Les E-mail en HTML, les pièces jointes, et texte en continu dans Enigmail

A propos de l'auteur du texte Micah Lee Follow

Micah Lee Follow, est, en autre, l'auteur du Tor Browser Launcher dont je parlais ici, est CTO at Freedom of the Press et à ce titre a crée SecureDrop.

Le texte originel se trouve à l'adresse suivante : HTML email, attachments, and flowed text in Enigmail

Note de traduction J'ai traduit flowed text en "texte en continu". L'idée est que l'on a un retour à la ligne que lorsque l'on atteint le bord de la fenêtre de rédaction du message/visionnage du message et non au bout de 72 caractères.

DEBUT DE TRADUCTION

J'ai remarqué que beaucoup de gens quid débutent GPG ne veux vraiment pas à renoncer à leur e-mail en HTML, bien que l'assistant de configuration Enigmail recommande de le faire.

L'assistant de configuration d'Enigmail

Les utilisateurs ont également eu des problèmes bizarres avec les pièces jointes lors de l'envoi des emails signés ou chiffrés. Et lorsque vous utilisez les paramètres par défaut de Enigmail et rédigez vos messages en texte clair, Enigmail désactive le "flux continu de texte", les lignes soit limitées à 72 caractères.

Well, none of this is actually a problem if you use PGP/MIME, which is the recommended way of using OpenPGP anyway. You can safely compose messages in HTML, there are no problems with attachments, and if you use plaintext email it's completely fine to use flowed text. Here's how to configure Thunderbird to work with PGP/MIME.

Eh bien, rien de tout cela n'est en fait un problème si vous utilisez PGP / MIME, qui est la méthode recommandée pour utiliser OpenPGP de toute façon. Vous pouvez rédifer en toute sécurité des messages au format HTML, il n'y a pas de problèmes avec les pièces jointes, et si vous utilisez la rédaction de courriel en mode non html, il est tout à fait possible d'utiliser le mode "texte en continu". Voici comment configurer Thunderbird pour utiliser PGP / MIME.

Allez dans les Paramètres du compte. Sous Windows et Linux, cela se trouve dans le menu Edition, sous Mac OS X c'est dans le menu Outils. Aller dans la partie OpenPGP (si vous avez plusieurs comptes de Thunderbird vous aurez besoin de faire cela pour chacun).

Activation PGP / MIME

Assurez-vous que "Utiliser PGP / MIME par défaut" est cochée. Pendant que vous y êtes, vous pouvez activer, si vous le souhaitez, la signature des mails chiffrés et et non chiffrés par défaut.

Une fois que vous avez activé PGP / MIME, il est complètement sûr d'utiliser l'HTML pour la rédaction des e-mail, il n'y aura plus de problèmes avec pièces jointes, et on peut également utiliser le mode "texte en continu".

Si vous souhaitez rédiger un email HTML, allez dans la fenêtre de rédaction du message et assurez-vous que "Ecrire des messages au format HTML" est coché. Remarque : il existe des arguments valables contre les mails HTML, mais ce n'est pas lié à un problème de sécurité, et certaines personnes détestent les email formatés en colonne. C'est donc un bon choix.

L'éditeur de configuration de Thunderbird

Lorsque vous l'ouvrez, un message d'avertissement vous prévient. Mais vous pouvez continuer et cliquez sur " Je ferai attention, promis." C'est exactement la même chose que d'aller dans about : config dans Firefox. Ensuite, vous pouvez lancer une recherche sur "send_plaintext_flowed" et double-cliquez sur le paramètre pour changer la valeur de false à true. Et en passant, vous pouvez modifier toutes les préférences de Thunderbird, y compris celles qui n'ont pas une interface graphique pour être changées ; comme certains changements peuvent tout casser, soyez prudent.

Traduction du premier commentaire de l'article

Note de Genma : j'ai également traduit le premier commentaire car il apporte un complément d'information.

Des gens m'ont demandé pourquoi Enigmail désactivait la possibilités d'envoyer des e-mail au format HTML, et j'ai remarqué que, lors de l'utilisation de l'assistant d'Enigmail, il demande de désactiver le formatage HTML. C'est article est un bon guide pour le réactiver, donc merci. J'ai toujours dit "Si vous avez besoin de mail au format HTML, ne le décochez pas dans l'assistant." En fait, je recommande de ne pas utiliser l'assistant Enigmail du tout, mais de générer ses clés directement via l'outil de ligne de commande gpg, du fait que certaines de ses options sont plus complètes et que les conséquences de nos choix soient plus correctement mentionnés.

Cependant, j'affirme dans mon guide sur GPG que PGP / MIME va probablement limiter votre capacité à contacter de nombreuses personnes qui (à juste titre) utilisent GPG, et je recommande donc de ne pas utiliser PGP / MIME. La réception par Enigmail de pièces jointes chiffrées et des clés publiques est cassé, et souvent ça ne peut même pas déchiffrer et importer, par exemple, une clé publique se trouvant en pièce jointe. (Essayez en vous envoyant une clé publique chiffrée ou non à vous-même comme une pièce jointe via Enigmail, puis essayer de l'importer.)

Enigmail a aussi plusieurs problèmes/bugs de sécurité graves : si l'extension rencontre un message PGP / MIME, elle va essayer automatiquement et silencieusement de déchiffrer, même si vous avez dit à Enigmail de ne * pas * déchiffrer automatiquement les messages ! C'est une très mauvaise chose si quelqu'un regarde par-dessus votre épaule, et l'extension oublie de que le message n'a été chiffré du tout, de sorte que vous pourriez oublier de chiffrer une réponse, etc.

Pour ces raisons, je suis personnellement contre l'utilisation de PGP / MIME pour le moment, même si les deux parties (destinataires et envoyeurs) utilisent Enigmail, et je recommande tout simplement d'utiliser du texte chiffré ASCII (plain ASCII-armored encrypted text) dans le corps d'un message en clair. Il vous permettra d'atteindre plus de gens et de réduire le risque que vos pièces jointes soient illisibles ou non attachées au mail envoyé.

De plus, l'imprévisibilité est la clé d'une bonne pratique de chiffrement. Pour cette raison, je recommande fortement l'utilisation de HTML dans les messages chiffrés, car cela donne une longue série de "texte connu". Si ce n'est pas évident de comprendre pourquoi un bloc de texte connu peut être mauvais, il faut regarder du côté de cette récente faille sur le largement utilisé (mais pas dans GPG) mode de chiffrement RC4 qui permet, si vous connaissez un petit nombre d'octets du texte en clair (un nombre aussi bas que 6) de récupérer le reste du message, en se basant sur cette partie de texte chiffré (mais connu). Plus les messages sont "imprévisibles", plus ils seront dur à décrypter/casser.

Cet article aide donc à être toujours en mesure d'envoyer des messages au format HTML pour ses mails, et en cela il est très utile, mais vous n'utilisez pas de code HTML dans vos mails chiffrée si vous voulez que votre message soit aussi "imprévisible" que possible.

Note de traduction : imprévisible dans le sens où si on peut prédire des bouts du texte, on peut "décrypter" (et non déchiffrer, car dans ce cas on aurait la clef de déchiffrement) le message chiffré en utilisant les parties connues du message, et en déduire la clef ou une partie de la clef.

Vus : 1478
Publié par genma : 387