’a vu aussi très bien avec l’incendie d’OVH ou l’actualité ProtonMail… Les gens résument ces volets à :
1- ce qu’ils aimeraient bien avoir
2- ce qui en sort rapidement dans la presse (donc généralement de la pub/communication)

On est combien en vrai à aller auditer les bidules, décoder les ToS pour en faire une synthèse de ce qui ne va pas, aller gratter le vernis ?

Sans parler que de l’autre côté, on a aussi de gros quiproquos et incompréhensions de la réalité de « l’ennemi ». Combien de personnes ont en tête des choses extrêmement fausses concernant les GAFAM ?

@aeris

Tiens d'ailleurs sur l'email, je me souviens que tu expliquais que tout allait beaucoup mieux depuis que Gmail avait commencé à mettre le smtps partout (et avait forcé les autres à suivre).
Mais si j'ai bien pigé que smtps protège contre du sniff/du mitm mais pas du fournisseur mail, j'ai pas compris si le trajet entre le fournisseur de l'émetteur et celui du destinataire était complètement (et bien) chiffré ?

@aeris

En gros si on a confiance dans les deux opérateurs (mail chaton vers mail en imirhil.fr par example) est-ce que l'envoi d'un mail est maintenant sécurisé même non-chiffré avec GPG ?

@Iutech La réponse est non. STARTTLS est faillible à des tonnes de trucs extrêmement facile à mettre en œuvre.

@Iutech C’est du moindre mal, mais actuellement tu fallback en plain juste avec 2-3 sed sur un flux réseau.

@Iutech Il y a des moyens de durcir un peu le truc, mais ça suppose que les 2 communicants se connaissent et aient config ce qu’il faut pour rendre plus difficile un fallback.

@aeris

"communicants" tu veux dire les utilisateurs ou les fournisseurs mail ?

Follow

@Iutech En gros ça suppose d’activer DANE (donc de supporter DNSSec des 2 côtés), avec interdiction explicite du fallback vers plain en cas de soucis lors de la négociation (ce qui revient à ne pas tenir compte des RFC).

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!