Gmail : bientôt un chiffrement des mails de bout en bout avec PGP ?
Une source chez Google affirme que l'entreprise y travaille
Le 2014-04-26 17:07:55, par Stéphane le calme, Chroniqueur Actualités
Une source chez Google a rapporté à VentureBeat que l’entreprise travaille sur la prochaine évolution de son service de messagerie en matière de sécurité. Mountain View plancherait notamment sur l’intégration du protocole de chiffrement PGP (Pretty Good Privacy) qui permettrait, selon le site We Fight Censorship, de supprimer «toute possibilité d'interception. Vos e-mails sont chiffrés de bout en bout, et seul le destinataire du mail envoyé a la possibilité de le déchiffrer » bien que l’objet du message et les en-têtes ne sont pas chiffrés.
PGP offre « une plus grande protection que SSL/TLS parce que les données privées utilisateur ne peuvent pas être déchiffrées par l’entreprise ou pars un partie tiers, gouvernement compris » a affirmé l’EFF à VentureBeat. Ceci étant, le quotidien explique avoir contacté GPG Tools, l'éditeur de la solution de chiffrement pour Mac OS X du même nom, qui affirme avoir vu un bond dans les téléchargements la période juste après les premières révélations sur les programmes d’espionnage par la NSA. Précisons toutefois que ce boom n’a pas duré : dès le mois de septembre, les compteurs de téléchargement affichaient un retour à la normale.
PGP utilise le chiffrement symétrique et asymétrique. Pour ce dernier, 2 paires de clés (RSA ou DSA) sont utilisées et les correspondants échangent leurs clés publiques afin d'être en mesure d'authentifier l'émetteur du message qui a crypté un condensat du message au moyen de sa clé privée. Le processus, considéré par certains comme extrêmement sûr, s’avère être assez lourd ; seules les personnes averties savent le manipuler facilement. D'où l'idée de Google de faciliter son emploi.
Toutefois, une curieuse remarque peut être faite : les messages chiffrés par PGP ne peuvent pas être lus lors de leur cheminement sur le réseau. Pourtant, Google a affirmé ouvertement et a assumé analysés tous les messages reçus et envoyés via son service de messagerie afin de proposer à ses utilisateurs de la publicité contextuelle pertinente. Il est difficile d’imaginer l’entreprise abandonner la publicité ciblée pour proposer des annonces aléatoires.
De plus, Mountain View doit pouvoir répondre aux exigences de la législation et des autorités américaines, que ce soit dans le cadre du Patriot Act ou dans une quelconque enquête judiciaire nécessitant le déchiffrement des données dans le cadre d'un procès. Il lui faudrait donc détenir les clés pour déchiffrer.
Si Google envisage effectivement d'insérer PGP dans Gmail, il faudra voir comment l’entreprise compte mettre cette idée en œuvre.
Source : VentureBeat
Et vous ?
PGP offre « une plus grande protection que SSL/TLS parce que les données privées utilisateur ne peuvent pas être déchiffrées par l’entreprise ou pars un partie tiers, gouvernement compris » a affirmé l’EFF à VentureBeat. Ceci étant, le quotidien explique avoir contacté GPG Tools, l'éditeur de la solution de chiffrement pour Mac OS X du même nom, qui affirme avoir vu un bond dans les téléchargements la période juste après les premières révélations sur les programmes d’espionnage par la NSA. Précisons toutefois que ce boom n’a pas duré : dès le mois de septembre, les compteurs de téléchargement affichaient un retour à la normale.
PGP utilise le chiffrement symétrique et asymétrique. Pour ce dernier, 2 paires de clés (RSA ou DSA) sont utilisées et les correspondants échangent leurs clés publiques afin d'être en mesure d'authentifier l'émetteur du message qui a crypté un condensat du message au moyen de sa clé privée. Le processus, considéré par certains comme extrêmement sûr, s’avère être assez lourd ; seules les personnes averties savent le manipuler facilement. D'où l'idée de Google de faciliter son emploi.
Toutefois, une curieuse remarque peut être faite : les messages chiffrés par PGP ne peuvent pas être lus lors de leur cheminement sur le réseau. Pourtant, Google a affirmé ouvertement et a assumé analysés tous les messages reçus et envoyés via son service de messagerie afin de proposer à ses utilisateurs de la publicité contextuelle pertinente. Il est difficile d’imaginer l’entreprise abandonner la publicité ciblée pour proposer des annonces aléatoires.
De plus, Mountain View doit pouvoir répondre aux exigences de la législation et des autorités américaines, que ce soit dans le cadre du Patriot Act ou dans une quelconque enquête judiciaire nécessitant le déchiffrement des données dans le cadre d'un procès. Il lui faudrait donc détenir les clés pour déchiffrer.
