Jean Bernon a écrit : > L'ensemble me semble sûr ? Plusieurs points me chagrinent dans la démarche de Thunderbird.
Le premier et le plus important est de principe. La cryptographie est un savoir-faire à part entière et des plus pointus. Les outils fournissant ce service sont critiques. Ils doivent être robustes, fiables et sûrs, car ils sont la clé de voûte de trois fonctions essentielles : * L'authentification * La signature (et le contrôle d'intégrité) * Le chiffrement Or, Thunderbird est notoirement en manque de contributeurs et se lancer dans un tel chantier quand on manque de ressources est déraisonnable, d'autant plus que nous disposons déjà de briques cryptographiques éprouvées. En outre, Thunderbird offre un large éventail de fonctions. Il expose donc une surface d'attaque bien plus grande qu'un outil se limitant à la cryptographie. Si j'ai choisi de confier mes identifiants d'accès à mes comptes en ligne à KeePassXC plutôt qu'à Firefox, c'est parce que j'ai plus confiance en un outil dédié qu'en un outil se livrant à une surenchère fonctionnelle tout azimut avec ses concurrents. Mon dernier grief concerne le choix de protéger l'acès aux clés privées par le mot de passe maître de Thunderbird. Une fois celui-ci saisi, les secrets stockés par Thunderbird sont utilisables sans entrave tant que Thunderbird est ouvert. Si l'utilisateur oublie de verrouiller sa session avant de s'éloigner de son poste, un tiers peut envoyer des messages signés à son insu ou lire ses messages chiffrés. À contrario, GnuPG me demande de saisir le mot de passe verrouillant ma clé à chaque fois que je veux signer ou déchiffrer un message et Enigmail oublie le mot de passe au bout de 5 minutes. C'est bien plus sûr. Sébastien -- Sébastien Dinot, sebastien.di...@free.fr http://www.palabritudes.net/ Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !