Outils pour utilisateurs

Outils du site


documentation:sensibilisation:actions:20190606-atelier-usage-email

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
travaux:sensibilisation:atelier-usage-email-juin-2019 [2019/06/07 11:06] – [Phase 3 : mise en pratique] valauzdocumentation:sensibilisation:actions:20190606-atelier-usage-email [2021/04/17 00:28] (Version actuelle) – ↷ Liens modifiés en raison d'un déplacement. 114.119.152.196
Ligne 2: Ligne 2:
  
 Plan en bref : Plan en bref :
 +
   * fournisseurs de boites mail   * fournisseurs de boites mail
   * usage du mail   * usage du mail
   * chiffrement de mail   * chiffrement de mail
 +
 +Slides :
 +  * {{ :documentation:sensibilisation:atelierchiffrersesmails06062019.pdf |}} (pas tout à fait à jour, quelques remaniements faits après l'atelier)
 +  * Dépot Git : [[documentation:technique:git:usage-des-depots-mycelium#acces_aux_depots_en_resume|mycelium-public]] (contient les sources du support, version à jour, améliorable)
  
 Modalités : Modalités :
Ligne 16: Ligne 21:
  
  
-== Objectif de la soirée ==+===== Objectifs de la soirée =====
  
   *faire comprendre (un peu) le fonctionnement du mail et ses enjeux   *faire comprendre (un peu) le fonctionnement du mail et ses enjeux
Ligne 31: Ligne 36:
    * Tour de table rapide (prénom + avez-vous déjà chiffré un mail ?)    * Tour de table rapide (prénom + avez-vous déjà chiffré un mail ?)
    * Présentation rapide de l'asso Mycelium    * Présentation rapide de l'asso Mycelium
 +   * Présentation de Lille Radiée et/ou autres collectifs
    * Présentation du contenu de l'atelier :    * Présentation du contenu de l'atelier :
      * On va présenter un moyen possible parmi d'autres pour communiquer sur Internet : le mail (il en existe d'autres, qu'on n'abordera pas, tous ont leurs avantages / inconvénients)      * On va présenter un moyen possible parmi d'autres pour communiquer sur Internet : le mail (il en existe d'autres, qu'on n'abordera pas, tous ont leurs avantages / inconvénients)
Ligne 37: Ligne 43:
      * Pour les questions des gens, on ne prend que les questions de compréhension ; tout ce qui est hors sujet ou pour les questions qui anticipent le déroulé, on voit ça après (pour ne pas prendre la parole 1h30 au début).      * Pour les questions des gens, on ne prend que les questions de compréhension ; tout ce qui est hors sujet ou pour les questions qui anticipent le déroulé, on voit ça après (pour ne pas prendre la parole 1h30 au début).
  
