Own-Mailbox, charlatanisme ou incompétence ?
samedi 26 septembre 2015 à 11:57GuiGui's Show - Liens
+ https://blog.imirhil.fr/own-mailbox-la-reponse-a-la-reponse.html
+ https://blog.imirhil.fr/own-mailbox-suite-et-fin.html
Lisez aussi les commentaires, le tout est très technique mais très intéressant. *Vraiment*.
L'avis d'Aeris sur Own-mailbox. Pour rappel, mon avis est ici : http://shaarli.guiguishow.info/?lra2Xw . Je le rejoins sur les nouveaux points suivants :
* uPnP c'tout naze niveau sécurité ;
* Le tunnel de port va être implémenté sous forme d'un relai SMTP donc oui, c'est une forme de centralisation ;
* Un mécanisme *manuel* de mise à jour des logiciels en utilisant les dépôts du projet est prévu, ce qui permettra d'installer nawak sous l'ordre d'une quelconque agence ou par erreur ou pour le business (souvenez-vous des mises à jour Windows dont vous avez accepté l'installation (je ne parle pas des màj auto et quasi-forcées de win10) et qui ont fait nawak genre nouvelle procédure d'activation windows, genre conflit avec l'antivirus empêchant le reboot,...) ;
* Le faux sentiment de sécurité généré par le discours marketing autour du projet.
Néanmoins, je pense qu'Aeris va trop loin dans l'analyse des risques (MitM, limites de SMTP+TLS, détournement du nom de domaine, push de logiciels malveillants par la suite,...) : il faut voir ce projet comme une première étape, pas comme la destination.
La majorité des commentaires qu'on lit à l'encontre de ces billets de blog c'est qu'il faut simplifier pour que le mail auto-hébergé et confidentiel devienne accessible au plus grand nombre et donc qu'own-mailbox est un bon projet. J'en suis le premier d'accord. Je pense simplement que d'autres projets sont plus adaptés et prometteurs, comme la Brique Internet (VPN + conf' tout aussi automatique et user-friendly mais sans uPnP, permet tout autant de contourner le blocage du port 25 sans relai mail, permet l'utilisation d'un nom de domaine personnel out-of-box,...). Oui, la Brique n'utilise pas GPG (et c'est tant mieux), mais c'est une première étape, non ? ;) On peut aussi avoir des associations qui hébergent mails et sites web : on décentralise tout en rendant accessible par la mutualisation des compétences techniques. Ça aussi, ça peut être un premier pas.
Le commentaire de Jean-Marc Manach (https://blog.imirhil.fr/own-mailbox-la-reponse-a-la-reponse.html#isso-105) résume tout :
« Tu aurais brandé Own-mailbox comme un serveur de mail décentralisé, il ne te serait pas tombé dessus ainsi; le présenter comme un produit permettant de protéger sa vie privée, en laissant entendre que ses utilisateurs seraient ainsi protégés de Google ou de la NSA, implique de grandes responsabilités... et on n'affirme pas ce genre de choses sans avoir au préalable validé son projet par des gens qui s'y connaissent un tantinet en la matière, ce que vous n'avez pas fait.
[...]
TOR & TAILS (par exemples) précisent par ailleurs les modèles de menace auxquels ils peuvent faire face... ou pas, et donc les risques que prennent les utilisateurs de TOR & TAILS, ce que vous ne faites pas, et ce qu'a donc tenté de préciser Aeris.
[...]
tu ne peux pas "vendre" un service reposant (en partie) sur la cryptographie, et promettant un niveau élevé (btw, oublie donc le "100%") de confidentialité et donc de sécurité informatique sans avoir réellement étudié la question, et fait montre de compétences en la matière.
[...]
Bref : soit tu rebrandes ta com', soit tu te mets au taff' pour répondre aux problèmes & questions posées par Aeris. Mais en l'état, Own-mailbox propose une fausse promesse de sécurité »
(Permalink)
Links from tsyr2ko's wandering
Pour ceux qui seraient éventuellement intéressé par une Own-mailbox
(Permalink) (Profil)
+ https://blog.imirhil.fr/own-mailbox-la-reponse-a-la-reponse.html
+ https://blog.imirhil.fr/own-mailbox-suite-et-fin.html
Lisez aussi les commentaires, le tout est très technique mais très intéressant. *Vraiment*.
L'avis d'Aeris sur Own-mailbox. Pour rappel, mon avis est ici : http://shaarli.guiguishow.info/?lra2Xw . Je le rejoins sur les nouveaux points suivants :
* uPnP c'tout naze niveau sécurité ;
* Le tunnel de port va être implémenté sous forme d'un relai SMTP donc oui, c'est une forme de centralisation ;
* Un mécanisme *manuel* de mise à jour des logiciels en utilisant les dépôts du projet est prévu, ce qui permettra d'installer nawak sous l'ordre d'une quelconque agence ou par erreur ou pour le business (souvenez-vous des mises à jour Windows dont vous avez accepté l'installation (je ne parle pas des màj auto et quasi-forcées de win10) et qui ont fait nawak genre nouvelle procédure d'activation windows, genre conflit avec l'antivirus empêchant le reboot,...) ;
* Le faux sentiment de sécurité généré par le discours marketing autour du projet.
Néanmoins, je pense qu'Aeris va trop loin dans l'analyse des risques (MitM, limites de SMTP+TLS, détournement du nom de domaine, push de logiciels malveillants par la suite,...) : il faut voir ce projet comme une première étape, pas comme la destination.
La majorité des commentaires qu'on lit à l'encontre de ces billets de blog c'est qu'il faut simplifier pour que le mail auto-hébergé et confidentiel devienne accessible au plus grand nombre et donc qu'own-mailbox est un bon projet. J'en suis le premier d'accord. Je pense simplement que d'autres projets sont plus adaptés et prometteurs, comme la Brique Internet (VPN + conf' tout aussi automatique et user-friendly mais sans uPnP, permet tout autant de contourner le blocage du port 25 sans relai mail, permet l'utilisation d'un nom de domaine personnel out-of-box,...). Oui, la Brique n'utilise pas GPG (et c'est tant mieux), mais c'est une première étape, non ? ;) On peut aussi avoir des associations qui hébergent mails et sites web : on décentralise tout en rendant accessible par la mutualisation des compétences techniques. Ça aussi, ça peut être un premier pas.
Le commentaire de Jean-Marc Manach (https://blog.imirhil.fr/own-mailbox-la-reponse-a-la-reponse.html#isso-105) résume tout :
« Tu aurais brandé Own-mailbox comme un serveur de mail décentralisé, il ne te serait pas tombé dessus ainsi; le présenter comme un produit permettant de protéger sa vie privée, en laissant entendre que ses utilisateurs seraient ainsi protégés de Google ou de la NSA, implique de grandes responsabilités... et on n'affirme pas ce genre de choses sans avoir au préalable validé son projet par des gens qui s'y connaissent un tantinet en la matière, ce que vous n'avez pas fait.
[...]
TOR & TAILS (par exemples) précisent par ailleurs les modèles de menace auxquels ils peuvent faire face... ou pas, et donc les risques que prennent les utilisateurs de TOR & TAILS, ce que vous ne faites pas, et ce qu'a donc tenté de préciser Aeris.
[...]
tu ne peux pas "vendre" un service reposant (en partie) sur la cryptographie, et promettant un niveau élevé (btw, oublie donc le "100%") de confidentialité et donc de sécurité informatique sans avoir réellement étudié la question, et fait montre de compétences en la matière.
[...]
Bref : soit tu rebrandes ta com', soit tu te mets au taff' pour répondre aux problèmes & questions posées par Aeris. Mais en l'état, Own-mailbox propose une fausse promesse de sécurité »
(Permalink)
Links from tsyr2ko's wandering
Pour ceux qui seraient éventuellement intéressé par une Own-mailbox
(Permalink) (Profil)