Re: Thunderbird 78.3 avec Enigmail ?
Jean Bernon a écrit :
> L'ensemble me semble sûr ?
Plusieurs points me chagrinent dans la démarche de Thunderbird.
Le premier et le plus important est de principe. La cryptographie est un
savoir-faire à part entière et des plus pointus. Les outils fournissant
ce service sont critiques. Ils doivent être robustes, fiables et sûrs,
car ils sont la clé de voûte de trois fonctions essentielles :
* L'authentification
* La signature (et le contrôle d'intégrité)
* Le chiffrement
Or, Thunderbird est notoirement en manque de contributeurs et se lancer
dans un tel chantier quand on manque de ressources est déraisonnable,
d'autant plus que nous disposons déjà de briques cryptographiques
éprouvées.
En outre, Thunderbird offre un large éventail de fonctions. Il expose
donc une surface d'attaque bien plus grande qu'un outil se limitant à la
cryptographie. Si j'ai choisi de confier mes identifiants d'accès à mes
comptes en ligne à KeePassXC plutôt qu'à Firefox, c'est parce que j'ai
plus confiance en un outil dédié qu'en un outil se livrant à une
surenchère fonctionnelle tout azimut avec ses concurrents.
Mon dernier grief concerne le choix de protéger l'acès aux clés privées
par le mot de passe maître de Thunderbird. Une fois celui-ci saisi, les
secrets stockés par Thunderbird sont utilisables sans entrave tant que
Thunderbird est ouvert. Si l'utilisateur oublie de verrouiller sa
session avant de s'éloigner de son poste, un tiers peut envoyer des
messages signés à son insu ou lire ses messages chiffrés. À contrario,
GnuPG me demande de saisir le mot de passe verrouillant ma clé à chaque
fois que je veux signer ou déchiffrer un message et Enigmail oublie le
mot de passe au bout de 5 minutes. C'est bien plus sûr.
Sébastien
--
Sébastien Dinot, sebastien.dinot@free.fr
http://www.palabritudes.net/
Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !
Reply to: