Est-il vraiment possible de créer des services de mail confidentiel?

Depuis les révélations de Snowden on voit proliférer les projets de services mail qui veulent offrir une confidentialité que le mail classique n’offrait pas (du moins pas facilement). Je ne proposerais pas ici d’entrer dans les détails de ces services mais simplement livrer quelques réflexion quant au concept qui me laisse quand même assez sceptique.

Que faut-il rendre confidentiel dans mail exactement? Il y a deux types d’informations à chiffrer pour rendre un mail confidentiel. D’abord le contenu du message lui-même mais aussi les informations concernant les correspondants (c’est à dire l’expéditeur et le destinataire).

En ce qui concerne la sécurisation du contenu ce n’est pas vraiment problématique. En se basant sur des technologies de chiffrement asymétrique on peut s’assurer assez facilement de la confidentialité d’un message. C’est déjà faisable actuellement avec un bon client mail, openPGP et un peu d’huile de coude. la grande difficulté est de rendre le mécanisme facile d’utilisation pour le plus grand nombre.

Le chiffrement des informations d’expédition pose lui bien plus de problèmes. Car, pour permettre le transfert d’un mail vers son expéditeur, il faut bien que le serveur destinataire ait accès à ces informations or à partir du moment où ce serveur a accès à ces informations il peut en faire ce qu’il veut; l’utiliser pour lui même comme le ferait un Gmail ou stocker les informations comme pourrait lui obliger les lois auxquelles il est soumis. Donc si vous sortez du contexte du service auquel vous êtes abonné il n’est plus possible de garantir la confidentialité de vos envois.

La principale conséquence est que vous esse obligé d’ouvrir un compte sur le même service que votre contact et cela pour chacun d’entre eux. Un autre risque que nous fait courir cette situation c’est la concentration. L’utilisation d’un nombre de services restreint même par de nombreux utilisateurs facililte énormément la pression politique où judiciaire (voire policière) qui mettent les données des untilisateurs en danger. (regardez l’affaire PRISM).

Dans ce contexte envisager un mail qui puisse être confidentiel me parait bien complexe si on tient absolument à se baser sur le système de messagerie existant. La solution serait à mon sens de changer radicalement mais ce n’est pas sans poser beaucoup de problème notamment au niveau de l’adoption ainsi que dans la définition de standards adéquat. D’ailleurs ça serait ma seule remarque concernant les projets existants c’est qu’ils s’orientent tous vers la mise en place de service plutôt que d’essayer de travailler sur des technologies et des standards.

Personnellement je pense qu’il faudrait plutôt voir du coté d’un système fonctionnant en mode pair à pair seul, à mon avis, capable de garantir la confidentialité des messages car la multiplication des sources en rend l’espionnage extrêmement difficile. Un proof of concept d’un service de microblogging en p2p existe d’ailleurs déjà ( http://twister.net.co/ ). Ce n’est qu’un exemple mais basé sur des composants des protocoles BitTorrent et BitCoins il me semble tout à fait possible de l’adapter pour un système de messagerie personnelle.

Petit retour de blog…

Je reviens sur ce blog après une longue absence mais je ne sais pas trop pour combien de temps nu sur quels sujets on verra l’inspiration… J’ai fait une mise à jour de ma galerie photo après avoir changé le plugin wordpress que j’utilisais. Comme je suis maintenant équipé d’un reflex ce sera probablement de ce coté là que les prochaines nouveautés se feront.

État de guerre

282px-Balance_justiceOn a vu ces derniers temps le monde du numérique s’opposer à plusieurs projet de loi ayant des conséquences sur l’internet ou pour ses acteurs. Il s’agissait notamment de la loi de programmation militaire et de la récente loi sur le renseignement.  Mais considérer ces lois uniquement dans le contexte numérique n’est-il pas une erreur. Ne sont-elles pas à placer dans un contexte plus large éclairant cette fois la relation entre l’état (notamment français mais je pense que l’on peut appliquer cette réflexion à tout les pays occidentaux) et les citoyens? Relations qui ici doivent se comprendre sous le sens de l’équilibre entre la force de l’état et les droits des citoyens.

Le reproche que l’on fait à ces lois est de placer dans les mains des services de polices ou de renseignement des outils qui permettent de mettre en place une surveillance massive des communications des citoyens sans aucun contrôle du pouvoir judiciaire. On a ici clairement des lois qui font pencher l’équilibre en faveur de l’état et au dépend des citoyens

Mais ces lois ne sont pas les seuls surtout si on s’écarte du secteur du numérique. Prenons celui de la justice et remontons en arrière, on rencontre alors les lois dites Perben et Perben II (du nom de l’ancien garde des sceaux) auxquelles on a reproché de diminuer fortement les droits de la défense. Dans le domaine de la sécurité aussi, on a vu beaucoup de loi qui ne consistait qu’a renforcer la répression et uniquement celle-ci, renforçant un peu plus le bras armé de l’état.

