Bonjour et merci pour votre commentaire. Je n'ai pas de réponse pour l'instant. C'est intéressant que cette annonce ait été faite ; ont-ils aussi dit pourquoi ils ne l'avaient pas encore fait, quels étaient les obstacles ?
Pour être plus clair, Meredith Whittaker a dit qu'elle n'obéirait pas à la loi, pas qu'elle quitterait volontairement le marché européen. C'est important, parce que ça pose la question de se qui se passerait après : il est difficile d'interdire un logiciel libre, et pas très commode non plus de filtrer ses serveurs (le plus évident est de juste dire à Google et Apple de retirer l'app de leurs app stores). Et ça étale bien l'hypocrisie de toute la manip : c'est que c'est tellement trivial à contourner que c'est un règlement qui va être appliqué de façon complètement sélective aux moyens de communication qu'on a envie de contrôler, et donc juste créateur d'insécurité juridique.
Intéressant, il faudra que je me renseigne mieux sur XMPP. Et votre article futur sur Matrix m'intéresse, n'hésitez pas à poster le lien ici quand vous l'aurez écrit !
Ce n'est pas un problème pour l'usage des
réseaux sociaux, c'en est un pour remplacer l'email car j'ai besoin de
conserver les emails que je reçois sur le long terme, je serais embêté
si certains disparaissaient parce que l'hébergeur de l'expéditeur n'est
plus disponible.
Avec XMPP les messages sont conservés sur les appareils. La plupart des
serveurs supprimment les messages après un certain délai. Matrix
présente de grandes failles en terme de sécurité, j'ai l'intention
d'écrire un article sur le sujet.
Merci pour votre commentaire, et désolé de répondre tard. Il est concevable
que des extensions des protocoles puissent transformer des réseaux sociaux
décentralisés existants en outils de communication personnelle, mais en l'état
je n'en vois aucun qui pourrait remplir ce rôle. Par exemple, sur Mastodon
(celui que je connais le mieux), les messages qu'on vous envoie restent stockés
sur le serveur de l'expéditeur. Ce n'est pas un problème pour l'usage des
réseaux sociaux, c'en est un pour remplacer l'email car j'ai besoin de conserver
les emails que je reçois sur le long terme, je serais embêté si certains
disparaissaient parce que l'hébergeur de l'expéditeur n'est plus disponible.
Quant à XMPP et Matrix, je n'y connais pas grand-chose mais j'ai cru comprendre
qu'ils étaient vraiment tournés vers la messagerie instantanée.
Bonjour Jean,
J'ai lu avec beaucoup d'attention votre article sur les emails et je
vous rejoins sur tous les points cités.
Avec tous les réseaux sociaux libres et décentralisé qui existent
(beaucoup trop à mon goût) il n'y aurait pas déjà un, voir plusieurs,
remplaçants acceptables ?
Il me semble (je n'en suis pas certain) que la clé privée de France Identité est uniquement stockée dans la puce de la carte d'identité. Enfin, il faudrait que je me renseigne.
Aussi, il faut que ce soit facile à mettre à jour, et inviolable, dans la même veine que : si mon mot de passe fuite, je peux le changer, si mon emprunte digitale fuite, je suis foutu.
Ça, c'est pas faux, et j'avoue que je n'y avais pas pensé. Il faudrait sans doute des protections de type RGPD pour que les sites doivent accepter aussi les adresses anonymes. Enfin, il faudrait que je réfléchisse aux conséquences de ce type plus sérieusement.
Je comprends tout à fait, mais je pense que ça ne fournira pas une solution pérenne. Il y aura toujours plein d'arnaques et ce qu'il faut faire c'est éduquer à leur sujet (ne jamais payer de rançons, ne pas faire confiance aux mails douteux, vérifier par un autre canal si possible, etc.) Bien sûr que les mails importants soient signés serait très pertinent mais l'authentification des personnes privées, j'en doute.
Ça me fait penser à l'adolescent de y a un ou deux ans qui avait été embobiné par un brouteur qui le faisait chanter, il a demandé de l'argent à ses parents pour le payer (sans leur dire pourquoi évidemment ; plusieurs centaines d'euros), ils ont refusé et du coup il s'est suicidé parce que le brouteur menaçait de divulguer des photos intimes (je ne sais plus si le brouteur en avait pour de vrai ou faisait juste semblant) 😢
Alors petite anecdote personnelle : le jour où j'en ai reçu un quand j'étais plus jeune (peut-être en seconde), j'étais complètement paniqué. N'ayant jamais regardé de porno, je voyais bien que c'était forcément pipo, mais le fait qu'il semble provenir de ma propre adresse m'affolait vraiment (évidemment, je n'avais pas la compréhension technique que j'ai aujourd'hui).
