Comment et pourquoi chiffrer ses mails

Plan en bref :

• fournisseurs de boites mail
• usage du mail
• chiffrement de mail

Slides :

• atelierchiffrersesmails06062019.pdf (pas tout à fait à jour, quelques remaniements faits après l'atelier)
• Dépot Git : mycelium-public (contient les sources du support, version à jour, améliorable)

Modalités :

• inscription souhaitée

Pré-requis:

• prévoir un switch et des cables. La MRES dispose d'un réseau wifi et une prise ethernet dans la salle Agora mais prévoir du dépannage (4G).
• prévoir un vidéo-projecteur, un tableau ou des feuilles paperboard
• prévoir des clés Tails qui permet d'avoir un environnement clé en main avec Thunderbird + Enigmail

• faire comprendre (un peu) le fonctionnement du mail et ses enjeux
• permettre aux personnes d'améliorer leur confidentialité
• rendre les personnes autonomes sur les outils sur lesquels on les formes
• apprendre aux gens à chiffrer leurs mails
• aborder la question des fournisseurs de mail
• donner envie d'un autre atelier (sur un autre sujet)

• Accueil, avec le sourire
• Tour de table rapide (prénom + avez-vous déjà chiffré un mail ?)
• Présentation rapide de l'asso Mycelium
• Présentation de Lille Radiée et/ou autres collectifs
• Présentation du contenu de l'atelier :
  • On va présenter un moyen possible parmi d'autres pour communiquer sur Internet : le mail (il en existe d'autres, qu'on n'abordera pas, tous ont leurs avantages / inconvénients)
  • On va prendre la parole ~40 min pour expliquer ce qu'est un mail, les enjeux qui sont liées au mails
  • On explique qu'échapper à la surveillance est un ensemble de pratiques et que ce qu'on propose aujourd'hui ne vise pas à y répondre mais à y apporter des éléments.
  • Pour les questions des gens, on ne prend que les questions de compréhension ; tout ce qui est hors sujet ou pour les questions qui anticipent le déroulé, on voit ça après (pour ne pas prendre la parole 1h30 au début).

Point technique complémentaire par rapport à cet atelier, par précaution et pour ne pas laisser de fausse impression : pendant l'atelier, vous avez pu envoyer votre clé publique à vos connaissances. Cependant, ces clés publiques ont été transmises par un canal non sécurisé (l'internet). D'autres canaux étaient possibles (clé USB, réseau local sécurisé…). Nous n'avons pas longuement abordé la notion d'empreinte de la clé, un exemple est visible dans le slide 13 (la longue chaîne de caractères qui commence par 54D9F8…), bien qu'elle soit un peu barbare, elle est plus facilement communicable/vérifiable que la clé elle-même (slide 10). Le but de l'empreinte est que vous puissiez la communiquer à votre correspondant-e via d'autres canaux (de vive voix par exemple) pour s'assurer qu'elle correspond avec l'empreinte de la clé reçue.

De manière générale, votre clé publique et votre empreinte de clé peuvent être publiés sur une multitude de supports (site web, serveur de clé…). Si les supports qui ont servi à publier ces informations sont fiables et que les empreintes de clés concordent, cela accroît la confiance que vous pourrez avoir dans le fait d'avoir obtenu la bonne clé publique de la part de votre correspondant.e.

Voilà. Ce point visait juste à insister sur le fait que transmettre sa clé publique par email n'est pas une méthode vraiment suffisante ni satisfaisante. Cela n'est en fait que rarement un problème car dans notre petit microcosme les personnes peuvent se rencontrer physiquement et échanger leur clé publique à ce moment là. Par contre, il faut garder cela en tête lorsqu'on récupère une clé publique d'un.e correspondant.e éloignée géographiquement, entre autres situations

Parmi les remarques qu'on s'est faites après l'atelier, on a pensé qu'il valait mieux séparer ce qu'on a proposé en 2 ateliers : l'un vraiment focalisé sur l'email et avoir un fournisseur, l'autre sur le chiffrement d'emails. Il serait aussi possible d'esquiver la 1ère partie si l'on annonce que l'atelier est destiné aux personnes connaissant déjà thunderbird et ayant un fournisseur d'email autre que celui des grands opérateurs.