Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Facebook lance le chiffrement de ses emails de notification avec GnuPG

Enfin des envois de mot de passe sûrs ?
Internet 3 min
Facebook lance le chiffrement de ses emails de notification avec GnuPG
Crédits : Anatoliy Babiy/iStock Editorial/Thinkstock

Facebook gère désormais le chiffrement des emails via GnuPG (GPG). Mais attention, le réseau social ne permet pour le moment de bénéficier de cette protection complémentaire que pour les emails de notification qu'il envoie à ses utilisateurs. Il est également possible d'afficher votre clef publique de manière à faciliter le fait de vous contacter de manière chiffrée.

Facebook a annoncé lundi une nouvelle fonction de sécurité à destination des utilisateurs les plus aguerris. Le réseau social permet désormais d'ajouter une clé de chiffrement GPG à son profil, pour la signaler à d'autres membres. 

Du besoin de faciliter l'échange de clefs publiques

Une manière comme une autre de certifier votre identité à des tiers, un peu à la manière de ce que propose depuis un moment keybase.io, mais sans vous permettre de vous assurer que le profil n'a pas été compromis et la clef affichée modifiée au passage, comme avec le principe du « tracking ».

Cela montre aussi que le principe des serveurs de clefs publiques et le seul « web of trust » ne sont pas suffisant ou pas assez exploités pour constituer une solution pour une utilisation par un large public. Cette nouveauté de Facebook aura au moins l'intérêt de proposer un premier pas dans l'univers de GPG . 

Pour rappel, il permet (entre autres) le chiffrement de messages via un système asymétrique à deux clefs : l'une est publique et permet de vous envoyer un message chiffré ou de vérifier un message que vous avez signé avec votre autre clef, privée. Si la première peut être largement distribuée, notamment à travers un profil sur les réseaux sociaux, la seconde doit être protégée. Selon The Register, les tentatives d'envoi d'une clé privée sont d'ailleurs bloquées par Facebook, de quoi rassurer les plus novices et leur éviter quelques désagréments.

Facebook veut vous permettre de vérifier qu'il est bien à l'origine d'un email

L'autre nouveauté proposée concerne le chiffrement des communications. Mais attention, il n'est pas question de vous proposer de converser avec vos amis en exploitant vos clefs respectives, tout du moins pas pour le moment. En effet, une fois la fonction « expérimentale » activée dans les paramètres de contact, seuls les messages « sécurisés » envoyés par Facebook seront chiffrés avec votre clé publique, et signés avec l'une des clés du réseau social afin de vous permettre de vous assurer de leur provenance. Une pratique dont on se demande pourquoi elle n'est pas plus largement utilisée afin de combattre le phising par exemple.

Techniquement, le service dispose d'une clé principale permanente et de sous-clés « opérationnelles », pour pouvoir multiplier les clés utilisées tout en maintenant une seule identité. Les messages sont chiffrés avec GnuPG (GPG), une implémentation libre d'OpenPGP, qui a démarré il y a 16 ans. En février, Facebook s'était engagé à financer le développement de GPG à hauteur de 50 000 dollars. Son créateur et principal développeur, Werner Koch, n'estimait plus son travail viable économiquement. Cet appel avait été entendu par plusieurs entreprises, dont Facebook, qui ont multiplié les annonces de financement.

En un sens, le réseau social a donc financé un outil qui lui est utile. Reste tout de même à voir quelle part des utilisateurs utiliseront cette nouvelle possibilité, qui s'appuie sur un système de chiffrement qui n'est pas des plus simples à utiliser au quotidien, même s'il est répandu.

34 commentaires
Avatar de math67 INpactien
Avatar de math67math67- 02/06/15 à 06:58:35

Signaler ce commentaire aux modérateurs :

" et signés avec l'une des clés du réseau social"

Donc en gros on génère les clefs chez facebook, et elles restent chez facebook ?
Super la sécurité :p
Si vous êtes interessés par le chiffrement de mail c'est facile, vous pouvez générer les clefs chez vous.
Après il y a engimail pour thunderbird qui possede plein d'option (chiffrement/signature automatique ...).
Beaucoup de clients libre prenne en compte openPGP

Avatar de gogo77 INpactien
Avatar de gogo77gogo77- 02/06/15 à 07:14:57

Signaler ce commentaire aux modérateurs :

math67 a écrit :

" et signés avec l'une des clés du réseau social"

Donc en gros on génère les clefs chez facebook, et elles restent chez facebook ?
Super la sécurité :p

Je vois pas le rapport. La signature permet simplement de vérifier que l'expéditeur est bien celui qu'il prétend être. En aucun cas les emails sont chiffrés avec des clefs fournies par facebook. Ils sont chiffrés avec ta clef publique que tu fournis toi même.

