Aperçu du mashup credit de l'image: Email Self Defense - la fondation du logiciel libre.
Ceci est un épisode continu dans ma série de tutoriels sur la confidentialité et la sécurité du courrier électronique. Les épisodes précédents détaillent une variété de façons de chiffrer et de sécuriser votre courrier électronique. Cet épisode traitera de la manière dont nous, les technologues, pouvons reconstruire le courrier électronique à l'ère numérique..
L’importance de la confidentialité des e-mails m’a récemment frappé lorsque j’ai envoyé des courriels à mes amis au sujet de mon diagnostic de tumeur cérébrale. Il n’existait pas de moyen facile de passer le mot sans partager une note très personnelle avec des serveurs de messagerie pour Gmail, Hotmail, Yahoo, Comcast et Apple (.me). Tout semblant d'intimité à ce moment-là était purement illusoire. La plupart des courriels que j'ai échangés avec des prestataires de soins de santé au cours des semaines suivantes seraient également très instables..
Plutôt que de discuter de la manière dont le courrier électronique peut être amélioré pour renforcer la sécurité, je déclare qu'il est fondamentalement altéré et qu'il est nécessaire de le réviser à l'ère des communications numériques modernes..
Dans ce didacticiel, je vais décrire le brouillage des courriers électroniques et évoquer les principes d'Apple Pay, le nouveau système de paiement mobile de l'entreprise, qui pourraient être utilisés pour créer une infrastructure de messagerie moderne offrant une sécurité de bout en bout. Toute l'inspiration d'Apple Pay n'est pas technique. L'une de ses principales forces réside dans le fait que l'on se concentre moins sur les bénéfices des entreprises et la collecte de données que sur le bénéfice des consommateurs avec des transactions plus rapides, plus sûres et plus privées..
N'oubliez pas que je participe aux discussions ci-dessous. Si vous avez une question ou une suggestion de sujet, veuillez poster un commentaire ci-dessous. Vous pouvez également m'envoyer un message sur Twitter @reifman ou envoyer un e-mail directement.
La confidentialité et la sécurité du courrier électronique sont fondamentalement brisées. La grande majorité des courriels que nous envoyons flottent sur Internet sans être chiffrés en texte brut.
Dans l'un ne se contente pas d'envoyer un courrier électronique, le journaliste Quinn Norton écrit:
[Email] n'a pas de sécurité réseau conçue du tout. C'est en partie parce que ce que nous utilisons pour le courrier électronique était censé être une mesure temporaire, un palliatif alors que le véritable protocole était développé. C'était en 1982. Une petite mise à jour a eu lieu en 2008, mais le courrier électronique reste profondément insécurisé..
La plupart des fournisseurs de services de messagerie Web gratuits tels que Google voient leurs utilisateurs comme des produits et non des personnes. Gmail est gratuit, il peut donc en apprendre autant sur nous que sur son activité publicitaire..
Si vous utilisez un hôte de messagerie commun tel que celui de Google, tous vos messages y sont accessibles, ainsi que ses moteurs d'analyse internes et tout gouvernement disposant d'un accès illégal ou approuvé par un tribunal. Les e-mails sortants que vous avez envoyés à des utilisateurs d'autres hôtes de messagerie peuvent être relativement facilement récupérés grâce à une surveillance ou à un accès similaire..
Votre adresse IP est enregistrée lorsque vous accédez et envoyez des messages, fournissant une trace partielle de votre emplacement physique (si cela n’est pas déjà enregistré par les fournisseurs de services de votre téléphone portable)..
En fait, le simple fait d’accéder à des courriels et d’envoyer des courriels avec votre téléphone ouvre des vecteurs d’attaque supplémentaires: votre opérateur de téléphonie mobile, un fournisseur de services de sauvegarde tel que iCloud ou la surveillance forcée à la douane lors d’un contrôle frontière. Par exemple, au début de l’année, un représentant de T-Mobile m’a appelé pour répondre à «Un mensonge véridique: Dix mensonges» T-Mobile m'a parlé de mon plan de traitement des données et m'a effrayé alors qu'il décrivait avec désinvolture les domaines communs auxquels j'accédais. mon téléphone.
Compte tenu de ces faiblesses, tout ce que vous écrivez dans un email est susceptible d'être découvert pour toujours. Et il n'y a aucun moyen de savoir si, quand, comment et par qui votre courriel a été consulté.
De plus, les messages peuvent être modifiés et falsifiés par des imposteurs (comme avec un homme au centre de l'attaque). Le courrier électronique peut être utilisé pour vous exposer à des attaques de phishing et livrer des chevaux de Troie. Comme Norton le dit, "le courrier électronique est une chose dangereuse".
