Page 1 sur 21, 2 SuivantSécurité des mails

[jalex]

Bonjour,
Cela devait arriver. Une personne a utilisé mon adresse mail pour poster une "bonne blague" aux collègues de travail ... pas méchante, la plaisanterie, mais auteur très lourd ... et peu conscient de la gravité (juridique et éthique) d'une usurpation d'identité.
Au delà de l'anecdote et sans faire de parano.
Comment sécuriser ces mails // sous framabird
1/ Il me semble qu'il soit nécessaire de posséder un certificat permettant d'authentifié l'auteur du mail ? la signature ?
2/ Ce certificat serait "donné" par un tiers, une autorité ? Si oui lesquelles, laquelle?
3/ je suis chez laposte.net /// il semblerait que laposte de "traite" pas les mails cryptés ??
Dois-je changer de fournisseur de serveur mails ?
4/ Je sais lire, si vous avez une bonne adresse de tutoriels sur la question , je suis preneur.

Salutations merci

[Zitor]

Je n'utilise pas ce genre d'application donc je ne pourrais t'aider dans sa mise en fonctionnement :
- http://x-tnd.be/articles.php5?cat=securite&art=gnupg
- http://www.commentcamarche.net/contents ... ature.php3
J'espère que ... ca marche ... mais dans ton cas, je pense que si tu attaches une signature numérique a ta boite mail, et que quelqun reussi a s'identifier comme étant toi sur ce meme PC, je pense que ca envoie la signature avec ...

Un bon mot de passe + enlever toutes les connexions automatiques devrait suffire.

[Téthis]

J'espère que ... ca marche ... mais dans ton cas, je pense que si tu attaches une signature numérique a ta boite mail, et que quelqun reussi a s'identifier comme étant toi sur ce meme PC, je pense que ca envoie la signature avec ...

Si ça fonctionnait comme ça, il suffirait de recevoir un mail avec une signature électronique pour pouvoir usurper l'identité de l'expéditeur.

Non, ça ne fonctionne pas comme ça. C'est un peu plus compliqué.

Les webmails, c'est de la daube parce que c'est pratiquement impossible d'utiliser des solutions de chiffrement. Le courrier électronique « nu » (c-à-d sans chiffrement), c'est aussi sécurisé qu'une carte postale qu'on laisse traîner.

[pyg]

Comme le disait Téthis, c'est compliqué avec un webmail (et différent pour chaque webmail)

La bonne nouvelle, c'est que c'est beaucoup plus simple avec Framabird (notamment pour Windows) car on y a justement préintégré Enigmail+GPG.

Maintenant, signer ces mails c'est bien, mais comme la plupart des gens ne savent pas lire la signature, c'est assez simple à contourner en faisant un simple copier-coller. Cependant, si tu veux vraiment signer (voir chiffrer) tes courriers, c'est ce qu'il te faut.

1. Commence d'abord par sécuriser l'accès à ton client mail :
Outils > Options > sécurité > Mot de passe principal
A chaque ouverture de Thunderbird, tu devras saisir un mot de passe. Mais sans lui, pas d'accès direct à tes mails

2. ensuite enigmail
- Verifier qu'il est activé ( Outils > modules complémentaire > Enigmail)
- Menu openPGP > Gestion des clés > Générer nouvelle paire de clés
- pour la suite : http://rebellyon.info/IMG/pdf/tuto_enigmail.pdf

[Vulcain]

Bonjour,
Avant de passer par GPG, je m'étonne que l'on ai pu envoyer un couriel à votre nom. Il faut d'abord avoir de bon mot de passe (8 à 12 caractères) et pas laisser de session de son webmail/client de messagerie accessible à tous quand on s'éloigne de son ordi.

Vous pouvez avoir le meilleur coffre du monde, si vous laissé les clés à côté, cela ne servira à rien

[leviathan]

Avant de passer par GPG, je m'étonne que l'on ai pu envoyer un couriel à votre nom. Il faut d'abord avoir de bon mot de passe (8 à 12 caractères) et pas laisser de session de son webmail/client de messagerie accessible à tous quand on s'éloigne de son ordi.

Il est très simple voir enfantin d'envoyer un email en faisant croire que c'est une autre personne qui l'a envoyé.

Sous Thunderbird : Édition -> paramètres des comptes -> Gérer les identités -> Ajouter... Une fois l'adresse ajoutée on peut l'utiliser pour envoyer des mails
Avec un script php, c'est une ligne de code.

L'avantage de GPG, c'est que celui qui recevra le mail pourra vérifier que c'est bien le détenteur de la clé GPG qui a envoyé le mail sans se fier à l'adresse de provenance du mail.

[Vulcain]

Oui, mais contacter le serveur où sont stockés les courriels, il faut un de mot de passe, non ?

[fat115]

Il faut effectivement un mot de passe pour "relever" les mails (en POP3 ou en IMAP). Mais après on peut utiliser n'importe quel serveur d'envoi (SMTP).

Un exemple :
Tous les messages arrivant sur mon adresse pro (toto at ac-grenoble.fr pour l'exemple) sont redirigés vers une adresse perso dont je gère le serveur (chez moi, ce qui me permet de passer outre les limitations de stockage de ma boite pro), appelons la toto at fat115.com pour l'exemple encore.
Pour n'utiliser qu'une seule adresse, j'ai défini une identité selon la méthode indiquée par leviathan dans mes différents logiciels de messagerie (Thunderbird chez moi, Framabird au boulot).
Ainsi, lorsque j'envoie un mail avec mon adresse toto at fat115.com, il apparait comme étant envoyé par toto at ac-grenoble.fr. Et cela que je sois chez moi où j'utilise le serveur d'envoi de mon FAI (smtp.free.fr) ou au boulot où j'utilise le serveur d'envoi lié à mon compte pro (smtp.ac-grenoble.fr).
À aucun moment je n'ai eu besoin du mot de passe de toto at ac-grenoble.fr pour envoyer un message, pourtant pour le destinataire il semblera bien venir de cette adresse.

On voit tout de suite l'intérêt majeur de GPG qui permet de s'assurer de l'identité de l'expéditeur.

[Vulcain]

mon adresse pro (toto at ac-grenoble.fr [...] adresse perso toto at fat115.com [...]j'envoie un mail avec mon adresse toto at fat115.com, il apparait comme étant envoyé par toto at ac-grenoble.com

C'est pas plutôt .fr ??

fat115 at grenoble.fr pour envoyer un message,

Je ne sais pas d'où tu la sors celle-là car tu ne la pas cité précédemment. Emmèlage de pinceaux ??

Si j'ai bien compris, lorsque je tape mon mot de passe pour ouvrir un accès au protocole SMTP de mon service de messagerie, celui-ci ne fait que vérifier que j'existe bien dans sa base de donné et que mon mot de passe est bon?
Il ne regarde pas par la suite dans les entêtes des courriel si l'expéditeur correspond au couple utilisateur/mot_de_passe qui a ouvert la connexion avec le protocole SMTP.
De plus les autres services de messagerie ne s'étonnent pas de voir un courriel ayant Free.fr comme nom de domaine, venir d'un serveur dédié à la gestion des courriels d'orange.fr ?

J'ai bon ?

[toitoinebzh]

salut

l'envoi d'un mail fonctionne comme une lettre a la poste

tu peux écrire n'importe quelle adresse d'expéditeur (adresse du president, du pape ...) sur ta lettre, personne ne le vérifiera
il faut juste que l adresse du destinataire soit bonne

pour les mails c est pareil