Certificats numériques

[xavier]

Bonjour,

Je ne sais pas si c'est la bonne catégorie, mais je ne voyais aucune autre plus appropriée.

Quelle est votre opinion sur les crtificats nimériques?

Il est vrai qu'aujourd'hui nous vivons dans un paradoxe: des utilisateurs paniquent qaunt à laisser leur numéro de carte de crédit sur un site mais remettent celle-ci 5 fois par jour pour payer, ce qui veut dire que 5 fois par jour ils communiquent ce numéro..

D'autre part, ces mêmes utilisateurs méfiants envoyent des mails sans aucune certitude que personne d'autre ne les lira. Ou encore elles accordent crédit aux mails qu'elles reçoivent parce que dans la zone expéditeur figure l'adresse e-mail de quelqu'un qu'elles connaissent bien...alors qu'il est facile de se faire passer pour quelqu'un d'autre.

Et pourtant la solution existe: les certificats numériques qui garantissent que le mail vient bien de l'adresse e-mail de la zone "expéditeur" et qui garantissent en plus que le message n'a pas été modifié en route. Si les deux correspondants ont un certificat numérique, il est alors possible de crypter les mails et personne d'autre ne pourra les lire.

Utilisez-vous des certificats?

Qu'en pensez-vous?

Xavier

[Maxime Grandchamp]

Bonjour,

Non, nous n'utilisons pas de certificats, comme la majorité des gens d'ailleurs.

Le problème vient de plusieurs facteurs:

- le manque d'universalité de la solution
- le manque d'éducation du public
- les difficultés d'implémentations

Rien n'empêche par exemple d'utiliser PGP, mais la grande majorité des correspondants se poseraient la question de savoir ce que cela représente...

Prenez par exemple le monde juridique. Envoyez ou recevez un email à un juriste ou un cabinet d'avocat, ou un notaire, ... et vous recevrez une réponse sous forme d'email non certifié et non sécurisé.

Je pense que tant que les personnes ayant le plus besoin de ce type de services ne l'utiliseront pas, le grand public n'en verra pas l'intérêt et ne l'implémentera pas.

Cordialement,

[Gautier Girard]

Bonjour,

Sans compter que l'utilisation de certificats numériques ou autres méthodes d'encryptages font plus peur qu'elles ne rassurent.

Je m'explique. Abonné à des mailing-listes avec pour certaines plusieurs centaines d'inscrits et environ 200 emails échangés par jour pour certaines d'entre-elles, certains inscrits ont expérimentés des certificats numériques d'une part, et des solutions d'encryptages dont notamment PGP d'autre part. Le résultat sur un tel volume d'emails et de personnes inscrites est plus que mitigé.

Deux réactions se sont manifestées, suivant la "catégorie" des inscrits.


** Les "vétérans", ceux qui connaissent le web depuis des années et qui en sont très familiers, ont eu une réaction négative très poussée (je vous passe les termes employés). Ce qui en ressort pour parler constructif, c'est :
- Ces méthodes ne sont pas compatibles avec tous les clients mail.
- Elles surchargent inutilement et de manière considérable le poids de chaque email reçu.
- Les erreurs dans la configuration des certificats ont provoqué de nombreux plantages avec des clients mail dits "sensibles" comme Outlook Express / Outlook.
- L'ajout de certificats numériques estampillés "Microsoft" a provoqué un tollé avec des revendications contre "Big Brother". Ce qui en ressort c'est donc également un certain manque de crédibilité des solutions existantes.

** Les "néophytes", eux, ne savaient pas ce qu'étaient les certificats numériques et les méthodes d'encryptage. Outre les effets néphastes concernant la compatibilité et la lourdeur des messages envoyés, cela leur a fait plus peur qu'autre chose.
- Certificats numériques attachés : qu'est-ce que c'est, un virus ? Pourquoi s'est-il ouvert tout seul ? Ou suis-je infecté ? Pourquoi devrais-je appuyer sur le bouton comme il est demandé pour lire le message ? Encore un nouveau virus ? Je vous passe les détails des discussions qui ont suivi.
- Signatures PGP : les signatures ont réellement fait peur, les inscrits ont cru à un bug de leur client mail ou à un virus.

Dans tous les cas, ce qui ressort pour le moment, c'est :
- Le manque de visibilité des solutions.
- Le manque de compatibilité.
- Le manque "d'éducation" des internautes.
- Le manque de crédibilité des solutions et des sociétés éditrices.

[xavier]

D'accord avec certains point Gautier,

Il faut cependant bien dire que la confidentialité d'un message que l'on met sur un forum est faible...

D'autre part, il faut tout de même se poser la question si nous acceptons de prendre le risque que tous nos mails, vers nos clients et de nos clients soient lus par une tierce personne, par exemple notre concurrent favori.

Science-fiction? Une société a eu le cas. Et nous savons tous comme c'est facile. Les programmes de serveurs prévoient toutes ces facilités, par exemple envoyer une copie des mails à un autre destinataire.

J'ai fait mon choix. J'ai décidé d'envoyer tous mes courriers professionnels avec mon certificat, en engageant mes clients de faire de même.

Pour le point de la non universalité, c'est le cas aussi des pièces jointes. Certains serveurs les suppriment d'autre empêchent de les ouvrir. Vais-je dès lors arrêter d'envoyer des pièces jointes au cas où?

Dans ce cas j'en profite pour proposer une boîte pop...

Xavier

[Gautier Girard]

Bonjour,

D'accord avec certains point Gautier,
Il faut cependant bien dire que la confidentialité d'un message que l'on met sur un forum est faible...

Bien entendu. L'apport de ma contribution est posé en terme d'utilisabilité à grande échelle et avec des profils d'utilisateurs différents.

Pour le point de la non universalité, c'est le cas aussi des pièces jointes. Certains serveurs les suppriment d'autre empêchent de les ouvrir. Vais-je dès lors arrêter d'envoyer des pièces jointes au cas où?

Dans ce cas j'en profite pour proposer une boîte pop...

Xavier

Ce n'est pas ce que Maxime Granchamp dit et ce n'est pas ce que je dis. Ce que l'on dit, c'est que le grand public ne connais pas bien encore ces méthodes. Ce que je pense pour ma part, c'est que de ce fait, cela engendre beaucoup trop de désagréments pour le moment.
Je n'ai rien à priori contre ces certificats, je parlais de leur application grand public aujourd'hui.

[xavier]

Sorry si j'ai donné l'impression d'interpréter;





Xavier

[David Latapie]

Dans tous les cas, ce qui ressort pour le moment, c'est :

• Le manque de visibilité des solutions
• Le manque de compatibilité.
• Le manque "d'éducation" des internautes.
• Le manque de crédibilité des solutions et des sociétés éditrices.

Cinq ans plus tard, est-ce que ça a changé ?