HasturSoft

Bonjour,

Je souhaite mettre en place de la sécurisation des échanges par e-mail entre les membres d'une association. J'entends par "sécurisation": signature électronique et chiffrement. Donc, mise en place de certificats...
La population est hétéroclite en terme de systèmes utilisés (Win, Mac, Linux) et de compétences en informatique, allant d'un niveau très faible (copier/coller tout juste maitrisé) à "débrouillard", surtout pour les quelques utilisateurs de Linux. Mais le gros de la troupe est d'un niveau "utilisateur moyen", sachant à peu près installer un logiciel et utilisant les standards de Windows, voire OpenOffice, Firefox et Thunderbird pour les plus téméraires.
J'ai déjà une première interrogation sur le type de certificats à utiliser: pgp ou X509... ? Je voudrais que mes utilisateurs aient le moins de choses à gérer (déjà qu'ils ne sont pas tout à fait convaincus de l'utilité et de l'importance du bazar...). Ceci plaiderait, me semble t-il, mais toute remarque sera la bienvenue, pour une infrastructure PKI avec CA spécifique pour l'asso, gérée par un volontaire (au hasard, moi !) qui générerait et enverrait les certificats aux membres.
En effet, avec pgp, j'ai testé des outils (pgp4Win par exemple) qui ont l'air assez simple, mais qui nécessitent l'installation du logiciel et des plugins pour les clients messagerie chez tout le monde... Pas gagné, surtout que chacun devra se générer et se gérer son certificat. De plus, pgp ne semble pas garantir l'identité: rien ne m'empêche d'ouvrir un compte mail franck-sinatra@hotmail.com, me faire un certificat pgp à ce nom, et signer tous mes courriers du nom de cet honorable star !
Avec une PKI centralisée, il me semble que chacun "n'a qu'à" installer le certificat de la CA + le sien , ce qui devrait se faire simplement en double-cliquant dessus.
Par contre, du point de vue de la CA, il faut gérer la CRL , le renouvellement des certificats et l'identité des demandeurs de certificat (ce dernier point, ça devrait aller!). J'ai testé des générateurs de certificats X501, pas de pb, par contre ça ne gère pas la CRL ni le renouvellement des certificats; la dessus je ne trouve que openssl, et là, bonjour l'usine à gaz !
Bon, donc en gros mes questions: 1/ choix entre pgp et X501: est-ce une bonne idée de choisir X501 avec PKI centralisée ? 2/ existe t-il un outil simple pour faire le reste du travail de CA ? Merci d'avance de vos lumières !

En terme de solutions simples et gratuites, je pense que vous avez fait le tour.
Et oui, openssl est bien mais trop usine a gaz pour vos utilisateurs.

Pour la gestion des CRL, cela demande à ce que vous ayez un hébergeur avec la compatibilité SSL (ce qui n'est pas évident à moindre coût).
Concernant la protection, c'est un sujet effectivement ardu.

Si on revient à votre demande de départ qui est de crypter et assurer l'origine d'un message entrant et si vous ne nécessitez pas d'une protection "secret-défense", ce que je peux vous proposer comme solution "simple", gratuite et accessible à pratiquement tous vos membres. C'est le compactage des données (source donc sous forme d'un ou de plusieurs fichiers word, excel, openoffice, etc...) avec option de cryptage (par exemple avec 7Z http://hastursoft.free.fr/outils/archiver-zipper-et-decompresser-t111.html).

Vous aurez donc au préalable échangé (par téléphone, courrier postal, etc.) la clé de chiffrage/déchiffrage avec tous vos membres.

Le fichier ainsi crypté et protégé pourra être échangé par mail "normal", ou sur des sites de partage de données. (dl.free.fr, dropbox, etc.)

Donc, seul un contenu crypté avec la clé (mot de passe) de votre association pourra être lu par les membres de l'association. Ce qui répond de façon détournée à votre "signature" du message partant.

Espérant, que cela réponde à votre problématique.
Je laisse cependant le sujet ouvert afin que des membres puissent éventuellement proposer d'autres solutions.

