Proton Mail, La Poste, Infomaniak, Mailo… les messageries « souveraines » se multiplient. Mais elles reposent toutes sur le même protocole conçu en 1982 aux États-Unis, sans authentification native et sans chiffrement. Les normes de sécurité ajoutées depuis ont été définies par Yahoo, Cisco, Microsoft et Google. Et Gmail filtre une part considérable du trafic email mondial, sans que l’Europe ne puisse dire quoi que ce soit.
Article intéressant 
Même si le web et les emails sont mondiaux aujourd’hui, ça reste une invention US, et comme d’hab’ en Europe on s’occupe de rien… ben ça reste comme et c’est pas prêt de changer.
Le Web est une invention européenne, provenant du CERN.
7 « J'aime »
Exact le britannique Tim Berners-Lee en 1989 au CERN
1 « J'aime »
L’article est poussé et a un bon fond, notamment sur l’impuissance des États européens dans l’IETF. Mais je ne comprends pas le titre et une partie du contenu.
Si l’inertie du web dans son entièreté est telle qu’il est impensable d’envisager un changement du SPMT à un protocole sécurisé par construction, il semblerait que la « souveraineté » telle qu’entendue dans l’article à savoir la confidentialité des messages, doit passer par l’adoption massive de ces patchs qui renforcent le système, puis leur usage strict.
Les règles de Google citées vont selon moi dans le bon sens, et poussent tous les serveurs du monde à renforcer leur setup.
1 « J'aime »
Microsoft et Google sont tellement des larbins magas qu’ils ont supprimé des comptes mail de juges en Europe qui ne leur plaisaient pas. Quand on ne peut pas faire confiance a son hébergeur il fait aller ailleurs. Et si on veut sécuriser il y a des outils tiers
on ne parle pas de « larbin » mais de sociètés qui sont de toutes manières dans l’obligation de respecter un décret légal et qui quoi qu’il arrive n’ont aucun autre choix (ce qui ne veut pas dire qu’ils ne le font pas avec plaisir).
Et on peut lutter contre SI les citoyens choisissent un éditeur européen basé en Europe et utilisant des serveurs européen (et il en existe) mais cela ne fonctionnera que s’il y a une prise de conscience des l’ensemble des citoyens parce qu’à partir du moment ou vous êtes dans l’obligation d’envoyer un mail à un gus qui continu à utiliser nos « amis » américains c’est foutu. Et à mon humble avis c’est pas demain le veille.
Quand je vois la quantité de gens qui ne savent même pas comment fonctionne un envoi de mail…
A ma connaissance, il n’y a que Microsoft qui a fait cela et cela a été l’occasion de les remplacer.
Je me suis fait exactement la même réflexion. En France, il y a encore quelques hébergeurs et FAI peu sérieux qui utilisent le POP (port 110) et l’iMAP non chiffré (port 143) et qui ne font aucune vérification (SPF, DKIM, Dmarc) de l’authenticité des mails reçus par les utilisateurs. Même OVH est souvent blacklisté, ce qui rend son SMTP quasi inutilisable pour écrire à une banque.
On ne peut donc pas reprocher à Gmail de faire ces contrôles, ce qui n’empêche pas de recevoir beaucoup de mails d’escroqueries qui viennent d’une adresse gmail.
Par contre, regardons là où cela coince:
" En combinant les protocoles DMARC, BIMI et les certificats Verified Mark (VMC), Gmail permet désormais de distinguer visuellement les expéditeurs de confiance, ce qui permet aux destinataires d’identifier plus facilement que jamais les marques légitimes."
Ces certificats BIMI (adossés à un dépôt de nom de marque) coûtent la somme astronomique de 1500 $ par an et par nom de domaine ! Bien entendu, c’est commercialisé sans aucune concurrence uniquement par les vendeurs américains de certificats SSL.
Sinon, j’ai découvert récemment qu’Orange France utilise les services de la société américaine Abusix pour filtre les mails de ses clients: c’est scandaleux et certainement pas conforme au RGPD !
J’ai appris à cette occasion que non seulement il faut un enregistrement reverse-ip (appelé aussi R-DNS) pour l’ip du serveur SMTP expéditeur (ce que je savais depuis 20 ans) mais Abusix exige que ce reverse contienne un de ces trois préfixes: server, mail, smtp.
autant pour moi, je parlait de l’origine d’internet par les US.
Aucun des protocoles de base de l’internet ne comprend l’authentification de la source ou du destinataire, ou un contrôle d’intégrité. La majeure partie de la sécurité de l’Internet est composé d’ajouts tardifs et plus où moins bien intégrés.