Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
On Wed, 2009-09-02 at 07:59 +0200, Spyou wrote: Christophe Meessen a écrit : Les machines via (dédibox) ne coutent pas cher et ont des performances époustouflantes pour les opérations de chiffrement grâce au padlock. Mais cela ne me semble envisageable que comme proxy/gateway bien évidemment. Oh je suis sur que Free sera enchanté de proposé du SMTP SSL contre 30 euro de plus par mois par abonnés :) Et pour 15 euro de plus, une vrai ligne de téléphone qui marche quand on a en a besoin :) etc ... ils proposent déja changez votre numéro de telephone pour 10€ ... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
On Wed, 02 Sep 2009 08:35 +0200, Raphaël Jacquot sxp...@sxpert.org wrote: On Wed, 2009-09-02 at 07:59 +0200, Spyou wrote: Oh je suis sur que Free sera enchanté de proposé du SMTP SSL contre 30 euro de plus par mois par abonnés :) Et pour 15 euro de plus, une vrai ligne de téléphone qui marche quand on a en a besoin :) ils proposent déja changez votre numéro de telephone pour 10€ ... et la hotline au tarif local... du 8 rue de la Ville l'Evêque à Paris ;) oh ! que de méchancetés en cette rentrée... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
Comme précisé, cette discution ne s'adresse pas que à Free. arkiel a écrit : Dominique Rousseau a écrit : Oserais-je un, si banal, « parceque ça couterait des sous » ? Bullshit Combien ça coute la pub TV ou l'ouverture de points de vente? Probablement sous la forme de « faudrait du temps pour mettre en place une solution qui tienne la charge », et de « faudrait plus de serveurs ». Ca me ferait doucement rire. En gros ça serait avouer que les admins/techniciens/architectes du FAI ne sont pas bons. (et franchement ce n'est pas mon avis sur ceux-ci) Ce n'est pas une réponse surprenante, et je m'y attendais évidemment. Maintenant, il faut prendre en compte que, particulièrement depuis l'arrivée massive des netbooks, de plus en plus de gens vont profiter des hotspots pour aller vérifier leurs mails, entre autres choses. Cela pose des problèmes de sécurité. Bien sûr, ce n'est pas le rôle de Free (ou tout autre opérateur) de sécuriser le hotspot du café d'à coté. On est d'accord là dessus Sauf à proposer un VPN, les opérateurs ne peuvent évidemment pas garantir la sécurité des données des utilisateurs lorsqu'elles transitent par un autre réseau. Cependant, pour certains services comme les mails, la politique qui consiste à ne rien crypter est-elle encore valable ? Par un autre réseau non, et de toute manière je ne vois pas trop ce qui passe exclusivement par un réseau de UN FAI. Par contre, (= je ne suis pas juriste =) je pense, que en tant qu'abonné à des services, le fournisseur doit garantir la sécurité de mes données dans le cadre de ses services. Est-ce que ce ne serait pas un bon moment (le fait qu'internet devienne mobile) pour tenter d'éduquer les utilisateurs, et leur proposer des solutions ? Le bon moment? Je pense qu'il est (était) déjà très loin en arrière le bon moment... Menfin comme on dit, mieux vaut tard que jamais Maintenant, si les opérateurs ne veulent pas prendre en compte cet aspect notamment pour des raisons de coût, c'est compréhensible, mais je me demandais si certains avaient commencé à y réfléchir. Ben, j'attends juste que l'état les y obligent. /JA Oh yes! Please flame me hard! fr...@webmail.fr a écrit : Donc si je comprend bien, on te dis d'une manière cachée : c'est pas le bon endroit pour ta question et toi tu persistes et signe ? Les réponses sont peut être justement ce qu'elles sont, car les centaines de personnes inscrites à cette liste ne sont pas des gens d'Illiad. C'est pas qu'on est pas dans le sujet, c'est plutôt l'inverse : tu es au mauvais endroit. Oui je sais, c'est étonnant, Internet ce n'est pas que 3 opérateurs qui règlent des soucis d'accès à un mail afin de se dire ouha trop cool, mes paquets sont cryptés ! ... Je penche plutôt pour la troisième solution : j'ai extrêmement mal posé ma question. C'est pour ça que j'ai tenté de la recadrer. J'ai maladroitement limité ma question à Free, c'était une erreur de ma part. Je souhaitais une réponse/discussion plus large. J'ai aussi limité la question aux mails, parce que je ne voyais pas quels autres services pourraient bénéficier de mesures de sécurité qui n'en aient pas déjà. C'est aussi car nombre de gens utilisent une seule adresse mail pour beaucoup de choses et que gagner l'accès à une boite mail peut donner accès à nombre d'autres choses potentiellement plus sensibles. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
Bonjour, 2009/9/2 Jerome Athias jerome.ath...@ja-psi.fr une solution qui tienne la charge », et de « faudrait plus de serveurs ». Probablement sous la forme de « faudrait du temps pour mettre en place Ca me ferait doucement rire. En gros ça serait avouer que les admins/techniciens/architectes du FAI ne sont pas bons. (et franchement ce n'est pas mon avis sur ceux-ci) Tenir plusieurs dizaines de milliers de connexions SMTP/IMAP/POP3 simultanées c'est une chose, mais tenir plusieurs dizaines de milliers de connexions SSL, ce n'est plus vraiment la même charge sur les serveurs, et donc la même infra qu'il faut derrière. Si on pouvait arrêter là le troll puéril... Fabien -- Ogden Nash http://www.brainyquote.com/quotes/authors/o/ogden_nash.html - The trouble with a kitten is that when it grows up, it's always a cat.
Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
Dominique Rousseau a écrit : Le Wed, Sep 02, 2009 at 11:07:40AM +0200, Jerome Athias [jerome.ath...@ja-psi.fr] a écrit: Comme précisé, cette discution ne s'adresse pas que à Free. arkiel a écrit : Dominique Rousseau a écrit : Oserais-je un, si banal, « parceque ça couterait des sous » ? Bullshit Combien ça coute la pub TV ou l'ouverture de points de vente? En 3 mots : Retour sur investissement. Biensur, le fameux ROI. Argument plus que recevable. J'introduirais simplement différentiation et avantage concurrentiel (voir respect du client) que les gens comprendrait peut-être mieux que valeur ajoutée Mais je t'accorde que c'est totalement des suppositions, ce que j'exprime, et aucunement des infos obtenues auprès de gens de Free. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
Le 2 septembre 2009 11:55, Jerome Athiasjerome.ath...@ja-psi.fr a écrit : Dominique Rousseau a écrit : Le Wed, Sep 02, 2009 at 11:07:40AM +0200, Jerome Athias [jerome.ath...@ja-psi.fr] a écrit: En 3 mots : Retour sur investissement. Biensur, le fameux ROI. Argument plus que recevable. J'introduirais simplement différentiation et avantage concurrentiel (voir respect du client) que les gens comprendrait peut-être mieux que valeur ajoutée FOUTAISES ! /me est déjà dehors Blague à part, SSL ou pas, le SMTP est réellement problématique, et c'est au niveau de ce protocole qu'il faudrait se poser des questions... -- Jérôme Nicolle --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
Si tu veut de la securite pourquoi tu fais heberger tes mails en clair chez ton operateur ? Le 01/09/09, arkielark...@free.fr a écrit : Bonjour, Je suis tout à fait conscient que frnog n'est pas dédié support technique de l'opérateur free, cependant je ne vois aucun endroit autre qu'ici où trouver des gens qui savent réellement les raisons de ce choix. Depuis que je suis chez Free, je n'ai jamais trouvé comment me connecter sur les serveurs mails avec un minimum de sécurité. Rien sur la faq, et google a l'air plutôt affirmatif sur le fait que free ne supporte pas de connexion ssl sur ses serveurs mail. Il ne m'a jamais semblé que transmettre ses passwords en plaintext soit très fiable niveau sécurité. Vu le succès du wifi depuis quelques années, et tous les problèmes de sécurité que cela pose pour les utilisateurs, je trouve surprenant que les admins chez free ne se soient toujours pas décidés à proposer une connexion ssl. En effet, que ce soit sur les hotspots publics ou sur du wep, il suffit à n'importe qui de lancer wireshark/kismet/etc et d'attendre pour récupérer des passwords, des mails, etc. Et ça c'est juste à la source, une fois balancés sur le net, d'autres personnes peuvent s'occuper de récupérer tout ça. Quelles sont donc les raisons derrière un tel choix ? Y a-t-il une chance de voir un jour un minimum de sécurité sur les serveurs mails de free ? Suis-je un boulet qui n'a juste pas su trouver l'information ? Oh, je précise que ce n'est pas un troll, juste une simple question, au cas où. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cdt Florian Koch Trésorier de Montpellier Wireless Clé GPG : http://www.11h11.fr/Florian.Koch.0x4E5BFC03.pub.asc --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] RE: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
2009/9/1 Julien Richer jul...@ywigo.fr +1 pour le fait de ne pas utiliser un service non adapté. MAIS, nombreux sont les utilisateurs à garder les mots de passe x ou y dans leurs mails (x/y étant les multiples services ouverts grace à un mail comme facebook). Mails qui transitent en clair que se soit par pop/imap ou webmail (même la console de gestion n'est pas https chez Free). Si mais c'est un peu caché ;) Et c'est pas avec les journalistes qu'on a en France qu'on aura droit à une vrai information pour éviter que mme michou consulte ses mails sur un wifi ouvert... C'est pour ça que sur le réseau Brest-sans-fil on a bloqué le 110/143 et laissé du 993/995. Hormis dire quand j'achète il faut qu'il y ait un cadnas en bas du navigateurs, ils n'en savent pas plus (et faut surtout pas essayer de leur faire vérifier le certificat...) Le 1 septembre 2009 16:49, sfout...@gmail.com a écrit : Bonjour, Les newsgroups de free (proxad.free.services.messagerie) serait surement un bon endroit ou poser vos questions ... Une solution : ne pas utiliser la messagerie de free si elle ne réponds pas a vos attentes :) -Message d'origine- De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de arkiel Envoyé : mardi 1 septembre 2009 16:29 À : frnog@frnog.org Objet : [FRnOG] Free : à quand le ssl sur les serveurs mail ? Bonjour, Je suis tout à fait conscient que frnog n'est pas dédié support technique de l'opérateur free, cependant je ne vois aucun endroit autre qu'ici où trouver des gens qui savent réellement les raisons de ce choix. Depuis que je suis chez Free, je n'ai jamais trouvé comment me connecter sur les serveurs mails avec un minimum de sécurité. Rien sur la faq, et google a l'air plutôt affirmatif sur le fait que free ne supporte pas de connexion ssl sur ses serveurs mail. Il ne m'a jamais semblé que transmettre ses passwords en plaintext soit très fiable niveau sécurité. Vu le succès du wifi depuis quelques années, et tous les problèmes de sécurité que cela pose pour les utilisateurs, je trouve surprenant que les admins chez free ne se soient toujours pas décidés à proposer une connexion ssl. En effet, que ce soit sur les hotspots publics ou sur du wep, il suffit à n'importe qui de lancer wireshark/kismet/etc et d'attendre pour récupérer des passwords, des mails, etc. Et ça c'est juste à la source, une fois balancés sur le net, d'autres personnes peuvent s'occuper de récupérer tout ça. Quelles sont donc les raisons derrière un tel choix ? Y a-t-il une chance de voir un jour un minimum de sécurité sur les serveurs mails de free ? Suis-je un boulet qui n'a juste pas su trouver l'information ? Oh, je précise que ce n'est pas un troll, juste une simple question, au cas où. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Steven Le Roux Jabber-ID : ste...@jabber.fr 0x39494CCB ste...@le-roux.info 2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB
Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
arkiel a écrit : Il ne m'a jamais semblé que transmettre ses passwords en plaintext soit très fiable niveau sécurité. Vu le succès du wifi depuis quelques années, et tous les problèmes de sécurité que cela pose pour les utilisateurs, je trouve surprenant que les admins chez free ne se soient toujours pas décidés à proposer une connexion ssl. Tu te sentirais vraiment plus en sécurité avec du ssl mh ? [0] Madame michu oui, et pourtant... -- [0] Certes cet article s'appliquerait plus au webmail en ssl plutot qu'au POP/IMAP en SSL, mais l'essentiel est là ... http://www.linewbie.com/2007/11/how-to-sniff-or-hack-someones-username-and-password-even-if-it-is-over-an-ssl-encrypted-connection.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
Aurelien Joga a écrit : arkiel a écrit : Quelles sont donc les raisons derrière un tel choix ? Y a-t-il une chance de voir un jour un minimum de sécurité sur les serveurs mails de free ? Suis-je un boulet qui n'a juste pas su trouver l'information ? Tu te sentirais vraiment plus en sécurité avec du ssl mh ? [0] Madame michu oui, et pourtant... Aucune mesure de sécurité n'est infaillible, certes. Maintenant il y a une différence entre rien et un protocole, même basique. Se pose alors le problème du sentiment d'être en sécurité alors qu'on ne l'est pas vraiment, mais ça oblige l'attaquant à avoir un minimum de connaissances et à faire des efforts. Par exemple, le cryptage WEP est crackable en 5-10 minutes, mais c'est toujours mieux qu'un réseau ouvert. Le WPA commence à souffrir lui aussi mais c'est toujours mieux que le WEP. La question c'est pas comment faire pour que personne ne soit capable d'accéder à mes informations, c'est comment faire pour que ce soit plus dur pour l'attaquant de pénétrer le système que les bénéfices qu'il pourrait en tirer. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
On Tue, 01 Sep 2009 16:49 +0200, gui!llaume guilla...@ironie.org wrote: Florian Koch a écrit : Si tu veut de la securite pourquoi tu fais heberger tes mails en clair dit autrement : on n'est jamais mieux servi que par soi-même... dit encore autrement en mode newbie ou/et radin: personne ne vous oblige à utiliser votre service de FAI, voyez www.willemijns.com/mail-alt.htm si vous êtes fauché, sinon essayez fastmail.fm --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] RE: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
On Tue, 2009-09-01 at 17:22 +0200, Steven Le Roux wrote: Et c'est pas avec les journalistes qu'on a en France qu'on aura droit à une vrai information pour éviter que mme michou consulte ses mails sur un wifi ouvert... C'est pour ça que sur le réseau Brest-sans-fil on a bloqué le 110/143 et laissé du 993/995. imap avec start-tls passe par 143... --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
2009/9/1 arkiel ark...@free.fr Merci pour tous vos commentaires attentionnés type monte ton propre serveur à la maison, va voir ailleurs et autres publicités. Maintenant, est-ce qu'on pourrait arrêter de jouer ? La question s'adressait avant tout aux personnes en charge du réseau free dont certaines fréquentent cette mailing list. Il est tout à fait normal que d'autres personnes souhaitent participer à la discussion, et ces personnes sont les bienvenues, merci cependant de rester dans le sujet. Alors merci d'arrêter de polluer la liste par des questions end-user... Cette liste s'adresse aux opérateurs ou acteurs du net. Ce n'est PAS d'une hotline ou un support de Free. Si tu veux partir en croisade pour le ssl sur une plateforme mail de free, monte un pétition avec univers-freebox.com qui saura faire remonter ton besoin... s'il est jugé pertinent par les freenautes... -- Steven Le Roux Jabber-ID : ste...@jabber.fr 0x39494CCB ste...@le-roux.info 2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] RE: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
2009/9/2 Raphaël Jacquot sxp...@sxpert.org On Tue, 2009-09-01 at 17:22 +0200, Steven Le Roux wrote: Et c'est pas avec les journalistes qu'on a en France qu'on aura droit à une vrai information pour éviter que mme michou consulte ses mails sur un wifi ouvert... C'est pour ça que sur le réseau Brest-sans-fil on a bloqué le 110/143 et laissé du 993/995. imap avec start-tls passe par 143... oui mais on n'a pas les moyens de faire du layer 7 sur des wrt... -- Steven Le Roux Jabber-ID : ste...@jabber.fr 0x39494CCB ste...@le-roux.info 2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB
Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
Dominique Rousseau a écrit : Le Tue, Sep 01, 2009 at 05:32:01PM +0200, arkiel [ark...@free.fr] a écrit: La question reste donc : pourquoi free ne propose pas de solutions minimales de sécurité à ses abonnés ? Ca ne me semble pas si terrible que ça à mettre en place, et encourager les utilisateurs à un minimum de prudence me semblerait normal. Oserais-je un, si banal, « parceque ça couterait des sous » ? Probablement sous la forme de « faudrait du temps pour mettre en place une solution qui tienne la charge », et de « faudrait plus de serveurs ». Les machines via (dédibox) ne coutent pas cher et ont des performances époustouflantes pour les opérations de chiffrement grâce au padlock. Mais cela ne me semble envisageable que comme proxy/gateway bien évidemment. OpenSSL peut utiliser padlock. Sinon il y a aussi la bibliothèque PolarSSL [http://polarssl.org/] (anciennement XySSL de Christophe Devine//) . Je souscris entièrement à la demande d'arkiel. Même problème pour l'accès au compte personnel de Free où des opérations pouvant engager financièrement le détenteur peuvent être réalisées. Si on consulte cette page depuis la maison sur la ligne ADSL free, le risque est négligeable, mais si c'est depuis l'extérieur, comme le travail par exemple ou lorsqu'on est en déplacement, le risque n'est plus négligeable. -- Bien cordialement, Ch. Meessen smime.p7s Description: S/MIME Cryptographic Signature
Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
fr...@webmail.fr a écrit : Donc si je comprend bien, on te dis d'une manière cachée : c'est pas le bon endroit pour ta question et toi tu persistes et signe ? Les réponses sont peut être justement ce qu'elles sont, car les centaines de personnes inscrites à cette liste ne sont pas des gens d'Illiad. C'est pas qu'on est pas dans le sujet, c'est plutôt l'inverse : tu es au mauvais endroit. Oui je sais, c'est étonnant, Internet ce n'est pas que 3 opérateurs qui règlent des soucis d'accès à un mail afin de se dire ouha trop cool, mes paquets sont cryptés ! ... En effet. Si on s'en réfère à la charte de FRnOG : FRnOG à pour but d'améliorer la qualité d'Internet et autres services IP en France. FRnOG est une plate-forme d'échange d'informations entre professionnels du réseau et de la sécurité. la question aurait dû/pu être abordée de façon plus générale et terme de qualité de service et de sécurité. Du genre, l'utilisation de telnet et ftp sur internet ne devrait-il pas être découragé au profit de ssh et sftp ou scp ? D'autant plus que le service ou les informations auxquels on a accès sont sensibles. Le problème des fonctionnalités de sécurités est que le bilan financier est négatif. Cela a un cout qui croit exponentiellement avec l'augmentation de sécurité, sans rien rapporter. C'est comme une assurance. Le bénéfice en terme d'image (marketing) est très limité car seul les personnes compétentes sont en mesure d'en apprécier la valeur. On peut faire le parallèle avec la sécurité des voitures. Le commun des mortels ne peut pas évaluer la sécurité des voitures, et ces mesures de sécurité ont un cout important. Donc ces conditions les constructeurs s'en tiennent aux cout minimum ou au mieux à leur conscience professionnelle. La mise en place de Euro NCAP [http://www.crash-test.org/] qui décerne des étoiles en fonction du respect de certains critères de sécurité pour les voitures a changé la donne. Vu d'un mauvais oeil au départ par les constructeurs, il s'est rapidement avéré que c'est gagnant pour tous. Les utilisateurs peuvent facilement évaluer le niveau de sécurité en se référent à une structure indépendante, objective et appliquant des procédures rigoureuses. La plus value devient visible et a un impact direct sur la valeur du produit et son prix également. Pour les voitures, les accidents étant plus dramatiques et spectaculaires, l'intérêt et le bénéfice d'une telle structure et du label de sécurité s'est rapidement fait sentir. Pour internet, les victimes ne s'en rendent, pour la plupart, même pas compte (espionnage industriel). Mais je suis sûr que le nombre d'accidents sur internet dépasse largement ceux de la route. Il me semble aussi nécessaire de prendre en compte un risque qui n'existe pas avec les voitures, c'est celui vécu par l'Estonie [http://en.wikipedia.org/wiki/2007_cyberattacks_on_Estonia]. Si la probabilité d'occurrence de tels évènements en France reste faible, il n'es reste pas moins que la gravité des conséquences augmente avec l'évolution des services. Il n'existe pas actuellement d'incitation et d'intérêt à renforcer la sécurité de services alors que c'est dans l'intérêt de tous. La mise en place d'une structure telle que Euro NCAP pourrait changer la donne. Cela sera beaucoup plus efficace que des lois et des normes. -- Bien cordialement, Ch. Meessen smime.p7s Description: S/MIME Cryptographic Signature
Re: [FRnOG] Free : à quand le ssl sur les serveurs mail ?
Christophe Meessen a écrit : Les machines via (dédibox) ne coutent pas cher et ont des performances époustouflantes pour les opérations de chiffrement grâce au padlock. Mais cela ne me semble envisageable que comme proxy/gateway bien évidemment. Oh je suis sur que Free sera enchanté de proposé du SMTP SSL contre 30 euro de plus par mois par abonnés :) Et pour 15 euro de plus, une vrai ligne de téléphone qui marche quand on a en a besoin :) etc ... (et non, envoyer ses mails via une dedibox, c'est pas une bonne idée, sauf si on veut qu'ils soient taggués comme spam a l'arrivée, of course ..) --- Liste de diffusion du FRnOG http://www.frnog.org/
