207.241.226.217
Le Poisson Libre #


PGP et grand public, c'est fini

Plouf ! Nous voici dimanche soir, et après un article plein de motivation, en voilà un moins gai. Mais ne partez pas !

Comme dit hier, j'étais aux Expériences Numériques à Lyon. Ça parlait de plein de choses : d'auto-hérgement, de Framasoft, de cartographie statistique (oui oui !), de chiffrement... C'est sur ce dernier point que je voudrais revenir. Après une conférence assez intéressante d'Apprenti_Sage sur la théorie derrière le chiffrement, a eu lieu un atelier PGP. Il s’agissait de montrer aux personnes présentes comment se servir d'Enigmail dans Thunderbird pour chiffrer leurs communications.

Cettte session était organisée par Apprenti_Sage, Florent Pulluard, Err0rSystem et JFMourges, je leur fais coucou au passage :-) C'était sympa de voir autant de personnes motivées. Et comme j'avais envie d'être utile, j'ai aidé les gens présent.

Cela fait longtemps que j'utilise PGP, que j'essaie de convaincre mes proches, mes amis, mes camarades à l'utiliser. La plupart du temps, ça n'intéresse pas, ça parait trop compliqué. Parfois certains acceptent de m'écouter, que je leur montre. Mais on voit que c'est plus "pour me faire plaisir", que par réel intérêt. Et de toute façon après quelques échanges chiffrés, on me renverra des mails en clair soulevant l'obscur argument "ça ne fonctionne plus" ou "je ne sais plus comment on fait". Néanmoins j'avais encore cette petite flamme d'espoir, que quelqu'un se sentirai un jour concerné... jusqu'à hier soir.

Pourtant de l'extérieur, on pouvait voir les gens assez contents. On pouvait croire qu'ils avaient compris, qu'ils étaient enfin concernés par leur vie privée. Mais non. Et voilà 4 raisons pour lesquelles PGP ne prendra plus jamais sur le grand public.

1 - Thunderbird c'est quoi ça ?

C'est malheureux, on peut s'en plaindre toute la journée, mais c'est la réalité. Plus personne ne sait ce qu'est un client mail, et plus personne ne l'utilise. Du coup, si pour chiffrer leurs mails les gens doivent changer leurs habitudes, c'est déjà fini. Hier, j'ai passé au près de plusieurs personnes un bon moment pour remettre en place les bases. Que le mail ce n'est pas du Web, que c'est un protocole, qu'il existe des clients qui récupère pour toi le courrier. Certains ont compris mais ne voient pas l'intérêt de l'utliser quand Gmail est bien plus joli. Certains y ont vu un moyen de consulter leur mail professionnel et personnel au même endroit, ils sont motivés mais je sais qu'ils lâcheront dès qu'il faudra configurer tout seul Thunderbird.

Alors comprenez qu'installer une extension supplémentaire comme Enigmail, encore moins de personnes comprennent. Surtout quand il faudra l'installer par soit même (après l'installation de Thunderbird bien entendu). Du coup, la solution serait de se tourner vers les extensions pour navigateur, le génial Mailveloppe par exemple. Ce doit être le meilleur angle d'attaque aujourd'hui, si vous voulez vulgariser PGP ne faites pas installer Thunderbird. Car la faute revient aussi aux libristes, ils ne font pas attention au usages du grand public. Si nous on utilise Thunderbird, pourquoi pas les autres ? Il y a toujours cet écart que le monde du libre arrive difficilement à combler. Mais nous n'étions qu'au premier point.

2 - Et sur mon téléphone ?

Question récurrente qui surgissait une fois que les gens avaient réalisé les opérations sur ordinateur. Elle est extrêmement pertinente dans la mesure où on consulte beaucoup plus ses mails depuis ce terminal. Recevoir un mail chiffré sur son téléphone sans avoir aucun moyen de le déchiffrer ce n'est pas terrible. Ça fait abandonner l’utilisation de PGP très vite. Il y a une solution, bien sur qu'il y a une solution : le combo k-9mail + OpenKeychain. J'en ai déjà parlé, OpenKeychain est une application géniale, qui rend l'utilisation de PGP vraiment cool.

Seulement, vous voyez le problème arriver ? Nan ? Bah il faut changer de client mail sur Android ! Alors faut réexpliquer ce qu'est un client, que ça existe sur mobile, à des gens qui sont habitués à voir les applications comme des choses magiques qui s'installent en un clic. Il faut leur montrer comment on configure un compte mail. Et leur expliquer que "oui c'est normal que l'interface ne soit pas la même qu'avant". Et après tout ça, il faut montrer ce qu'est OpenKeychain, que ça fonctionne couplé à k-9mail. Mais ce n'est pas fini ! Il faut dire que pour avoir ces clés sur son téléphone, il faut exporter le .asc dans la mémoire de son téléphone... Bref, c'est impossible à expliquer sans perdre la personne.

3 - Les libristes...

Ne prenez pas ça comme une attaque, mais comme un conseil. Il faut ça sorte. Comprenez libristes que nous nous somme capables de faire des efforts, car ça nous intéresse. L'internaute lambda, il n'a pas du tout la même compréhension que nous. Le fameux "tout est fichier" d'UNIX ça ne coule pas de source pour les gens. Exporter ses clés dans un .asc parait complètement abstrait pour un très grand nombre de personnes. Alors vous pouvez leur demander de faire attention à leur paire de clés, même si pleins de bonne volonté il leur manque de la compréhension.

Enfin, arrêtez avec les considération de sécurité. Vérifier le hash, ne pas faire totalement confiance aux serveurs de clés, ça leur passe par dessus. Ça complexifie le propos plus qu'autre chose. Leur parler "d'homme du milieu", de relai, ou de la NSA, ce n'est pas un moyen de leur clarifier la situation, loin de là. Pour leur utilisation, pour une initiation, les serveurs de clé sont la seule chose à montrer. L'histoire de se voir physiquement, de degré de confiance on arrête d'en parler. J'étais avec des dames complètement perdues sur ce point qui se voyaient déjà devoir aller chez tous leur contacts pour vérifier la clé.

4 - La solitude

Là même toi libriste tu connais ce problème. On est content, on a configuré Thunderbird et tout, mais maintenant avec qui on chiffre ? Alors oui, nous on va chercher à "convertir" du monde, à leur montrer, à leur expliquer. Mais vous croyez qu'une personne normale qui elle-même n'a pas tout compris, peut convaincre qui que ce soit ? Leur dire "soyez ambassadeurs" ne rime à rien, voyez comme nous on a du mal, alors pourquoi eux y arriveraient. Le principal problème du chiffrement des communications c'est qu'il faut être deux.

Pour conclure

Je ne dis pas que PGP doit être abandonné, c'est un super truc. Seulement pour l'utiliser il faut le vouloir. Les tutos sont importants, ça permet à des gens motivés d'apprendre. Mais le montrer dans les ateliers chiffrement ou les cafés vie privée est inutile aujourd'hui. PGP ne peut se démocratiser, c'est un fait, il faut l'accepter.

Je ne suis absolument pas contre ces évènements. Je les supporte même, je compte en organiser dans mon école. Je suis un fervent défenseur de la vie privée. Seulement pour une majorité de personnes la vie privée ne passe plus par le mail. L'exemple récurrent pris pour faire "peur" aux gens c'est l'échange de photos intimes par mail. Mais il faut bien être libriste pour croire que ces contenus s'échangent par mail ! On est complètement à côté de la plaque, et il en est de même pour tout. Le mail n'est plus utilisé que dans le cadre du travail ou des démarches. Et comme on n'en est pas encore à chiffrer avec l'administration, montrer PGP ne sert strictement à rien.

C'est difficile de se dire cela, mais il faut abandonner PGP. Si on veut montrer du chiffrement, quelque chose de pertinent c'est SMSSecure, car on s'échange de nombreuses choses privées pas SMS. Ça devient alors réel, ça touche les gens.

Cependant je pense qu'il faut aller encore plus loin, les évènements doivent servir à questionner les gens sur leur usages et à leur proposer des alternatives. Il faut COMPRENDRE les gens. Leur répondre sur quelque chose qu'ils connaissent, sur des question pratiques. Pas venir avec nos sabots leur dire de chiffrer avec Thunderbird. Le jour où la communauté du libre comprend cela, on changera le monde.

Je prends un exemple. On discute avec quelqu'un de Facebook, des données personnelles, du modèle économique, on en vient à Whatsapp, la personne l'utilise. Si elle semble ouverte, on peut lui proposer une alternative, Telegram en l’occurrence. Alors oui, en tant que libriste vous ne supportez pas Telegram car c'est centralisé et que le serveur n'est pas libre, mais vous mettez ça de côté. Vous préférez que la personne reste sur WhatsApp ? Non, alors Telegram est un moindre mal. J'ai fait passé énormément de gens sur Telegram l'année dernière et ça me fait plaisir de les voir l'utiliser.

Dans le même genre, on peut conseiller tout les Framatruc en alternative à des services de GAFAM que les gens utilisent. Ce sur quoi je veux vraiment insister, c'est qu'il faut comprendre les besoins des personnes. Pas venir et dire "voilà comment on chiffre". La vie privée ça ne passe pas que par le chiffrement.


Bon voilà. Je me rend compte qu'au fur et à mesure de l'écriture, ce billet est peut être devenu aggressif ^^' Mais il faut cela sorte. Pour libérer le monde, il faut savoir comprendre ce que les gens veulent réellement. La posture du "je ne vais vous apprendre à chiffrer" ça ne tient plus. J'espère que personne ne me va plus me parler après cet article, c'est une réflexion que j'avais depuis longtemps et que je devais exposer.

À plus !

publié le 11/10/2015 à 23h10 dans Libre

Gilles

Proposer quelque chose à quelqu'un qui n'a pas conscience d'en avoir besoin est inutile :) Auto promo : http://www.parigotmanchot.fr/article57/linux-pour-qui-quand-quoi-comment

publié le 11/10/2015 à 23h34

Cyril

Article intéressant, et première fois que je viens sur ce blog, donc je ne risque pas de ne plus parler après celui-ci. ^^ Je suis d'accord avec pas mal de choses. C'est vraiment difficile de faire comprendre aux gens neophytes, et même pour des gens qui s'y connaissent en informatique... C'est un combat que je mène, comme vous et beaucoup apparemment. Je me suis rendu compte par exemple, que l'âge des personnes concernées n'avait pas vraiment d'importance, malgré ce que j'en pensais avant. Des jeunes "bercés" dans l'informatique et qui touchent à tout ont parfois plus de mal à en comprendre l'intérêt de tout ceci, alors que des personnes de plus de 50 ans par exemple, s'intéressent au monde du Libre et font beaucoup d'efforts malgré qu'il ne soient pas technophiles (si on peut dire). Mais ils comprennent que c'est important et que ça mérite de changer leurs habitudes. Et de voir ça, ça fait vraiment plasisir ! Autre exemple, j'ai fait passer il y a pas très longtemps mes parents à Linux + gestion des emails avec Thunderbird, et pour le moment R.A.S ! En leur expliquant rapidement, la différence, et surtout leur montrer l'équivalent windows/linux et/ou propriétaire/libre, ça fonctionne. Après être presque le seul "geek" dans la famille aide un peu à les mettre en confiance. Evidemment, ce n'est pas la même chose avec des inconnus... Finalement les gens utilisent des choses sans vraiment savoir commenbt ça fonctionne, ni leurs enjeux. C'est aussi un problème de mon point de vue. En regardant vos 4 points exposés au dessus, je trouve que le 4ème La solitude reste le plus difficile de tous. Dans mon expérience, les gens ne font pas un pas en avant, si leur famille/amis ne font pas le pas en même temps qu'eux. Sacré dilemne. ^^ Bref, bon courage à tous les défenseurs ! Nos efforts valent le coup !

publié le 12/10/2015 à 01h58

Galuel

Une réflexion plus avancée est : quelle application serait suffisamment intéressante et attirante pour que l'on passe au chiffrement naturellement, mu par la volonté d'utiliser cette fonctionnalité nouvelle ? Changer la monnaie, libérer la monnaie, passer à une monnaie libre implique le besoin d'une clé publique / privée, qui identifie chaque membre de la monnaie choisie afin de développer un Dividende Universel co-produit par tous et en tout temps. Le projet monnaie libre.

publié le 12/10/2015 à 10h40

Genma

Avant de parler de chiffrement des mails aux gens, faut voir avec eux pour leur faire comprendre les bases de l'hygiène numérique et de la vie privée. Pour moi, le chiffrement des mails, c'est de l'autodefense numérique, pas de l'hygiène... ;-)

publié le 12/10/2015 à 10h56

OliCat

Très bon billet merci ! Je te rejoins complètement, et notamment quand tu écris "la vie privée ne passe plus par le mail"[...]"il faut aller encore plus loin, les évènements doivent servir à questionner les gens sur leur usages et à leur proposer des alternatives." À l'occasion des débats récents entre ownmailbox et Aeris, j'écrivais justement sur le pad dédié (http://pad.april.org/OwnMailbox): "La mauvaise idée, c'est sans doute de considérer le mail comme le vecteur ultime et exclusif des différents usages de communications. Garder le mail pour les affaires courantes, utiliser un autre protocole pour les échanges privés. Autre protocole (c'est peut-être pas la bonne formule hein ! pas taper..) dont on sait qu'il apporte des garanties en terme de sécurité. Il faudrait donc penser une box qui, ok, apporte le chiffrement à tous (pourquoi pas) mais qui implémente en sus, un type de messagerie vraiment sécurisé pour les échanges privés. Une solution qui aurait eut l'avantage de se faire promoteur d'une évolution des pratiques en encourageant une éducation au concept d'échanges privés VS échanges utilitaires (mails)." [...] "c'est pour ça qu'il est possible de dire: en attendant du mieux concernant les mails, les laisser en l'état. Travailler sur une soluce de messagerie privée et sécurisée qui permettra en outre de faire évoluer les usages en impliquant de la part de l'utilisateur, une identification stricte de ce qui relève des communications courantes et des communications privées." OliCat

publié le 12/10/2015 à 11h58

Cyril

@Genma D'accord, mais c'est pas forcément plus simple. Les gens ne comprennent pas ce qui est respectueux de l'hygiène/vie privée sur le net. Et je pense, principalement parce qu'ils ne savent pas comment tout ça fonctionne, Mme Michu en somme. Quelqu'un qui a pris l'habitude de ne pas se laver les mains après les toilettes, qu'il s'en foute ou non, ça va être très difficile de changer ses habitudes. ^^ Sur le net c'est un peu la même chose à mon avis... Mais je comprends ce que tu veux dire. @Galuel Merci du lien pour la monnaie libre.

publié le 12/10/2015 à 16h20

Lugr

Super billet ! <3

publié le 12/10/2015 à 22h14

Le Poisson Libre

Merci pour vos commentaires <3

publié le 17/10/2015 à 01h26

Gizeek

Je suis entièrement d'accors avec toi je m'étais moi même interrogé sur mon blog (http://www.gizeek.com/2015/09/25/une-partie-de-la-solution-le-chiffrement/) Je pense que les systèmes comme PGP ne perceront jamais auprès du grand public et encore: même chez les utilisateurs avertis ce n'est pas extrêmement répandu. Il faut trouver un moyen de rendre sa aussi facile qu'un SMS comme le fait SMSSecure

publié le 09/11/2015 à 09h04

Slx

A noter que l'intégration (et la simplification) d'enigmail a été proposé dans les améliorations prioritaires à apporter à Thunderbird

publié le 09/11/2015 à 10h37

Elessar

Pour ce qui est de l'utilisation d'un logiciel natif plutôt que d'un webmail, ce n'est pas vraiment compliqué à expliquer : beaucoup de gens font justement cela, sur leur téléphone. Il suffit donc de leur dire que ce sera pareil sur leur ordinateur : au lieu d'aller sur une site Web, ils lanceront un logiciel dédié à cet usage.

publié le 09/11/2015 à 14h23

Le Poisson Libre

@Slx c'est une bonne chose, mais je pense pas que la solution (si elle existe) vienne de Thunderbird.

@Elessar je ne suis pas d'accord, les gens sur leur téléphone ils ont "une application". Le rapport à l’informatique des gens est très différente sur mobile ou sur desktop. Même si c'est une app qui gère les mails, c'est "Gmail", ils ne voient pas le concept de client mail derrière.
Et puis, sur mobile on a des interfaces très pratiques et jolies. Par contre sur desktop, Thunderbird & Co ce n'est ni "material" ni "flat" ^^

publié le 09/11/2015 à 21h50

Aeris

Juste une remarque assez importante et qui renforce encore plus le bilan.

Il est très très très mal d’utiliser PGP/inline (pour tout plein de raison comme https://dkg.fifthhorseman.net/notes/inline-pgp-harmful/ ou https://www.phildev.net/pgp/pgp_clear_vs_mime.html ou http://josefsson.org/inline-openpgp-considered-harmful.html), et il faut absolument utiliser PGP/MIME.

Le problème de PGP/MIME, c’est qu’il est inutilisable en dehors d’un client mail lourd (Thunderbird, KMail, Claws-Mail ou autres), parce qu’il est nécessaire de prendre la main lors de l’envoi du mail pour le chiffrer (on ne peut pas juste chiffrer le contenu, il vaut avoir accès à l’ensemble du mail, en-tête comprises).
Ce n’est compatible ni avec un webmail (sauf Mailpile), ni avec les mobiles (K-9Mail ne sait pas faire de PGP/MIME, parce que PGP/MIME, c’est TRÈS complexe, voir par exemple https://twitter.com/aeris22/status/585433020213161984).

Les options pour PGP/MIME sont en plus généralement cachées au fin fond des menus des outils, et personne ne maîtrise réellement ce que ça fait…
Pour c’est con, envoyer en PGP/inline, ça ne chiffre rien d’autre que le corps texte du mail (ni le corps HTML éventuel, ni les pièces-jointes).

Ça ne fait donc que renforcer la conclusion finale : GPG, c’est malheureusement mort pour le grand public…

publié le 09/11/2015 à 22h20

homer242

Peut-être qu'une des clés pour changer cet état de fait est l'éducation ? A quand des cours en primaire et en secondaire pour expliquer internet, les logiciels, le système d'exploitation, ... ?

Il faut aussi simplifier l'utilisation du cryptage. Les gens ne veulent pas "perdre" 2 heures à lire du texte. Il faut inventer un truc visuel, un avatar crypto-numérique, expliquer en 2 images comment ça fonctionne. Simplifier au maximum sans perdre en sécurité, ce n'est pas forcément aisé à faire.

publié le 10/11/2015 à 10h47

AtomiKe

Salut,
Je commente vachement tard mais je viens de voir que l'application OpenKeyChain peut maintenant
déchiffrer/vérifier des emails PGP/MIME avec K9 mail et qu'ils prévoient de supporter tout le bazar un jour.
Voir : https://www.openkeychain.org/openkeychain-3-6/

publié le 10/12/2015 à 22h06

border0464

A tout les fois que qqcn m'envoi un mail sans pgp, Je repond systematiquement avec ma clef publique en attachement. Sans en faire mention;.

Si utiliser PGP est chiant, M'envoiller un mail en claire et recevoire des attachement indesirable l'est aussi.
A eyx de choisire leurs desagrements :)

publié le 21/01/2016 à 17h30





RSS Suivre les RSS