Crédit d'image Email Self Defense - la fondation du logiciel libre
Le chiffrement à clé publique reste assez difficile à configurer et à utiliser. Même si vous en êtes capable, la plupart des personnes avec lesquelles vous écrivez régulièrement ne le seront probablement pas. Si vous avez lu mes tutoriels, vous vous en êtes probablement déjà rendu compte. Il est difficile de faire en sorte que nos amis commencent à l'utiliser et difficile à utiliser régulièrement.
Même utilisé correctement, le cryptage ne protège en aucun cas l'identité des personnes avec lesquelles vous envoyez des messages électroniques, à moins qu'elles n'utilisent des adresses électroniques anonymes et ne se connectent à l'aide d'un service tel que TOR. Les enveloppes de message restent ouvertes.
Apple Pay n’est pas un système de messagerie, mais il fournit une inspiration conceptuelle pour un système de messagerie plus sécurisé. Voici quelques-unes des choses pour lesquelles nous pouvons apprendre. Pour en savoir plus, consultez l’aperçu Sécurité et confidentialité Apple Pay..
Apple a pris des mesures avec Apple Pay pour améliorer nos vies, rendant les achats plus rapides, plus faciles et plus privés, sans chercher à maximiser ses profits. Ils ont contesté le statu quo des fournisseurs de cartes de crédit sans scrupules et l'ont fait en pensant au consommateur. Il s'agissait d'un changement d'orientation dans le développement des types de services qui composent le tissu de notre vie quotidienne..
Apple Pay adopte une approche équilibrée et à long terme pour redéfinir et déployer les paiements, indiquant comment un fournisseur unique peut fournir un service sécurisé au mieux des intérêts de ses clients..
Si nous appliquons certains des principes d’Apple Pay à un système de messagerie respectueux de la vie privée, il offrirait des fonctionnalités similaires:
Certes, il existe des fournisseurs qui essaient de déplacer la messagerie dans cette direction.
Nos précédents épisodes vous ont guidé tout au long de l'utilisation de modules complémentaires tiers pour chiffrer des messages, tels que GPG Tools et Keybase, un nouveau répertoire public de clés vérifiables. Et l'application Signal de Whisper Systems fournit une messagerie cryptée et des appels.
Lavabit a déjà proposé un système de messagerie sécurisé offrant plusieurs de ces fonctionnalités, mais son fondateur l'a fermé plutôt que de faire face à la menace d'un accès complet du gouvernement. Silent Circle a fait de même.
Mais maintenant, les fondateurs de ces systèmes de courrier inspirés, axés sur la confidentialité, sont de retour.
Dark Mail Alliance regroupe les fondateurs de ces deux sociétés, Silent Circle et Lavabit, qui s'efforcent de mettre en place un système de messagerie sécurisé et privé qui pousse le secteur à soutenir des normes ouvertes qui offrent des protections communes du respect de la vie privée dans le secteur. moi d'Apple Pay.
Apporter au monde notre protocole crypté de bout en bout unique et notre architecture constituant la «prochaine génération» de courrier électronique privé et sécurisé. En tant que partenaires fondateurs de The Dark Mail Technical Alliance, Silent Circle et Lavabit s'emploieront à intégrer d'autres membres à l'alliance, à les aider à mettre en œuvre le nouveau protocole et à travailler conjointement à la prolifération du premier 'Email 3.0' crypté de bout en bout au monde. à travers les fournisseurs de messagerie du monde. Notre objectif est d'ouvrir le protocole et l'architecture en source et d'aider les autres utilisateurs à mettre en œuvre cette nouvelle technologie afin de répondre aux préoccupations en matière de protection de la vie privée contre toute surveillance.
L'équipe semble faire de solides progrès. Vous pouvez consulter son architecture et ses spécifications d’environnement Internet Mail (pdf) dans lesquelles Levison dédie son projet à la National Security Agency:
Et vous pouvez regarder sa présentation de DEF CON 22 sur Dark Mail:
ZDNet a récemment signalé que les premiers fournisseurs de Dark Mail arriveraient bientôt. Levison a déclaré: "Parce que beaucoup de temps a été consacré au développement des protocoles de courrier en noir, quelqu'un d'autre pourrait avoir plus de chance de prendre le code source ouvert et de mettre en place le premier fournisseur de messagerie en courrier noir."
Apple Pay a établi un précédent selon lequel il est judicieux d'agir correctement auprès des consommateurs. Il est à espérer que d'autres sociétés envisageront ouvertement d'adopter le support Dark Mail. Pour le moment, nous regardons et attendons sans aucune confidentialité de messagerie de routine.
N'hésitez pas à poster vos questions et commentaires ci-dessous. Vous pouvez également me joindre sur Twitter @reifman ou m'envoyer un courriel directement. Vous pouvez trouver mes autres tutoriels en parcourant ma page d'instructeur Envato Tuts +.