Si on continue à remonter le temps on rencontre aussi les tristement célèbres LSQ et DADVSI  qui ont marqués les premiers pas dans les tentatives législative de mettre au pas Internet.

Il ressort de tout ça une impression lourde, d’un coté on renforce la répression, de l’autre on s’attaque au droit de la défense (ie les droits des plus faibles), d’un autre encore on attaque le droit à la vie privé en facilitant la surveillance de masse sans contrôle judiciaire. La vue d’ensemble est terrifiante, l’état a-t-il si peur de ses concitoyens qu’ils doivent ainsi faire pencher la balance à son avantage?

Cette situation est d’autant plus effrayante qu’elle ne concerne pas que la France. Les USA ont largement ouvert la voie de l’espionnage de masse, avec la collaboration très large de plusieurs services d’état européens. L’Angleterre a été un maillon fort de ces dispositions.

Tout cela révèle une situation ou on est face à un vrai conflit qui va bien plus loin que celui des anciens contre les modernes comme ont pu le décrire certain. Et ce conflit va bien au delà de l’Internet.

De la à parler d’un état de guerre c’est peut-être un peu fort mais on n’en aura rarement été plus proche.

Faisons connaître les joies du #DataLove aux députés européens.

C’est une nouvelle initiative de la quadrature du net. Il s’agit d’inciter les parlementaires européen à mettre en œuvre une réforme positive du droit d’auteur en leurs faisant découvrir les nouveaux usages que permettent les outils numériques. Le principe est de leur remettre une clef USB pleine de contenu sous licence libre. Pour cela il ne manque qu’une chose : des sous. L’organisation a donc mis en place un projet de crowdfounding que tu pourras trouver là : http://www.ulule.com/datalove-usb/ avec toute les explications nécessaires. Petit détails plaisant les dons sont récompensés. Il y a aussi une vidéo de Jérémy Zimmerman (en anglais) expliquant tout ça à cette adresse : https://www.youtube.com/watch?v=u0DuOD2cqlk&

Et si tu n’as pas les sous pour participer tu peux aider en faisant circuler un maximum l’information : Fais chauffer ton compte twitter, facebook et tout ce que tu veux pour faire passer cette URL : http://www.ulule.com/datalove-usb/

Non réponse à la consultation du BEREC

Voici la non réponse que j’ai envoyé au BEREC (bureau européen en charge de la régulation des télécoms) pour leur dernières consultation publique sur la neutralité du net. Libre à vous de vous en inspirez pour envoyer la votre. L’adresse où écrire est : pm@berec.europa.eu

Pour plus de détails sur le pourquoi de cette non-réponse voir la publication de la quadrature du net http://www.laquadrature.net/fr/node/5962

Mesdames, Messieurs.

Je vous contacte dans le cadre de la consultation sur la neutralité du
net. Je ne répondrai pas au questionnaire que vous avez diffusé car je
pense que vous avez déjà les réponses.

La neutralité du  réseau en Europe est menacée, vous le savez. Une
étude récente menée par vos services le montre
(http://erg.eu.int/doc/consult/bor_12_30_tm-i_snapshot.pdf), les
témoignages publiés sur respectmynet.eu aussi ; La neutralité du net
est, en europe, une illusion.

Il n’est plus temps de discuter, il n’est plus temps d’espérer qu’une
concurrence libre et non-faussée (totalement faussée par le manque de
compréhension du problème par les consommateurs) privilégie les acteurs
qui la respecteraient. Il est temps de réellement la protéger de la
seule manière efficace qu’il soit : par la loi.

En comptant sur vous pour que cessent ces atermoiements afin que
l’ensemble des européens puisse profiter d’un véritable Internet neutre
et ouvert.

Cybook Horizon : Petit retour.

Je suis depuis quelques temps possesseur d’une liseuse. Un cybook Horizon de chez bookeen. Em voici en petit retour.