Merci d'avoir sélectionné mon sujet;
je pense que la sécurisation des e-mails devient un enjeu majeur pour préserver notre intimité, notre confidentialité, notre liberté de citoyens, etc...
Vous l'aviez abordé dans un de vos posts sur le générateur de certificats X509, et c'est d'ailleurs de là que je suis parti.
Les révélations de MM Snowden, Assange, et d'autres, le fait que gogole reconnaisse que sa messagerie gmail est ouverte à tous les vents (http://www.lepoint.fr/high-tech-interne ... 241_47.php), l'évidence que quand une grosse firme à milliards vous "offre gratuitement" un compte de messagerie et un espace de stokage pour vos messages, vu ce que ça leur coûte pour le gérer, c'est VOUS le produit et que ce que contiennent vos messages a une valeur commerciale qui paie grassement ce service, tout cela nous montre à quel point il temps de nous réveiller et de nous protéger.
Le problème, c'est que ce n'est pas simple du tout, autant du point de vue humain -il est très difficile de faire prendre conscience à des non-informaticiens qu'ils ne sont pas protégés par leur écran (au fait, les informaticiens en sont-ils tous convaincus ?) , que du point de vue technique -les solutions proposées n'étant pas du tout évidentes à comprendre et à mettre en oeuvre pour les non-initiés (et même pour les initiés, cf: openssl !).
Quand je dis à mes correspondants qui racontent leur vie privée par e-mail que c'est à peu près comme si ils affichaient leurs messages sur la place du marché (c'est à peine exagéré), ils deviennent verts... mais s'empressent de recommencer le lendemain, peut-être faute d'outil commode et "transparent".
D'où mon idée de leur en proposer un !
Parce que, après avoir essayé avec 3 personnes "de base", l'idée majeure est que l'outil mis en place doit être transparent. Il faut qu'ils n'aient rien à faire ! Sinon, au mieux ils se trompent, au pire ils ne font pas. A la limite, une case à cocher ou à décocher. Pas plus.
Donc l'idée de la compression chiffrée avec mdp sur serveur est séduisante mais tout à fait hors de portée pour la plupart des gens. Ils ne feront pas, c'est clair. De plus ce que dit Pierre à Paul ne regarde pas forcément Jacques, et n'est pas forcément dans un document. Donc grand merci pour l'effort de réflexion et la suggestion, mais là, dans mon cas, c'est mission impossible !
Je m'oriente vers le chiffrement par clé publique/privée, car si le principe est peu complexe (bien que l'analogie avec le cadenas ouvert envoyé à tous le monde et la clé du cadenas qu'on est seul à posséder ne marche pas trop mal), la mise en oeuvre est assez simple, puisque c'est le client de messagerie qui fait tout, si on l'a bien configuré.
Le choix entre X509 et pgp découle du même principe: avec pgp (en fait openpgp), le niveau d'implication de l'utilisateur final est trop élevé (installation du logiciel type gpg4win + le plug-in + génération et gestion du certificat...) . avec X509, tout est natif dans les clients de messagerie, outlook, Tbird, etc..
Je pense donc que je vais travailler avec des certificats gratuits délivrés par CAcert (http://www.cacert.org/). C'est un peu contraignant pour celui qui doit gérer le bazar (moi-même), mais assez facile à mettre en oeuvre. D'autant qu'il semble qu'ils offrent un service pour les organisations, type associations, je dois me renseigner un peu plus là dessus. Le gros avantage est que quand le système est en place, il peut être utilisé de manière générale et pas seulement dans le cadre de l'asso: les mails échangés avec votre avocat, votre médecin, etc peuvent aussi être sécurisés.
Voila où j'en suis, j'espère que cet échange servira à d'autres membres du forum ! Si vous souhaitez, je vous tiendrai au courant de l'avancement. Et n'oublions jamais: Big Brother is Watching You !!

Effectivement, le plus difficile reste la protection intuitive, comme vous le dites avec juste une case à cocher.

En terme d'applications, il est clair que seules les solutions Open Source permettent de s'affranchir des risque de portes dérobées pour accéder à vos données.

Dans les solutions parallèles souvent utilisées dans les associations, reste encore le "Forum" - comme celui-ci - que vous pouvez administrer vous même sur un serveur que vous louerez à l'année entre 15€ et 20€ par an. Parce que si vous passez par des forums gratuits du genre xooit, vous co-administrez, et les pages se doivent d'être majoritairement libres pour que la publicité rapporte aux loueurs.

Dans le cas d'un serveur en location (avec réservation du nom de domaine), vous avez une solution intermédiaire, et là rien de nous empêche de gérer comme vous le souhaitez les accès à vos pages en fonction de droits que vous avez octroyés personnellement en tant qu'administrateur.

Les bases de données, bien que souvent non cryptées, ne sont accessibles que par l'administrateur (vous) avec des requêtes spécifiques, par un accès sécurisé. Donc si vous ne rendez pas les pages accessibles à tous, personnes ne les verra (ni les bots explorateurs de sites).

Après quid de la confidentialité de l'hébergeur lui-même, mais bon, devant la multiplication exponentielle des données échangées chaque années, Big Brother ne peut plus/pas tout regarder (difficulté d'intercepter les communications parallèles par les jeux en ligne, les transferts directs de données, etc...) et se contente déjà de regarder l'homme qui a vu l'homme qui a vu l'homme qui a vu l'ours dans sa quête de recherche et pas tout un chacun.

Enfin, le nec plus ultra sur la base des forum, est d'avoir vous même votre propre serveur (un "simple" PC) et une bonne appli open source pour faire tourner PHP, puis installer un forum. L'inconvénient du système, c'est que le PC doit tourner 24h / 24h et principalement 365 jours par an, même lorsque vous êtes en vacances. Avec la gestion des sauvegardes, de bon pare feux et antivirus, cela devient vitre très contraignant. Et le principe d'une association, est qu'elle doit tourner même lorsque vous tombez malade ou partez en vacances...

Bonne chance pour la suite de votre quête du graal, et oui, je pense que nos membres comme nos lecteurs non inscrits pourront être intéressés par votre progression.

Bien cordialement.