Outils pour utilisateurs

Outils du site


documentation:sensibilisation:actions:20190606-atelier-usage-email

Ceci est une ancienne révision du document !


Comment et pourquoi chiffrer ses mails

Plan en bref :

  • fournisseurs de boites mail
  • usage du mail
  • chiffrement de mail

Slides :

Modalités :

  • inscription souhaitée

Pré-requis:

  • prévoir un switch et des cables. La MRES dispose d'un réseau wifi et une prise ethernet dans la salle Agora mais prévoir du dépannage (4G).
  • prévoir un vidéo-projecteur, un tableau ou des feuilles paperboard
  • prévoir des clés Tails qui permet d'avoir un environnement clé en main avec Thunderbird + Enigmail
Objectif de la soirée
  • faire comprendre (un peu) le fonctionnement du mail et ses enjeux
  • permettre aux personnes d'améliorer leur confidentialité
  • rendre les personnes autonomes sur les outils sur lesquels on les formes
  • apprendre aux gens à chiffrer leurs mails
  • aborder la question des fournisseurs de mail
  • donner envie d'un autre atelier (sur un autre sujet)

Introduction

  • Accueil, avec le sourire
  • Tour de table rapide (prénom + avez-vous déjà chiffré un mail ?)
  • Présentation rapide de l'asso Mycelium
  • Présentation du contenu de l'atelier :
    • On va présenter un moyen possible parmi d'autres pour communiquer sur Internet : le mail (il en existe d'autres, qu'on n'abordera pas, tous ont leurs avantages / inconvénients)
    • On va prendre la parole ~40 min pour expliquer ce qu'est un mail, les enjeux qui sont liées au mails
    • On explique qu'échapper à la surveillance est un ensemble de pratiques et que ce qu'on propose aujourd'hui ne vise pas à y répondre mais à y apporter des éléments.
    • Pour les questions des gens, on ne prend que les questions de compréhension ; tout ce qui est hors sujet ou pour les questions qui anticipent le déroulé, on voit ça après (pour ne pas prendre la parole 1h30 au début).

Phase 1 : Théorie

Partie 1 : C'est quoi un mail ? --> 10 minutes

- C'est un corps et des en-têtes : on peut montrer (ou imprimer ?) rapidement à quoi ça ressemble concrètement. - C'est quoi Internet ? C'est quoi un serveur ? - Ça circule sur Internet, d'un serveur à un autre sur lesquels il sera stocké, après qu'on l'ait rédigé (sans rentrer dans le détails des clients : on pourra y revenir plus tard). Ensuite, le mail est consulté (rester vague sur les protocoles : on pourra y revenir plus tard).

Partie 2 : Enjeux --> 10 minutes

Quelle confiance pouvons nous avoir dans le parcours et le stockage de notre mail ? l'exemple de la carte postale est pas mal. –> ex. Gmail entreprise capitaliste avec un modèle économique basé sur la publicité et désormais bientôt le commissionnement » aucune confiance… (insister sur le correspondant qui est chez Gmail)

Pour les fournisseurs de mail un peu plus “propres” (Riseup ou protonmail…) question de la dépendance (technique) et de la centralisation des données sensibles. La solution c'est de ne pas laisser les autres chiffrer ses mails à sa place et éviter d'avoir un gros acteur unique.

Questionner au passage à qui on veut échapper, et faire la distinction entre surveillance d'État (de masse et ciblée) et surveillance capitaliste

Note : chiffrer ses mails permet aussi de les cacher si on se fait voler/perquisitionner son pc… Mais le souci c'est que aujourd'hui ne pas donner sa phrase de passe à est illégal…

Note: la formulation de cette partie «enjeux» est pas tout à fait claire pour moi, donc elle me perturbe un peu mais je crois qu'on se rejoint sur le fond.

Partie 3 : les bons plans de Mycelium --> 7 minutes

Donner les noms de fournisseurs de mail que l'on peut conseiller. Ne pas cacher la difficulté que cela représente de faire fournisseur de mail associatif et dire que ce n'est pas toujours gratuit (Note: pour moi tout doit être gratuit, mais on peut comprendre que certains fassent payer → c'est un autre débat, car les serveurs et la connexion Internet ont un coût financier dans la société actuelle) et que c'est peut être normal. Évoquer les barrières et les règles qu'imposent les gros, et le fait qu'il est de plus en plus difficile de communiquer avec eux en tant que “petit”.» donc les petits sont en voie de disparition (Note: ça, j'ai pas constaté qu'ils disparaissaient. Il y a des gros qui raflent la mise depuis le début et ils sont toujours là, mais des petits/moyens ont émergé).