Globalement que du bon

.Je dois dire que je suis plutôt fan à la fois du concept et du produit en lui-même. L’écran (de technologie e-ink) est lisible dans bien des conditions où un écran LCD classique aurait baissé les bras. la lecture est très confortable. Certes l’écran tactile n’est certainement pas ce qui se fait de plus réactif mais c’est largement suffisant pour l’usage (le Cybook Odyssey doit être meilleur sur ce plan). Le logiciel utilisé dessus est en grande partie construit sur du logiciel libre (il utilise un noyau Gnu/Linux) seul un logiciel qui fait la lecture est propriété Adobe, logique c’est pour supporter les DRM adobe qui sont en train de s’imposer dans le domaine de l’édition numérique. Le nombre de format supporté est plutôt large et à mon avis largement suffisant. Et il lit les epub (avec et sans DRM) contrairement à d’autres grand noms du marché.

Une fois branché sur l’ordinateur la liseuse est vu comme une clef USB il suffit donc d’y déposer vos fichiers ou vous le voulez le cybook se débrouillera ensuite avec ça. C’est d’ailleurs le seul moyen de classer ses livres et c’est plutôt dommage (détail sur le seul vrai point noir à venir).Mais vous pouvez très bien vous procurez vos livres directement depuis le Cybook grâce au bookeenstore accessible sur internet via Wifi. Pratique pour les vacances sans ordinateur. À noter aussi que FeedBooks et le projet gutenberg sont eux aussi directement accessible via le Cybook1

Une précision, il existe deux sortes d’extinction de l’appareil, une, l’extinction complète, n’est accessible que via les menu et demande un redémarrage complet qui nécessite une vingtaine de secondes environ et l’autre, l’arrêt immédiat, permet un redémarrage cette fois instantanée avec retour sur la dernière page lue ; le redémarrage complet lui, vous ramène sur la page d’accueil. Il faut savoir que branché sur l’ordinateur en état «arrêt rapide» permet de continuer à utiliser le lecteur mais le rend inaccessible du PC. Détail appréciable ; le connecteur USB utilisé est du même type que celui présent sur les smartphones2 votre chargeur sera donc utilisable pour le charger sans ordinateur.

Le point noir.

Venons en maintenant aux point noir de cette machine qui est en fait un problème logiciel. Quand vous parcourez la librairie contenue dans votre liseuse vous ne possédez aucun moyen de filtrer ou de faire des recherches. Vous pouvez juste décider de trier sur différent critère (nom de l’auteur, nom de fichier, titre) mais pas de filtrer. Impossible de n’afficher que les livres de tel auteur ou de tel genre ni même de faire une recherche. C’est vraiment dommage car ça complique pas mal la navigation dans l’ensemble des livres qui peut devenir très lourde pour peu que le nombre de livre augmente.3 Ma solution est de classer les livres dans une arborescence de dossier genre/auteur/série/ ; Ça ne règle pas tout mais c’est la solution la moins pire.

Conclusion

Pour conclure je dirais que c’est globalement un bon produit, si vous lisez régulièrement, et êtes dubitatif sur les systèmes fermé comme peut l’être le Kindle la gamme Cybook est une bonne solution pour des prix de plus relativement correctes.


  1. c’est en fait un accès direct à la version mobile de leurs site 

  2. mini ou micro USB, je ne sais plus 

  3. rappel 2000 livres rien qu’avec le stockage interne 

Ubuntu Web App bonne idée ou pas?

Je teste depuis quelques temps une nouveauté qui devrait normalement être disponible dans la prochaine version d’ubuntu les «Ubuntu Web App». Le principe de celles ci est de permettre, via des extensions du navigateur web (pour l’instant Firefox et Chromiun), à différents services web de venir s’intégrer au bureau via Unity. Vous trouverez dans cet article (en anglais) la liste des services supportés pour l’instant. Pour résumer ces services s’intègrent dans le bureau par l’intermédiaire de deux mécanismes : le dock unity et les notifications. Au moment où vous vous rendez sur ce site il vous pose gentiment la question si vous voulez qu’il s’intègre, à vous de répondre oui ou non. La gestion se faisant par l’intermédiaire du service de «comptes en lignes» disponible dans Gnome3 sur lequel s’appuie Unity.

CORRECTION : Ce projet étant en phase de développement très actif tout cela peut changer beaucoup et rapidement.

À l’utilisation

Même si je trouve l’idée générale asse sympathique (malgré quelques réserves que j’exposerais plus tard) il faut bien reconnaître que ce n’est pas si enthousiasmant à l’usage. Avoir des lanceurs spécifiques pour les services web que l’on utilise souvent pourquoi pas mais les avoir dans des onglets épinglés dans Firefox est tout aussi pratique et au moins ils sont ouverts tout le temps. De plus en utilisant ces lanceurs ça ouvre une fenêtre de navigateur supplémentaire au lieu d’un onglet, c’est loin d’être vraiment pratiques.

Deux points sont plus intéressants je trouve : l’affichage des Google docs dans le dash (pour ceux qui l’utilisent ça peut être pratique) et l’intégration dans Shotwell d’une fonctionnalité qui permet d’envoyer plus facilement ses photos sur picassaweb (et Google Plus en même temps)

Tout cela passe par une extension du navigateur donc les notifications ne sont disponibles que si celui-ci est démarré, mais dans ce cas elles  perdent largement de leurs intérêt puisque vous avez les services directement accessible dans un onglet qui se signale quand le contenu a changé. Dans ce contexte m’indiquer le nombre de nouveau tweet alors que j’ai ma page twitter dans l’onglet à coté est peu utile.

Le principe

L’idée de base peut sembler intéressante mais hormis sa réalisation peu attirante elle soulève aussi un problème. On a encore une fois un mécanisme qui participe à la minitelisation d’internet. Ce n’est pas internet avec tout son choix de service que l’on amène sur notre bureau ce sont encore une fois les grands services centralisateurs que l’on nous propose. De plus en faisant le choix de l’extension de navigateur j’ai peur que ce système ne soit pas facilement extensible. J’ai espéré un moment qu’a la manière d’un greasemonkey on puisse ajouter des services via des scripts perso mais je n’ai rien trouvé de tel.

CORRECTION : je viens de tomber sur cette page qui explique comment on peut intégrer n’importe quel site web dans Unity. Ça lève au final pas mal de doutes.

On a donc une idée qui peut sembler séduisante dont la mise en œuvre est loin d’être enthousiasmante et qui n’est pas sans poser des problèmes.

Pour ceux qui voudraient tester il est possible de passer par un ppa pour l’utiliser dans Ubuntu 12.04

sudo add-apt-repository ppa:webapps/preview
sudo apt-get update
sudo apt-get install unity-webapps-preview
sudo apt-get upgrade

Rassurez vous thunderbird n’est pas mort on le met juste dans le coma…

Il y a quelques temps est sorti sur les internets une nouvelle de taille : La fondation Mozilla cesse le développement de nouveautés pour Thunderbird. Elle continuera d’en assurer la maintenance, le suivi de l’intégration du moteur gecko, la correction des failles ainsi que le suivi et l’intégration du code issu de la communauté mais elle ne s’occupera plus de proposer des nouveautés comptant sur la communauté pour cela. Tout cela associé à un discours qui espère nous faire croire que ce n’est pas un enterrement. Non effectivement dans les faits ça n’en est pas un en réalité c’est une mise en comma artificiel ce qui revient plus ou moins au même. Si la fondation Mozilla comme elle l’affirme ne veut pas laisser tomber Thunderbird elle doit assumer le boulot qui va avec.

Un logiciel qui ne propose plus de nouveauté est un logiciel condamné à terme plus ou moins long…

Il est vrai que le secteur des clients mail est beaucoup moins exigent du point de vue nouveauté que ce qu’il peut être demandé à un navigateur web mais le manque de nouveauté ne risque-t-il pas de lasser les utilisateurs? Voir même est-ce que ça ne jetterait pas le doute sur la capacité de la Fondation à faire évoluer ses produits? L’utilisateur qui patiente (parfois depuis longtemps) en attendant telle ou telle innovation précise (une meilleure gestion des mailing-list par exemple) ne risque-t-il pas de penser qu’elle n’arrivera jamais s’il ne voit aucune autre nouveauté arriver?

Certes la MOFO va continuer à assurer la gestion du projet mais croire que la communauté permettra de fournir le boulot nécessaire est, à mon sens, une erreur. Ça n’est pas que je ne fasse pas confiance à la communauté existante (je ne la connais pas du tout en fait) mais j’ai du mal à croire qu’elle puisse avoir le dynamisme nécessaire. Thunderbird n’est malheureusement pas comme Firefox. Son peu de succès médiatique comparé à son frère navigateur se reflète évidemment dans sa communauté.

Honnêtement j’espère qu’ils ont a fait le bon choix et qu’ils arriveront au bout de ce qu’elle veut mais j’ai des doutes. J’ai peur que la mobilisation de la communauté ne soit pas suffisante pour permettre une survie réelle du projet.

À noter d’ailleurs ce billet de Cyrille Borne qui étend ses interrogations à Firefox. Même si je trouve qu’il va un peu loin dans le raisonnement il n’est pas forcément tout à fait faux. La MOFO entérinerait-elle le passage aux webmails ? Si c’est le cas c’est une grave erreur.

Informatique, Internet , Logiciels libres, photographie et petites histoires.