Par exemple, un site internet pourrait exiger une preuve d'identité alors qu'il n'en a pas besoin. Ce serait facile si tout le monde avait à sa disposition une preuve d'identité liée à son mail.
Après, sur l'extension à d'autres domaines, j'ai un peu de mal à imaginer ce que ça donnerait parce que pour moi c'est évident que ça n'a rien à voir par exemple avec les réseaux sociaux, mais je sous-estime peut-être la capacité à séparer les débats.
Moi les spams que je reçois c'est surtout des newsletters auxquelles je ne me suis pas abonné et des mails de prospection commerciale non sollicités.
Par ailleurs, pour les mails du type "j'ai pris le contrôle de ton ordinateur", c'est du bon sens de ne pas payer les pirates, rien à voir avec une éventuelle authentification. Quant aux mails frauduleux soi-disant d'une banque, je suis tout à fait d'accord qu'un mécanisme type PGP serait très utile, mais une banque c'est pas un citoyen lambda.
Sur ce dernier point, on ne doit pas recevoir les mêmes spams 🙂 Sur mon adresse perso, j'en ai très peu (un peu miraculeusement car elle circule de manière publique à certains endroits, notamment des commits Git), mais je suis admin de plusieurs mailing lists, où j'en vois passer une vingtaine par jour, et il y a plein d'usurpations d'identité dans le lot, même si elles sont loin d'être majoritaires :
— Les mails qui prétendent que ton compte mail va être bloqué si tu ne fais pas une « authentification de sécurité », ou que tu as des messages non délivrés en attente et qu'il faut te connecter à ton webmail pour les voir, qui cherchent obtenir le mot de passe de ta boîte mail. (Ok, c'est l'identité d'une organisation qui est usurpée, pas d'une personne, j'aurais pu en parler mais je commençais à fatiguer.)
— Les « information confidentielle reçue de la Banque Postale / Crédit mutuel / etc. , connectez-vous pour lire le message. » pour te dérober tes identifiants bancaires.
— Les emails qui semblent venir de l'adresse même du destinataire : « J'ai pris le contrôle de ton ordinateur, et pour preuve, je t'envoie ce message depuis ta propre adresse. J'ai pris un enregistrement de ta webcam où on te voit regardant du porno, tu as le choix de me verser tant sur ce portefeuille Bitcoin ou que j'envoie cette vidéo à tous tes contacts. »
— Et une fois, il y a eu une vague de spams envoyés directement à des membres avec comme From: des adresses de têtes connues sur ces listes (dont ma propre adresse). Avec des liens « document partagé avec vous », mais je n'ai pas cliqué pour savoir quel type d'arnaque c'était.
Plusieurs remarques :
Pour le format des mails, je pense que markdown serait pas mal ;
Pour les threads, il faudrait surtout une structure de DAG ;
Pour l'authentification je suis contre :
Si une procédure d'authentification existe, il sera quasiment impossible d'empêcher son extension à tous les domaines.
C'est probablement impossible à mettre en œuvre a un niveau international.
Il est très rare d'avoir des mails qui se font passer pour quelqu'un d'autre. Quand ma grand-mère s'est fait arnaquer, c'est sa belle-sœur qui lui demandait soi-disant de l'argent. L'adresse mail était la même mais avec un i doublé, ce qui se voit peu, mais le champ From: était correct. Et ce qui aurait dû lui mettre la puce à l'oreille c'est qu'elle lui demande par mail 1000€ alors qu'elles se voient régulièrement et qu'elle aurait vérifier par téléphone, pas le i en trop.
Commentaire de Pileum sur Lettre au ministère de l'intérieur (21 octobre 2024 à 03:14)
Non, je ne me rappelle pas de tels détails.
Commentaire de Jean Abou Samra sur Lettre au ministère de l'intérieur (19 octobre 2024 à 16:25)
Bonjour et merci pour votre commentaire. Je n'ai pas de réponse pour l'instant. C'est intéressant que cette annonce ait été faite ; ont-ils aussi dit pourquoi ils ne l'avaient pas encore fait, quels étaient les obstacles ?
Commentaire de Pileum sur Lettre au ministère de l'intérieur (19 octobre 2024 à 00:17)
Merci d'avoir pris le temps d'envoyer ce courrier, avez-vous reçu leur réponse ?