 +===== Notes complémentaires post-atelier =====
  
-==== Phase 1 : Théorie ===== +==== Envoyer sa clé publique ? ====
- +
-=== Partie 1 : C'est quoi un mail ? --> 10 minutes === +
- +
- - C'est un corps et des en-têtes : on peut montrer (ou imprimer ?) rapidement à quoi ça ressemble concrètement. +
- - C'est quoi Internet ? C'est quoi un serveur ? +
- - Ça circule sur Internet, d'un serveur à un autre sur lesquels il sera stocké, après qu'on l'ait rédigé (sans rentrer dans le détails des clients : on pourra y revenir plus tard). Ensuite, le mail est consulté (rester vague sur les protocoles : on pourra y revenir plus tard). +
- +
-=== Partie 2 :  Enjeux --> 10 minutes === +
-Quelle confiance pouvons nous avoir dans le parcours et le stockage de notre mail ?  l'exemple de la carte postale est pas mal.  +
- --> ex. Gmail  entreprise capitaliste avec un modèle économique basé sur la publicité et désormais bientôt le commissionnement >> aucune confiance... (insister sur le correspondant qui est chez Gmail) +
- +
-Pour les fournisseurs de mail un peu plus "propres" (Riseup ou protonmail...) question de la dépendance (technique) et de la centralisation des données sensibles. La solution c'est de ne pas laisser les autres chiffrer ses mails à sa place et éviter d'avoir un gros acteur unique. +
- +
-Questionner au passage à qui on veut échapper, et faire la distinction entre surveillance d'État (de masse et ciblée) et surveillance capitaliste  +
- +
-Note : chiffrer ses mails permet aussi de les cacher si on se fait voler/perquisitionner son pc... Mais le souci c'est que aujourd'hui ne pas donner sa phrase de passe à  est illégal... +
- +
-Note: la formulation de cette partie «enjeux» est pas tout à fait claire pour moi, donc elle me perturbe un peu mais je crois qu'on se rejoint sur le fond.    +
- +
-===Partie 3 : les bons plans de Mycelium --> 7 minutes=== +
-Donner les noms de fournisseurs de mail que l'on peut conseiller.  +
-Ne pas cacher la difficulté que cela représente de faire fournisseur de mail associatif et dire que ce n'est pas  +
-toujours gratuit (Note: pour moi tout doit être gratuit, mais on peut comprendre que certains fassent payer -> c'est un autre débat, car les serveurs et la connexion Internet ont un coût financier dans la société actuelle) et que c'est peut être normal. Évoquer les barrières et les règles qu'imposent les gros, et le fait qu'il est de plus en plus difficile de communiquer avec eux en tant que "petit".>> donc les petits sont en voie de disparition (Note: ça, j'ai pas constaté qu'ils disparaissaient. Il y a des gros qui raflent la mise depuis le début et ils sont toujours là, mais des petits/moyens ont émergé). +
- +
-Liste des fournisseurs acceptables : +
-     - l'autre.net +
-     - herbesfolles (laissons les admins de HF décider) +
-     - autistici.org +
-     - riseup.net (sur cooptation) +
-     - disroot.org +
-     - »»»»»»gandi +
-     - http://www.hebergeurslibres.net/wakka.php?wiki=listehebergeurs +
-     - https://chatons.org/fr/find?title=&field_chaton_services_tid=9&field_chaton_type_tid=All (dont 3hg) +
-     - https://linuxfr.org/news/se-passer-de-google-facebook-et-autres-big-brothers-2-0-2-le-courriel#toc-services-de-courriels +
- +
-====Phase 2 : Une solution pour plus de confidentialité===== +
- +
-=== Partie 1 : chiffrer ses mails --> 5 minutes === +
-Qu'est-ce que ça veut dire, chiffrer ? +
-Lorsque nous parlons de chiffrement, on pense souvent au chiffrement symétrique +
- * un individu écrit un courrier, et souhaite l'envoyer à un destinataire en s'assurant qu'aucun curieux ne puisse le lire. +
- * Pour ce faire, il va utiliser un cadenas, dont seuls le destinataire et lui-même possèdent la clé. +
- * Il dépose son courrier dans un coffre, et le verrouille avec ce cadenas. +
- * Enfin, il envoie le coffre verrouillé à son destinataire. +
- * Ainsi, même si quelqu'un intercepte le coffre en chemin, il ne pourra rien en faire, puisqu'il ne dispose pas de la clé du cadenas. +
- +
- +
- +
-Cette méthode utilise des clés de chiffrement : pour que l'on se représente bien tou·tes une clés de chiffrement, en voici un exemple.  +
- +
-Nous utiliserons toujours une clé, mais pas une clé physique, pas comme celle qu'on utilise pour ouvrir une porte ou un cadenas. Non, dans le domaine du chiffrement, une clé désigne une suite de lettres et de chiffres unique. +
- +
- +
-Chiffrement = procédé algorithmique basé sur des fonctions à sens unique.  +
- +
- +
- +
- +
- +
-/!\ ne pas confondre avec un mot de passe.  +
- +
- +
-Note : on peut évoquer au besoin que les clés servent à chiffrer mais aussi signer (ex. avec Tails, pour certifier la contenu) +
- +
- +
-===Partie 2 : Limites et risques --> 5 minutes=== +
-==Des limites au chiffrement d'emails :== +
-    - Les entêtes sont visibles. Leur interception n'est pas aisée pour autant, mais on pourrait en déduire des graphes sociaux et des informations sur notre activité. +
-    - Ajoute une petite contrainte à l'usage. Moins de mobilité (il faut avoir son jeu de clés sur soi). +
-    - On ne peut communiquer de façon chiffrée qu'avec des personnes dont on possède la clé publique+
-    - L'intérêt pour la cryptographie d'auto-défense est relativement récent. Le chiffrement des emails par GPG est plus complexe qu'exposé. Ce sont des pratiques qu'on découvre aussi et nous n'en maitrisons pas chaque aspect. +
-    - Réservé aux expert(e)s Les moyens techniques de cryptographie sont encore largement débattus. Exemple : https://secushare.org/PGP +
- +
- +
-==Comporte des risques :== +
- +
-    - tu perds ta clé = tu perds tes mails chiffrés +
- +
-    - utiliser sa clé privée sur un ordinateur vérolé/peu sûr +
- +
-    - ne pas s'être assuré de l'authenticité d'une clé publique +
- +
- +
-===Partie 3 : présentation des outils pour chiffrer --> 3 minutes=== +
-Rapide présentation de Thunderbird (c'est quoi un client lourd pour les mails) et de son plugin enigmail +
- +
- +
- +
-====Phase 3 : mise en pratique ===== +
- +
-L'idée là c'est d'accompagner les gens à :  +
-* télécharger Thunderbird // Enigmail +
-* configurer Thunderbird +
-* créer une paire de clé +
-* configurer Thunderbird pour qu'il fonctionne bien avec la paire de clé +
-* apprendre à chercher des clés publiques +
-* écrire des messages aux autres dans la salle, encore et encore... +
-* migrer vers un autre hébergeur et ce que ça veut dire +
-* (montrer où est le dossier de clé dans le système de fichiers) +
- +
-Si des personnes sont finalement assez à l'aise avec le chiffrage de mail, on peut faire un petit groupe qui travaille sur pass pour montrer qu'il y a d'autres applications de GPG +
- +
- +
-Final +
-Tour de table final (récolter les avis sur la soirée et son déroulement, les frustrations, les envies pour la suite...) +
-Ouverture en proposant aux gens de cheminer avec nous en tentant de mieux comprendre Internet +
-(sinon on peut leur proposer une install party) +
-/!\On prend les chèques (attention aux chèques en bois de palette) et le liquide, pas la CB +
-Merci, au revoir  +
- +
  
 +Point technique complémentaire par rapport à cet atelier, par précaution et pour ne pas laisser de fausse impression : pendant l'atelier, vous avez pu envoyer votre clé publique à vos connaissances. Cependant, ces clés publiques ont été transmises par un canal non sécurisé (l'internet). D'autres canaux étaient possibles (clé USB, réseau local sécurisé...). Nous n'avons pas longuement abordé la notion d'empreinte de la clé, un exemple est visible dans le slide 13 (la longue chaîne de caractères qui commence par 54D9F8...), bien qu'elle soit un peu barbare, elle est plus facilement communicable/vérifiable que la clé elle-même (slide 10). Le but de l'empreinte est que vous puissiez la communiquer à votre correspondant-e via d'autres canaux (de vive voix par exemple) pour s'assurer qu'elle correspond avec l'empreinte de la clé reçue.
  
 +De manière générale, votre clé publique et votre empreinte de clé peuvent être publiés sur une multitude de supports (site web, serveur de clé...). Si les supports qui ont servi à publier ces informations sont fiables et que les empreintes de clés concordent, cela accroît la confiance que vous pourrez avoir dans le fait d'avoir obtenu la bonne clé publique de la part de votre correspondant.e.
  
 +Voilà. Ce point visait juste à insister sur le fait que transmettre sa clé publique par email n'est pas une méthode vraiment suffisante ni satisfaisante. Cela n'est en fait que rarement un problème car dans notre petit microcosme les personnes peuvent se rencontrer physiquement et échanger leur clé publique à ce moment là. Par contre, il faut garder cela en tête lorsqu'on récupère une clé publique d'un.e correspondant.e éloignée géographiquement, entre autres situations
  
 +==== Trop ambitieux :p ====
  
 +Parmi les remarques qu'on s'est faites après l'atelier, on a pensé qu'il valait mieux séparer ce qu'on a proposé en 2 ateliers : l'un vraiment focalisé sur l'email et avoir un fournisseur, l'autre sur le chiffrement d'emails. Il serait aussi possible d'esquiver la 1ère partie si l'on annonce que l'atelier est destiné aux personnes connaissant déjà thunderbird et ayant un fournisseur d'email autre que celui des grands opérateurs.
documentation/sensibilisation/actions/20190606-atelier-usage-email.1559898417.txt.gz · Dernière modification : 2019/06/07 11:06 de valauz

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki