URGENT : Interception d'Email d'un domaine par des autorités

[ndiaz]

Bonjour,

Je voudrais savoir éviter qu'un gouvernement d'amerique latine ne puisse pas intercepter des mails d'un ONG de défense des droits de l'HOmme qui possède des adresses de type xxx@ong.org.

En effet grâce à des avocats qui ont eu accès au dossiers de justice , il s'avère que Demande officielle a été faite d'intercepter les mails provenant de cette organisation pour laquelle je travaille.

Ce qui pose des problèmes de sécurité et donc de protection des échanges entre l'ONG et ses contacts sur le terrain.

Il existe bien des outils de chiffrement mais c'est compliqué .

Il ya hushmail mais je n'ai pas de retour sur ce service.

Si quelqu'un peut m'orienter vers une solution : c'est pour la bonne cause.

Merci et à bientôt.

Nicolas

[ccnet]

Si vous vous penchez sur le fonctionnement du protocole smtp (et d'internet en général) vous comprendrez qu'il n'y a aucune solution au problème tel que vous le posez.

Il existe bien des outils de chiffrement mais c'est compliqué .

Compliqué ? C'est simplissime par rapport à votre demande initiale. La seule chose que vous puissiez faire c'est protéger le contenu de vos échanges par mails. Concrètement regardez un logiciel qui s'appelle PGP. C'est gratuit. Et on ne peut pas dire que ce soit très compliqué à utiliser.

[ndiaz]

Merci Beaucoup pour cette réponse rapide !!

cepdendant,

Compliqué ? C'est simplissime par rapport à votre demande initiale. La seule chose que vous puissiez faire c'est protéger le contenu de vos échanges par mails. Concrètement regardez un logiciel qui s'appelle PGP. C'est gratuit. Et on ne peut pas dire que ce soit très compliqué à utiliser.

Je note cela car c'est une question de formation des utilisateurs , il faut former tous les acteurs à l'utilisation de PGP , enigmail et cela nécessite du temps et de l'argent.

Et la situation est critique ...

Merci encore.

[ccnet]

Où l'on découvre que la sécurité est loin de n'être qu'une affaire de technologies, mais qu'elle est liée à une bonne dose de facteurs humains.

[ndiaz]

Que pensez-vous d'Hushmail

Cela peut correspondre à nos besoins pour un temps?

How Hushmail Works http://www.hushmail.com/about-how?PHPSESSID=www96789fd7b60f310e734ccdd0ed09ff7d

[ccnet]

Il utilise PGP. Je ne connais pas les détails de son implémentation. Son utilisation implique que vous fassiez confiance à un tiers. Ce qu'ils en disent :
Does Hush have access to my private keys?

When your private keys are stored on the Hushmail servers, they are encrypted with your passphrase. They are only decrypted when they have to be used. If you are using Java, your private keys are decrypted and used inside your browser. If you are not using Java, your private keys are decrypted on one of our secure server, used during your email session, and then discarded.

On y apprend que l'élément le plus sensible, votre clé privée est stockée, chez eux. Ensuite vous ne pouvez rien vérifier de ce qu'ils avancent. Donc d'un strict point de vue sécurité, on ne peut pas s'y fier.

[S0l0]

faut savoir a quel niveau se fait l'interception , si c'est direct sur les serveurs (serveur heberger dans ce pays) oui il faut crypter ses mails , si c'est a la connection sur le serveur (risque mitm) , crypter le canal est suffisant avec une formation quasi nulle (ne jamais clicque si il y a une pop-up blahlah ) et enfin la redirection de mail ^^ assez fun et casse pieds lol.

Sinon meme si tu securise la boite mail des membres de ong, je te conseil fortement d'en avoir deux par membre, un bidon dans lequel transitera regulierement des infos _sans_importance_ (donner l'impression qu'ils ont ceux qu'ils veulent) et un autres ou des infos strategique passe sans probleme.

[ccnet]

je ne vois pas comment il serait possible de crypter efficacement le canal dès lors que le serveur n'est pas sous le contrôle de l'ong. Pour information, il est trivial avec un serveur Postfix, de copier vers une boite choisie tout les mails traités. Il faudrait aussi pouvoir chiffrer le stockage.

[ndiaz]

Par exemple:

je suis un destinataire des courriers en ONG.org et je suis basé dans le pays où l'interception de ces mails est en vigueur.

Si je consulte mes mails via un webmail du type gmaiiil ou yyaahoo comment peuvent-ils intercepter le contenu ?

si je consulte ces mails sur un serveur de type groupware (felamimail) basé dans un pays tiers (ex FRANCE) peuvent-il intercepter le contenu ?

Je me pose des questions ... sont-elles stupides?

A bientôt et merci à vous 2 (ccnet et S0l0) !!

Nicolas

[ccnet]

Si je consulte mes mails via un webmail du type gmaiiil ou yyaahoo comment peuvent-ils intercepter le contenu ?

Il suffit de le demander je pense. Pour peu que le pays soit doté d'une loi un peu liberticide et que par ailleurs la règle de sociétés comme Goggle, Yahoo, Microsoft, Cisco, etc ... est : "Non respectons les lois des pays où nous nous trouvons". Nous savons depuis aussi que certains vont au delà puisque Google et Cisco, par exemple, prennent une part active à la censure d'internet en Chine.

si je consulte ces mails sur un serveur de type groupware (felamimail) basé dans un pays tiers (ex FRANCE)

Ce serveur fait partie de votre infrastructure ? Si non, je pense qu'ils peuvent obtenir satisfaction. Si oui, il faut encore sécuriser le transport depuis l'expéditeur jusqu'au destinataire. Les expéditeurs situés dans ce pays d'Amérique Latine utilisent nécessairement une infrastructure contrôlé par cet état. L'écoute est donc parfaitement possible.

Votre problème n'est pas de savoir comment vos mails sont interceptés. Votre problème est celui du modèle de confiance que vous devez adopter pour que le contenu ne soit pas accessible. Je ne vois que PGP, dans votre contexte, qui puisse donner une solution acceptable. Vous ne disposez pas d'un tiers autre à qui vous puissiez faire confiance. Pourquoi pgp ? Parce que son code est publique et qu'il a pu être analysé par toutes sortes d'experts en cryptographie depuis des années sans que l'on y décèle ni une faiblesse conceptuelle. ni une trappe.

[ndiaz]

Ce serveur fait partie de votre infrastructure ? Si non, je pense qu'ils peuvent obtenir satisfaction. Si oui, il faut encore sécuriser le transport depuis l'expéditeur jusqu'au destinataire. Les expéditeurs situés dans ce pays d'Amérique Latine utilisent nécessairement une infrastructure contrôlé par cet état. L'écoute est donc parfaitement possible.

Oui il peut être héberger par nos soins.

mais si l'utilisateur latino distant se connecte pour y consulter ces mails, son Provider peut scanner le contenu de ce qu'il consulte même si ce serveur est en https ??
[/quote]

[ccnet]

Vous ne pourrez pas empêcher l'écoute du trafic et sa capture. Par contre vous pourrez a priori conserver la confidentialité des contenus. Par contre vous ne pourrez cacher l'intensité de vos échanges et surtout leur variation ce qui est déjà une information. Le problème se déplace. Il vous faut être certain de la bonne gestion de votre serveur de mail, de sa défense. Autre problème plus critique : le stockage des mails sur les machines des utilisateurs. Ces machines doivent bien sur être bien protégées lors de leur accès à Internet.
L'utilisation d'un vpn Ipsec serait aussi une bonne solution mais son déploiement va vous poser problème.
Il reste enfin la façon dont tout cela est mis en oeuvre.

[S0l0]

J'ai pensait a toi ^^ http://www.romandie.com/ats/news/081206 ... z42bbe.asp

Si le pays en question utilise ce moyen , il va presque falloir un informaticien partout :/ car dans les attaques cibler comme ca , gloups!!!

Le probleme n'est pas de crypter la canal de comunication entre les clients et le serveur (pop3s imap4s smtps etcc...) voir de crypter le disque de stockage ( truecrypt ), le vrai probleme comme a chaque fois qui se pose dans ce type d'affaire c'est la distribution de cle , trouver un moyen suffisament sur pour que la cle de chiffrement ne se fasse pas subtiliser .

Si tu devais utiliser un webmail, gmail est plus conseiller que les autres, car possede du full SSL (communication et lecture des mails sslize ).
Mais si vous vous heberger c'est le top, prenez de preference un hebergement dans un pays qui a de mauvaise relation avec celui ou seront les membres(juste au cas ou).

si le pays en question a les moyens, ils mettrons directement une bretelle sur votre ligne telephonique (s'il y en a ) , donc si vous pouvez mettre votre propre onion ( tor ) ou proxy ssl en place c'est encore mieux ^^

[Franck78]

Ce qui pose des problèmes de sécurité et donc de protection des échanges entre l'ONG et ses contacts sur le terrain.

C'est assez surréaliste cette discussion. On dirait même un mauvais troll. Papa fait de l'espionnage!

C'est quoi le problème? Transmettre discrètement des messages à des contacts? S'assurer que n'importe qui accède à de l'information? Même ça n'est pas clair!

Ce qui est sur c'est que cela ne s'improvise pas et ne coute pas 'rien'. Le problème posé n'est pas que d'autres lisent le message mais n'empêche pas le destinataire de le recevoir.

Ainsi, le spam est un bon exemple: une tonne de $%#&! reçue noie efficament un mail anodin... pas si anodin. Juste un exemple. La mesure de base l'effacement de la source réelle de l'échange. Et l'effacement même du message=>Stéganographie.


Un grand classique de la littérature:

Je suis très émue de vous dire que j'ai
bien compris, l'autre jour, que vous avez
toujours une envie folle de me faire
danser. Je garde un souvenir de votre
baiser_ et je voudrais que ce soit
là une preuve que je puisse être aimée
par vous. Je suis prête à vous montrer mon
Affection toute désintéressée et sans cal-
cul_. Si vous voulez me voir ainsi
dévoiler, sans aucun artifice mon âme
toute nue, daignez donc me faire une visite
Et nous causerons en amis et en chemin.
Je vous prouverai que je suis la femme
sincère capable de vous offrir l'affection
la plus profonde et la plus étroite
Amitié, en un mot, la meilleure amie
que vous puissiez rêver. Puisque votre
âme est libre, alors que l'abandon où je
vis est bien long, bien dur et bien souvent
pénible, ami très cher, j'ai le coeur
gros, accourez vite et venez me le
fait oublier. À l'amour, je veux me sou-
mettre.


A priori, si vous n'avez pas compris que cette lettre en cache une autre, c'est beau, plein de poésie... Maintenant, lisez la première ligne et ensuite une ligne sur deux...

Alfred de Musset a répondu ceci :

Quand je vous jure, hélàs, un éternel hommage
Voulez-vous qu'un instant je change de language
Que ne puis-je, avec vous, goûter le vrai bonheur
Je vous aime, ô ma belle, et ma plume en délire
Couche sur le papier ce que je n'ose dire
Avec soin, de mes vers, lisez le premier mot
Vous saurez quel remède apporter à mes maux.

Pour les jeunots incultes, un vis est un beau membre.


Franck

[ccnet]

Le probleme n'est pas de crypter la canal de comunication entre les clients et le serveur (pop3s imap4s smtps etcc...) voir de crypter le disque de stockage ( truecrypt ), le vrai probleme comme a chaque fois qui se pose dans ce type d'affaire c'est la distribution de cle Think , trouver un moyen suffisament sur pour que la cle de chiffrement ne se fasse pas subtiliser .

Problème de rédaction ou méconnaissance de SSL ... Il n'y a pas de distribution de la clé de chiffrement a priori et encore moins en clair. C'est précisément ce problème qu'ont résolu Diffie et Hellman. La clé utilisée lors de chaque session est différente. Les solutions à base de PKI sont lentes. C'est pour cette raison qu'elles ne sont utilisé que lors de l'échange de clés. Cette clé sera "négociée" à chaque session.
L'attaque décrite dans le lien n'a rien à voir avec un quelconque problème conceptuelle de SSL. D'ailleurs l'article ne dit rien en fait. Si ce n'est que, encore une fois, la façon dont cela est réalisé n'est pas indifférente.