Je souhaite ajouter que, lors d'un webinaire organisé par France Identite le mardi 20 février 2024 (https://www.linkedin.com/posts/programme-interminist-riel-france-identit-num-rique_webinaire-de-pr%C3%A9sentation-de-lapplication-activity-7164259958732046336-y_WF), la question de l'ouverture des codes sources a été posée lors de la séance de questions/réponses. Florent TOURNOIS, directeur de projet France Identité, a répondu que cela était prévu prochainement.
Commentaire de Gro-Tsen sur Pourquoi est-ce que personne ne parle du chat control ? (9 octobre 2024 à 23:42)
Pour être plus clair, Meredith Whittaker a dit qu'elle n'obéirait pas à la loi, pas qu'elle quitterait volontairement le marché européen. C'est important, parce que ça pose la question de se qui se passerait après : il est difficile d'interdire un logiciel libre, et pas très commode non plus de filtrer ses serveurs (le plus évident est de juste dire à Google et Apple de retirer l'app de leurs app stores). Et ça étale bien l'hypocrisie de toute la manip : c'est que c'est tellement trivial à contourner que c'est un règlement qui va être appliqué de façon complètement sélective aux moyens de communication qu'on a envie de contrôler, et donc juste créateur d'insécurité juridique.
Commentaire de zonetuto sur Pourquoi est-ce que personne ne parle du chat control ? (9 octobre 2024 à 09:27)
Article très intéressant et détaillé merci beaucoup, je ne connaissais pas l'existence du Chat Control ...
Commentaire de Jean Abou Samra sur Email et désespoir (7 octobre 2024 à 11:34)
Intéressant, il faudra que je me renseigne mieux sur XMPP. Et votre article futur sur Matrix m'intéresse, n'hésitez pas à poster le lien ici quand vous l'aurez écrit !
Commentaire de Djan Gicquel sur Email et désespoir (7 octobre 2024 à 07:54)
Avec XMPP les messages sont conservés sur les appareils. La plupart des serveurs supprimment les messages après un certain délai. Matrix présente de grandes failles en terme de sécurité, j'ai l'intention d'écrire un article sur le sujet.
Commentaire de Jean Abou Samra sur Email et désespoir (2 octobre 2024 à 11:53)
Merci pour votre commentaire, et désolé de répondre tard. Il est concevable que des extensions des protocoles puissent transformer des réseaux sociaux décentralisés existants en outils de communication personnelle, mais en l'état je n'en vois aucun qui pourrait remplir ce rôle. Par exemple, sur Mastodon (celui que je connais le mieux), les messages qu'on vous envoie restent stockés sur le serveur de l'expéditeur. Ce n'est pas un problème pour l'usage des réseaux sociaux, c'en est un pour remplacer l'email car j'ai besoin de conserver les emails que je reçois sur le long terme, je serais embêté si certains disparaissaient parce que l'hébergeur de l'expéditeur n'est plus disponible.
Quant à XMPP et Matrix, je n'y connais pas grand-chose mais j'ai cru comprendre qu'ils étaient vraiment tournés vers la messagerie instantanée.
Commentaire de Djan Gicquel sur Email et désespoir (23 septembre 2024 à 09:11)
Bonjour Jean, J'ai lu avec beaucoup d'attention votre article sur les emails et je vous rejoins sur tous les points cités.
Avec tous les réseaux sociaux libres et décentralisé qui existent (beaucoup trop à mon goût) il n'y aurait pas déjà un, voir plusieurs, remplaçants acceptables ?
Commentaire de Jean Abou Samra sur Email et désespoir (11 juin 2024 à 23:44)
Il me semble (je n'en suis pas certain) que la clé privée de France Identité est uniquement stockée dans la puce de la carte d'identité. Enfin, il faudrait que je me renseigne.
Commentaire de Informatheux sur Email et désespoir (11 juin 2024 à 23:41)
Aussi, il faut que ce soit facile à mettre à jour, et inviolable, dans la même veine que : si mon mot de passe fuite, je peux le changer, si mon emprunte digitale fuite, je suis foutu.
Commentaire de Jean Abou Samra sur Email et désespoir (11 juin 2024 à 23:40)
Ça, c'est pas faux, et j'avoue que je n'y avais pas pensé. Il faudrait sans doute des protections de type RGPD pour que les sites doivent accepter aussi les adresses anonymes. Enfin, il faudrait que je réfléchisse aux conséquences de ce type plus sérieusement.
Commentaire de Informatheux sur Email et désespoir (11 juin 2024 à 23:39)
Je comprends tout à fait, mais je pense que ça ne fournira pas une solution pérenne. Il y aura toujours plein d'arnaques et ce qu'il faut faire c'est éduquer à leur sujet (ne jamais payer de rançons, ne pas faire confiance aux mails douteux, vérifier par un autre canal si possible, etc.) Bien sûr que les mails importants soient signés serait très pertinent mais l'authentification des personnes privées, j'en doute.
Ça me fait penser à l'adolescent de y a un ou deux ans qui avait été embobiné par un brouteur qui le faisait chanter, il a demandé de l'argent à ses parents pour le payer (sans leur dire pourquoi évidemment ; plusieurs centaines d'euros), ils ont refusé et du coup il s'est suicidé parce que le brouteur menaçait de divulguer des photos intimes (je ne sais plus si le brouteur en avait pour de vrai ou faisait juste semblant) 😢
Commentaire de Jean Abou Samra sur Email et désespoir (11 juin 2024 à 23:32)
Alors petite anecdote personnelle : le jour où j'en ai reçu un quand j'étais plus jeune (peut-être en seconde), j'étais complètement paniqué. N'ayant jamais regardé de porno, je voyais bien que c'était forcément pipo, mais le fait qu'il semble provenir de ma propre adresse m'affolait vraiment (évidemment, je n'avais pas la compréhension technique que j'ai aujourd'hui).
Commentaire de Informatheux sur Email et désespoir (11 juin 2024 à 23:31)
Par exemple, un site internet pourrait exiger une preuve d'identité alors qu'il n'en a pas besoin. Ce serait facile si tout le monde avait à sa disposition une preuve d'identité liée à son mail.
Commentaire de Jean Abou Samra sur Email et désespoir (11 juin 2024 à 23:29)
Après, sur l'extension à d'autres domaines, j'ai un peu de mal à imaginer ce que ça donnerait parce que pour moi c'est évident que ça n'a rien à voir par exemple avec les réseaux sociaux, mais je sous-estime peut-être la capacité à séparer les débats.
Commentaire de Informatheux sur Email et désespoir (11 juin 2024 à 23:27)
Moi les spams que je reçois c'est surtout des newsletters auxquelles je ne me suis pas abonné et des mails de prospection commerciale non sollicités.
Par ailleurs, pour les mails du type "j'ai pris le contrôle de ton ordinateur", c'est du bon sens de ne pas payer les pirates, rien à voir avec une éventuelle authentification. Quant aux mails frauduleux soi-disant d'une banque, je suis tout à fait d'accord qu'un mécanisme type PGP serait très utile, mais une banque c'est pas un citoyen lambda.
Commentaire de Jean Abou Samra sur Email et désespoir (11 juin 2024 à 23:26)
Sur ce dernier point, on ne doit pas recevoir les mêmes spams 🙂 Sur mon adresse perso, j'en ai très peu (un peu miraculeusement car elle circule de manière publique à certains endroits, notamment des commits Git), mais je suis admin de plusieurs mailing lists, où j'en vois passer une vingtaine par jour, et il y a plein d'usurpations d'identité dans le lot, même si elles sont loin d'être majoritaires :
— Les mails qui prétendent que ton compte mail va être bloqué si tu ne fais pas une « authentification de sécurité », ou que tu as des messages non délivrés en attente et qu'il faut te connecter à ton webmail pour les voir, qui cherchent obtenir le mot de passe de ta boîte mail. (Ok, c'est l'identité d'une organisation qui est usurpée, pas d'une personne, j'aurais pu en parler mais je commençais à fatiguer.)
— Les « information confidentielle reçue de la Banque Postale / Crédit mutuel / etc. , connectez-vous pour lire le message. » pour te dérober tes identifiants bancaires.
— Les emails qui semblent venir de l'adresse même du destinataire : « J'ai pris le contrôle de ton ordinateur, et pour preuve, je t'envoie ce message depuis ta propre adresse. J'ai pris un enregistrement de ta webcam où on te voit regardant du porno, tu as le choix de me verser tant sur ce portefeuille Bitcoin ou que j'envoie cette vidéo à tous tes contacts. »
— Et une fois, il y a eu une vague de spams envoyés directement à des membres avec comme From: des adresses de têtes connues sur ces listes (dont ma propre adresse). Avec des liens « document partagé avec vous », mais je n'ai pas cliqué pour savoir quel type d'arnaque c'était.
Commentaire de Informatheux sur Email et désespoir (11 juin 2024 à 19:36)
Plusieurs remarques : Pour le format des mails, je pense que markdown serait pas mal ;
Pour les threads, il faudrait surtout une structure de DAG ;
Pour l'authentification je suis contre :