Si Google envisage effectivement d'insérer PGP dans Gmail, il faudra voir comment l’entreprise compte mettre cette idée en œuvre.
Source : VentureBeat
Et vous ?
-
grigricMembre régulierle ver est déjà dans le fruit :o)
il veut être le seul à pouvoir les lire, il partage pas :o)le 04/06/2014 à 12:06 -
Si c'est eux qui le gèrent, alors ils peuvent tout faire, y compris scanner les messages ou les fournir à quelqu'un d'autre.
La véritable solution est de former les utilisateurs à utiliser eux-même un logiciel de chiffrement dont ils ont le contrôle total.le 27/04/2014 à 13:06 -
kOrt3xModérateurLa question est surtout, peut on encore faire confiance à Google ?le 27/04/2014 à 20:51
-
miky55Membre avertiPour le coté alarmiste, je pensais surtout aux autres messages non argumentés comme le tien qui disent en gros faut pas croire google, meme quand ils feignent l’honnêteté: "google is evil".
Je pense que meme si google a des contraintes légales qui le lie aux services Américains on peut quand meme penser qu'ils se soucient un minimum de la vie privée de leurs clients/utilisateurs et qu'il n'est pas complètement impossible que google ainsi que d'autres groupes Americains soient critiques vis à vis des agissement de la NSA.
Donc si ils affirment que le web devraient être plus sécurisé et qu'ils font des recherches dans ce sens ça ne peut être que positif.
Oui, bien sur et je ne m'en cache pas, c’était juste pour équilibrer le thread si tout le monde présume la mauvaise fois, je me fais avocat du diablele 28/04/2014 à 13:31 -
tiresias54Membre actif- google lis vos mails
- google propose de chiffrer vos mails de bout en bout
bizarre j'ai l'impression que ces deux propositions sont contradictoires.le 04/06/2014 à 10:54 -
miky55Membre avertiSi c'est de "bout en bout" c'est pas géré par leurs serveurs mais bien géré par un script coté client...
Si le projet se concrétise, l'idée est plus qu’intéressante, par contre nul doute que google a plus d'une flèche à son arc et qu'ils n'abandonnera pas les pubs ciblés. Peut être que les requêtes sur leur moteur de recherche leur apportent plus d'infos que les mails échangés par exemple.le 27/04/2014 à 14:07 -
Traroth2Membre émériteC'est quoi, le but ? Que Google et la NSA soient les seuls capables de nous espionner ?le 27/04/2014 à 22:50
-
ennadiMembre à l'essaiUtilisez bitmessage: https://bitmessage.org
Message peer to peer, cryptéle 28/04/2014 à 1:34 -
CarhibouxExpert éminent séniorBah oui sans doute. Ce serait un avantage stratégique énorme pour les USA et leurs alliés.
Et puis bon. On suppose surtout que Google aura forcément connaissance des clés privées de ses utilisateurs. En effet, j'imagine mal Gmail demander à ses utilisateurs de trimballer leur clé privée avec eux lorsqu'ils changent de machine. Je ne suis pas certain que tout le monde saurait par exemple mettre sa cle privée sur son smartphone, sa tablette, ses pc, etc...
Donc Google connaitra nos clés privées. Donc finalement, Google saura déchiffrer nos mails. Ce qui en soi réponds bien aux exigences des lois américaines.
N'empêche, cela pose quelques problèmes en terme de sécurité.
1) Soit la clé privée est initialement générée chez Alice sur une de ses machines, et est envoyé sur les serveurs de Google. Par quelle méthode? sera t'elle sécurisée? par quel protocole?
2) Soit le clé privée est générée par Google puis envoyé sur chacune des machines où Alice se connecte. Encore une fois se pose la question de savoir comment transférer de manière sure la clé privée des serveurs de Google vers chez Alice.
3) Si chaque machine où se connecte Alice reçoit la clé privée, alors il suffit de pirater les identifiants d'Alice pour récupérer sa clé privée. Or dans ce cas, le déchiffrement ne pose plus de problèmes.
Bref, je vois beaucoup de points critiques dans cette idée, mais nul doute que chez Google, ils y auront pensé aussi... non?le 28/04/2014 à 10:10 -
SammoMembre à l'essai
Bonjour,
Pourquoi ne pas stocker la clé à la manière des numéros de cartes bancaires avec un algorithme de Hachage en combinaison avec les identifiants déjà existant (compte et password )? De cette façon Google n'aurait pas connaissance des clés privées.
On sait bien que la sécurité absolue n'existe pas. C'est comme si on disait qu'il suffit de mouler la clé de ma maison pour pouvoir y entrer, encore faut-il y avoir accès
Le plus ici serait un renforcement du chiffrement des communications, bien sur si on accède aux identifiants c'est fini.le 28/04/2014 à 11:15