Avatar de nim65s Abonné
Avatar de nim65snim65s- 02/06/15 à 07:17:13

Signaler ce commentaire aux modérateurs :

Les messages envoyés par FB peuvent effectivement être signés… Mais pour l’instant, il n’y a pas de trust-path entre eux et moi, donc ça sert à rien. 

 Enfin, ils sont chiffrés, c’est déjà plutôt bien (et ils préviennent que du coup, si on perd sa clef privée, on perd aussi son compte, ce qui semble être un bon signe)

Avatar de xlp Abonné
Avatar de xlpxlp- 02/06/15 à 07:26:55

Signaler ce commentaire aux modérateurs :

Et même si ça semble bien peu populaire, Thunderbird prend en charge SMIME, d'origine, sans aucune extension. Et si vous voulez une clé, il est possible d'en obtenir une chez Comodo gratuitement (sinon faut avoir sa propre PKI, ce qui n'est pas non plus trop dur, mais devient plus geekesque).

Avatar de Agent Orange INpactien
Avatar de Agent OrangeAgent Orange- 02/06/15 à 08:15:13

Signaler ce commentaire aux modérateurs :

qui s'appuie sur un système de chiffrement qui n'est pas des plus simples à utiliser au quotidien, même s'il est répandu.

En fait c'est plutôt simple ! La difficulté vient du fait que les correspondants doivent tous avoir une paire de clés et qu'en général, ils s'en foutent complètement.

Avatar de eliumnick INpactien
Avatar de eliumnickeliumnick- 02/06/15 à 08:18:02

Signaler ce commentaire aux modérateurs :

Merci FB, encore une fois tu montres à quel point tu prends tes clients pour des buses ^^

Avatar de anonyme_2cd57f53cd6a58af895c155f5bf762e2 INpactien

Signaler ce commentaire aux modérateurs :

Très bonne initiative de FB qui va permettre (à moyen terme ) de populariser un peu plus le système de cryptographie asymétrique (à clé publique).

Avatar de marba Abonné
Avatar de marbamarba- 02/06/15 à 08:24:59

Signaler ce commentaire aux modérateurs :

eliumnick a écrit :

Merci FB, encore une fois tu montres à quel point tu prends tes clients pour des buses ^^

Tes produits*, pas tes clients. Les clients de Facebook sont les entreprises auxquelles Facebook vend de l'espace publicitaire ultra ciblé, ainsi que toutes les données des personnes inscrites sur fb.

Édité par marba le 02/06/2015 à 08:27
Avatar de eliumnick INpactien
Avatar de eliumnickeliumnick- 02/06/15 à 08:26:36

Signaler ce commentaire aux modérateurs :

marba a écrit :

Tes produits*, pas tes clients. Les clients de Facebook sont les entreprises auxquelles Facebook vend de l'espace publicitaire ultra ciblé.

Oui exact ^^

Avatar de eliumnick INpactien
Avatar de eliumnickeliumnick- 02/06/15 à 08:27:53

Signaler ce commentaire aux modérateurs :

BTCKnight a écrit :

Très bonne initiative de FB qui va permettre (à moyen terme ) de populariser un peu plus le système de cryptographie asymétrique (à clé publique).

Vraiment ? Pake en fait ils annoncent juste qu'ils vont chiffrer leur communication entre leur serveurs, et utiliser ta clé publique pour t'envoyer des notifications....

Si leur objectif n'était pas un effet d'annonce, il aurait simplement annoncé "on chiffre les communications entre nos serveurs" et c'est tout.

Il n'est plus possible de commenter cette actualité.
Page 1 / 4