Un mail c'est une carte postale

Criterium

Je profite de l'insuccès du topic "Anonymat, sécurité, cryptographie", d'ailleurs à vocation généraliste, pour parler des mails et de la sécurité des mails. Je ne vais pas rentrer dans les détails, un spécialiste de la chose comme servlet pourra le faire bien mieux que moi, simple mortel.

En gros, l'envoi d'informations sur Internet (l'appel pour visiter un site, l'envoi d'un mail, la réponse du serveur du site, etc..) se base sur la notion de "paquets"; chaque paquet contient un petit bout d'information et surtout un en-tête signalant le destinataire du paquet et optionnellement un plus ou moins grand nombre d'informations (sur le paquet, l'expéditeur, etc). Ces paquets sont envoyés en respectant un certain protocole Internet (HTTP,HTTPS,FTP, autres..); il faut savoir que ces protocoles ne sont généralement pas cryptés (l'exception notable étant le HTTPS, le S étant important, abbréviation de SSL, c'est le protocole utilisé pour la plupart des sites marchands et bancaires, lorsque l'on envoie ou reçoit des données confidentielles). Le point important, c'est donc qu'un mail, envoyé selon un protocole tout à fait bateau, est donc écrit "en clair" dans le/les paquet(s). Pour trouver leur chemin les paquets transitent par un grand nombre de serveurs, qui redirigent ces paquets jusqu'à trouver le destinataire. En principe, ces paquets qui ne nous sont pas adressés sont ré-envoyés ailleurs et détruits sur la machine n'étant pas le destinataire. Cependant, rien de plus simple que d'enregistrer ces paquets.

Et c'est là où les choses deviennent plus intéressantes: dans le cas d'un mail, on accède ainsi facilement à l'expéditeur, au destinataire, et à tout le contenu en clair du mail. Un mail, c'est comme une carte postale qui transite sur les tableaux d'affichage public d'une ville à l'autre.

Une petite aide logicielle et il devient facile de scruter ces paquets et d'en tirer automatiquement d'éventuels mot de passes et données confidentielles.

Etiez-vous conscients de cela?
Que pensez-vous du coup du cryptage des mails?

Papillon

Eponine · Posté le: Jeu Juil 02, 2009 18:23 pm Sujet du message:

Disons que je ne mets rien de "privé" dans mes mails, donc j'avoue que le fait qu'ils puissent être "interceptés" ne m'affole pas plus que ça. D'autant qu'au fond, j'envoie finalement peu de mails. Avec Facebook, MSN et le reste, ça fait bien longtemps que je n'utilise plus ça pour "communiquer".

Frosties · Membre Inscrit le: 29 Juin 2009 Messages: 109

C'pas nouveau. T'façon sur la toile, peu de choses passent inaperçues, faut s'y faire.

Invité · Posté le: Jeu Juil 02, 2009 19:32 pm Sujet du message:

Mais le cryptage des mails n'est- pas lui aussi inefficace ?
Je veux dire, de nos jours, des individus sont capables de mettre au point des logiciels ou des algorithmes pour briser n'importe quels cryptages.

Le cryptage parfait existe t-il ?!

Comment peut-on devenir le récepteur des paquets qui doivent être détruit ?

Criterium · Posté le: Jeu Juil 02, 2009 19:41 pm Sujet du message:

Tu ne connais manifestement pas grand-chose en cryptage Shocked

Des cryptages n'ayant jamais été décryptés, et ayant été utilisé avec succès en conditions de guerre, existent; cela va de l'histoire un peu romantique des interprètes navajos, au cryptage asymétrique actuel (si la clé est de taille suffisante); ce dernier ne sera décryptable en un temps acceptable (décrypter un message en un mois, en un an ou en mille ans est inacceptable) que lorsque l'on trouvera un meilleur algorithme de factorisation des nombres premiers. Bref, en conclusion, il est tout à fait possible, pour n'importe qui sur la toile, d'utiliser un cryptage de puissance "militaire", indécryptable.

C'est là que vient le problème: (i) personne ne crypte ou presque (ii) quand il est plus facile d'aller physiquement dans l'appartement de la personne et lire ses mails, pourquoi perdre du temps à essayer de les décrypter? (iii) quand il est plus facile d'extorquer une information par persuasion, par argent, par torture, par n'importe quel moyen aisé, pourquoi perdre du temps à essayer de les décrypter? On se retrouve en gros dans la situation d'un appartement classique dont la porte principale fait 3 mètres d'acier protégée par un mot de passe de 16 chiffres: au lieu de forcer la porte, on casse le mur. Idea

Pour réceptionner des paquets, je vais te faire la même réponse que tu as fait à je-ne-sais-plus-qui: google est ton ami. Et je ne veux certainement pas que l'on me soupçonne de te fournir des informations que tu pourrais utiliser hors du cadre de la loi, c'est interdit par le règlement de Genaisse.
Papillon

(Je te conseille pour te faire une première idée au sujet du cryptage le petit livre de poche Histoire des codes secrets de Simon Singh)

Invité · Posté le: Ven Juil 03, 2009 00:42 am Sujet du message:

Invité · Posté le: Ven Juil 03, 2009 00:53 am Sujet du message:

il te conseille en gros de "sniffer" la communication http ... un truc de geek, mais qui marche très bien

disons que nous nous branchons tous les 2 sur le même réseau local, tu ouvres ta boîte mail via http (gmail par exemple et tu envoies un mail) ... eh bien je suis capable de récupérer ce mail de même que que je peux récupérer toutes tes communications internet en clair (c'est à dire quasi toutes tes communications internet sauf quelques communications sécurisées : par exemple les paiements bancaires, etc ...)

comment est-ce possible ? tout circule en clair avec le protocole internet

comment t'en protéger ? impossible