Liste des fournisseurs acceptables :

  1. l'autre.net
  2. herbesfolles (laissons les admins de HF décider)
  3. autistici.org
  4. riseup.net (sur cooptation)
  5. disroot.org
  6. »»»»»»gandi

Phase 2 : Une solution pour plus de confidentialité

Partie 1 : chiffrer ses mails --> 5 minutes

Qu'est-ce que ça veut dire, chiffrer ? Lorsque nous parlons de chiffrement, on pense souvent au chiffrement symétrique * un individu écrit un courrier, et souhaite l'envoyer à un destinataire en s'assurant qu'aucun curieux ne puisse le lire. * Pour ce faire, il va utiliser un cadenas, dont seuls le destinataire et lui-même possèdent la clé. * Il dépose son courrier dans un coffre, et le verrouille avec ce cadenas. * Enfin, il envoie le coffre verrouillé à son destinataire. * Ainsi, même si quelqu'un intercepte le coffre en chemin, il ne pourra rien en faire, puisqu'il ne dispose pas de la clé du cadenas.

Cette méthode utilise des clés de chiffrement : pour que l'on se représente bien tou·tes une clés de chiffrement, en voici un exemple.

Nous utiliserons toujours une clé, mais pas une clé physique, pas comme celle qu'on utilise pour ouvrir une porte ou un cadenas. Non, dans le domaine du chiffrement, une clé désigne une suite de lettres et de chiffres unique.

Chiffrement = procédé algorithmique basé sur des fonctions à sens unique.

/!\ ne pas confondre avec un mot de passe.

Note : on peut évoquer au besoin que les clés servent à chiffrer mais aussi signer (ex. avec Tails, pour certifier la contenu)

Partie 2 : Limites et risques --> 5 minutes

Des limites au chiffrement d'emails :
  1. Les entêtes sont visibles. Leur interception n'est pas aisée pour autant, mais on pourrait en déduire des graphes sociaux et des informations sur notre activité.
  2. Ajoute une petite contrainte à l'usage. Moins de mobilité (il faut avoir son jeu de clés sur soi).
  3. On ne peut communiquer de façon chiffrée qu'avec des personnes dont on possède la clé publique.
  4. L'intérêt pour la cryptographie d'auto-défense est relativement récent. Le chiffrement des emails par GPG est plus complexe qu'exposé. Ce sont des pratiques qu'on découvre aussi et nous n'en maitrisons pas chaque aspect.
  5. Réservé aux expert(e)s ? Les moyens techniques de cryptographie sont encore largement débattus. Exemple : https://secushare.org/PGP
Comporte des risques :
  1. tu perds ta clé = tu perds tes mails chiffrés
  1. utiliser sa clé privée sur un ordinateur vérolé/peu sûr
  1. ne pas s'être assuré de l'authenticité d'une clé publique

Partie 3 : présentation des outils pour chiffrer --> 3 minutes

Rapide présentation de Thunderbird (c'est quoi un client lourd pour les mails) et de son plugin enigmail

Phase 3 : mise en pratique

L'idée là c'est d'accompagner les gens à :

  • télécharger Thunderbird et Enigmail
  • configurer Thunderbird
  • créer une paire de clé
  • configurer Thunderbird pour qu'il fonctionne bien avec la paire de clé
  • apprendre à chercher des clés publiques
  • écrire des messages aux autres dans la salle, encore et encore…
  • migrer vers un autre hébergeur et ce que ça veut dire
  • (montrer où est le dossier de clé dans le système de fichiers)

Si des personnes sont finalement assez à l'aise avec le chiffrage de mail, on peut faire un petit groupe qui travaille sur pass pour montrer qu'il y a d'autres applications de GPG

Final Tour de table final (récolter les avis sur la soirée et son déroulement, les frustrations, les envies pour la suite…) Ouverture en proposant aux gens de cheminer avec nous en tentant de mieux comprendre Internet (sinon on peut leur proposer une install party) /!\On prend les chèques (attention aux chèques en bois de palette) et le liquide, pas la CB Merci, au revoir

documentation/sensibilisation/actions/20190606-atelier-usage-email.1560259851.txt.gz · Dernière modification : 2019/06/11 15:30 de cacatoes

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki