France Télécom certifie les e-mails

c'est bien trops cher pour un particulier ( 120 € soit 787 francs par ans ), ce sera réservé aux transactions entre entreprises et ne changera en rien dans la pluspart des cas . cela me rappelle monéo ( un moyen de piquer de l'argent pour un service non nécessaire )

Ce sont plutôt les mails des cons qui insultent à tout va que je voudrais avoir certifiés pour ne pas à m'occuper de leur ip et aller directement au commissariat.

Il suffit d'eliminer toutes les boites hors providers où les identités ne sont pâs verifiees style Hotmail,Yahoo etC

Pourquoi ne pas utiliser plutot des produits comme GnuPGP... Ca signe et s'est "quasi" gratuit enfin c'est vite dit, il faut quand meme faire certifier sa clé de cryptage... Sinon ca sert pas à grand chose...

1. Je trouve qu'il est hallucinant de voir que nombre de personnes qui s'expriment dans ces forums ne connaissent rien aux sujets sur lesquels ils donnent un avis. Refléchissez et moins d'âneries seront proférées sur ces forums!

2. Cette précision faite, je propose une explication simple à l'émergence de ces services. Entende qui pourra. Ces services de certification entrent dans le cadre de la dématérialisation des flux (principalement entre entreprises) et vise à sécuriser (terme éculé j'en conviens) les communications internet (notamment les mails). La législation en France a évolué et permet désormais à des entreprises (et dans le futur à des particuliers) d'effectuer des échanges via internet qui sont certifiés et ont valeur de preuve. Ces services permettront une fois implémentés et utilisés par les entreprises d'accélérer les échanges et de réduire les coûts (postaux principalement).

Cordialement,

M

GNUPGP ne certifie pas que l'émetteur du mail est bien Mr bidule, juste que le message n'a pas été modifié. Un message signé fait cela mais en plus il certifie que c'est bien Mr bidule qui l'a rédigé.
GnuPGP ne sert finalement à pas grand chose...

10€/mois est vraiment excessif, on peut obtenir une signature chez twathe gratuitement, mais également chez verisign et consors pour moins cher...

êtes vous certain que M.Bidul était devant son outil?
rien de nouveau...!

A suivre........

GnuPG (ou PGP) est tres bien concu.
Il suffit juste de s'assurer que le fingerprint de la clé est le bon (je passe les details). et ca, ca se fait avec l'expediteur du mail, uniquement la premiere fois qu'on recoit un mail de cet personne. j'ai pas dit que le systeme de FT etait pourri, mais on peut s'en passer. (et ca se pratique depuis pas mal de temps)
en tout cas, le systeme de FT est ptet plus simple pour le commun des mortels.

Les forums sont un lieu d'expression , non reservés à des intervenants comme vous qui ne sortent que des banalités qui ne font en aucun cas avancer la discussion.Les entreprises ne font ni ne feront jamais appel à un support internet pour certifier une communication importante .Visiblement vous n'etes pas tres au courant de la gestion d'une entreprise.

PGP a un système de confiance multi-niveaux trés bien conçus et bien antérieur aux PKI.
La signature numérique repose sur un principe de confiance qui prend des formes différentes, mais qui est fondamentalement équivalent. Les cryptosystèmes conventionnels et à clés publiques utilisés sont les mêmes dans les deux systèmes. Tout repose sur la confiance interpersonnelle (PGP) ou déléguée à un tiers (PKI). C'est en fait la notion de confiance que l'on attribue au système qui est le point central.
PGP est trés répandu est gratuit. CertiMail - à mon avis - ne prendra pas auprès du marché résidentiel. Entre PGP et les diiférentes offres PKI à destination des particuliers, CertiMail risque d'avoir du mal à s'imposer. Seuls le marché des entreprises peut être intéressé pour authentifier les échanges emails (commande, facture, information, documentation, ...), là, ils sont plusagressifs en terme de prix.

tout a fait d'accord ! Si on fait un calcul de tout ce que l'on paye -abbo FT, acces internet, carte bleue, chéquiers, moneo (la bouse de la décennie),parcmètres, antivirus, taxes démesurées sur le carburant (!), redevance télé (la bouse du siècle), etc...etc... et qu'on fait le tri entre ce qui est vital (ou qu'on veut ns faire croire) et ce qui ne l'est pas (ou qui pourrait très bien ne pas l'être ds une VRAI démocratie...on se dit qu'on vit vraiment sur un drôle de caillou !

désolé mais dix euros/mois pour diminuer les coûts c'est ok pour un PME...par pour Mr X qui devra tjrs utiliser ses p'tite gambettes pour aller signer ses recommandés...plus Internet se mondialise, plus il s légifère et moins il se démocratise...ça ne vs rapelle rien ?

Le principe est que la personne utilise une carte a puce relié à l'ordinateur par un port usb + un code secret pour signer, il n'y a donc que lui qui l'utilise a moins que la personne donne sa carte et son code à n'importe qui mais là ce serai vmt un abruti...

entre ce systeme qui utilise une entreprise a qui on fait confiance et un systeme comme PGP lequel est le plus sure ?

dans le cas present, FT fournis une cle qui authentifie que c'est Mr X qui a ecris le mail grace a la cle sur la carte USB et le code verifier par leur soin.
dans le principe de la signature PGP, on cree une cle associer a son nom MrY et ont la place sur un server qui stock les cle. au debut votre cle est considere comme peu sure car personne a verifier que vous etes vraiment MR Y mais au fur a mesure des rencontre des gens vous reconnaisse et assure que vous etes le Mr Y associer a la cle (genre rdv d'affaire ect ... chacun presente son identifiant et ca carte d'identité) alors ces personne assure que vous etes bien ce MR Y sur le server et la cote de surete augmente (plus ou moins si la cle de celui qui vous reconnais est considere comme peu sur ca a peu d'impact mais si la personne est reconnu comme sure ca augmente plus sensiblement).

donc dnas le 1er cas je vais voir Mr FT je lui presente ma carte d'identite et il me file une cle pour certifier mes mail, je fais confiance a Mr FT.

dans le 2e cas je cree ma cle puis au hazard des rencontre, je vois X personne a qui je presente ma carte de visite avec ma cle (enfin c pas le cle je c plus comment ca s'appel) et ma carte d'ident et X personne me considere comme sure et l'indique sur ce server libre d'acces.

vous prefere faire confiance a une entreprise et payer Xeuros ou faire confiance a X personne et rien payer ? c'est certe un peu plus long pour avoir une cle sure mais a mon gout elle est plus sure que celle de FT.

pour les personnes rencontre ca peu etre des gens de son entourage ou que des personnes de son environnement proffesionnel.

il y a tous les jours des personnes qui sont débitées sur leur compte en banque et ils n ont pas donné leur carte et leur code. Ils n étaient pas présents à la samaritaine et pourtant quelqu'un a fait des achats à leur place et ils doivent prouver leur bonne foi.
si on ne prend pas garde quelqu'un signera une lettre à votre place et vous devrez prouver que vous n étiez pas devant votre machine pour signer la lettre.
aujourd hui, ma signature est à la vue de tout le monde mais si quelqu'un imite cette signature j ai un recours immediat car c est un faux.

avec une carte la charge de la preuve change de camp et c est dangereux.

il est indispensable d'avoir un système de reconnaissance pour signer électroniquement et pour l instant ce n est pas le cas

Inculte ? Peut être !!! Sérieursement, les entreprises adoptent les innovations qui réduisent les coûts et accroissent la productivité. Les sites institutionnels, les VPN IPSec, la dématérialisation des transactions (en plein dedans, c'est le domaine de CertiMail). Il s'agit d'accroître la confiance dans l'échange via mail. L'échange inter-entreprise par mail a pris une telle ampleur ces dernières années qu'il n'est pas question de faire un retour arrière (rapidité, simplicité, gain de productivité...). Le hic, c'est la garantie que les parties communicantes soient bien celles qu'elles prétendent être. Et la signature numérique offrent ce type de service. Maintenant, PGP a déjà une part de ce marché de manière informel. Personnelement je l'utilise pour la signature nuémrique et la confidentialité pour échanger des documents d'ingénièrie avec des partenaires. Et j'échange qu'avec des partenaires, client, fournisseur. N'est-ce pas l'essentiel de nos mails professionnels ?

Et la carte bancaire, auprès d'un distributeur, tu saisis ton code confidentiel et on te donne des billets. C'est pas une notion de confiance ça ?
Sérieusement, personne ne laisse traîner une carte bancaire, c'est pareil avec une carte à puce ou une clé USB. C'est perso, il y a un code PIN (ou une authentification biométrique) et le principe de la signature numérique est déjà éprouvé.
Si tu perds ta carte, tu peux faire opposition (CB) ou invalider ta clé publique.
Ce n'est d'ailleurs pas la présence physique qui est en jeu, car une entité morale, qui n'a pas d'existence physique, peut posséder une clé publique et signer numériquement des échanges par l'intermédiaire de mandataires (dirigeant ou salarié)...
Toutes nos relations sont basées sur la confiance, à partir du moment ou nous échangeons avec autrui. Et chacun construit sa propre hiérarchie de confiance.

Lorsqu'on se fait dérober sa carte et son code(ça arrive)ou qu'il y a fraude à la carte (ça arrive aussi)on limite effectivement les dégats en faisant opposition à posteriori.Mais n oublions pas que le détenteur de la carte est toujours le premier suspect.Le préjudice se limite à une somme d'argent et est réparable.
Imaginons maintenant l'envoi d'un mail signé électroniquement qui transmet un ordre à exécution immédiate (ceci dans tous les domaines)et aux conséquences irrémediables.
Le fait de déclarer la carte volée et d'invalider sa clé ne sert plus à rien car le mal est fait et le préjudice est irréparable.
On peut aussi imaginer l'envoi de la fausse information de la part du détenteur de la carte qui la déclare ensuite perdu.
C'est pourquoi il n est pas possible de remplacer une signature liée à un ecrit qui engage sa responsabilité par un simple code et une carte.
La signature électronique ne peut être qu'un ensemble liant l'identité du signataire à une mesure biométrique qui assure sa présence devant l'outil et son engagement à l'écrit.
Et peu importe si le signataire dispose d'une délégation de signature, c'est la présence du signataire et sa reconnaissance qui doivent être sures.

Mais n oublions pas que le rôle et la responsabilité du certificateur s'arrête au contrôle de l'identité au regard des infos de la clé.Tout le reste est de la responsabilité du détenteur.

Enfin, si un lien existe entre la mesure biométrique et l'identité de la personne, le correspondant peut être assuré que celui qui transmet l'information est bien celui qu'il prétent être.
A partir d'un système évolué, il n'est plus nécessaire d'avoir recours à un certificateur sauf pour les documents à caractère juridique.Mais ça FT ne le dit pas.

CQFD

le particulier otage des disfonctionnements et mouton à tondre une fois de plus !
Entreprises idem, avec enjeu bien plus grand !
Lire Jacques Ellul l'homme qui avait (presque) tout prévu.... aux disfonctionnements du progrès répondront toujours de nouveaux progrès... exemple typique ... qui à leur tour disfonctionneront...

oui, ce service ne fait payer que la preuve si on a
besoin, sinon, c'est gratuit !

encore un moyen de prendre du fric pour les particuliers sa n'a aucun interet pour les entreprises peut etre

Je propose aux particuliers et aux entreprises d'envoyer des mails certifiés True Blond ... pour cela l'expéditeur devra s'équiper d'un scanner USB et d'un poil de zigoune soigneusement prélevé sur sa personne (150€/an) Bonne pioche au barbu ;o)

Il manque une précision dans l'article?

et c'est pourtant là le point l eplus important:

de quelle manière le destinataire à t'il la preuve que la mail est bien certifié par france télécom, et que ce n'est pas un spam (copie d'un mail certifié france télécom utilisant une adresse mail france télécom ou l'adresse mail du du destinataire)

C'est le principe de la signature numérique basée sur la cryptographie à clé publique.
Doculente-toi, car c'est trop long à expliquer en quelques mots.

C'est que Wanadoo va vendre ceci aux particuliers en surfant sur la vague Blaster : Bla-bla c'est pour votre sécurité, bla-bla çà être évitera Blaster...
Surtt que Blaster est l'un des vers les + pénibles puisqu'au lieu d'envoyer un mail il utilise un buffer o/flow sur unr faille MS (port 135, RPC) pour télécharger le vers sur un serveur. Donc le petit truc de Wanadoo, il ne sert ni pour Blaster, ni pour les vers Outlook "classique". Que les néophytes s'en souviennent ;)

KULT et d'autres, Savez vous de quoi vous parlez ? Bien sûr que la certification électronique joue un rôle dans les contrats entreprise et elle joue un rôle de plus en plus prépondérant... Pour un particulier, ce service ne présente quasiment aucun intéret mais avoir une certification quand on est professionnel peux vraiment s'avérer fort utile ! Le tout est de jouer sur le type de certificat selon le type de transaction. Les certificats de classe 1 étant des certificats de démonstration, il ne faut surtout pas s'en servir à moins que ce soit un test. Il faut voir les certificats de classe 2 ou 3 pour une sécurité accrue de l'échange. Vous parlez de la certification électronique comme ceux qui parlait du téléphone avant : ca ne marchera pas. Mais à la différence près c'est que si vous étiez bien informé, vous sauriez que ca se fait déjà et que le nombres de demandes de certifications de la part des professionnels augmente ! A ce niveau il faut pas se demander si c'est bien ou pas de certifier mais si la pc et la rpc de FT est correcte...

En revanche comme cela a été dit auparavant, ne croyez pas que cela vous protégeras des vers et autres virus car à la limite le seul bénéfice que vous pourriez en tirez est de n'accepter que des messages certifiés (ce qui est tout de même une garantie subjective) mais il existe manière et manière de recevoir un virus...

Tiens donc, encore un p'tit truc qui fonctionnera que sous windows sans doute...

Ronan,

tu ferais mieux de travailler au lieu de surfer sur les forums

Pour comprendre de quoi il retourne, je pense qu'il faut renvoyer l'ensemble des personnes qui se sont exprimées sur ce forum, vers la Directive Européenne sur la signature électronique, vers la loi française portant adaptation du droit de la preuve au technologies de l'information et au décret d'application associé.

Cela dit, on mesure ici l'effort qu'il va être indispensable de fournir pour les utilisateurs potentiels de ces technologies comprennent les mécanismes et les enjeux.

En ce qui me concerne, le jour où j'utiliserai de la signature électronique pour un acte engageant ma responsabilité financière et/ou pénale, je le ferais dans le cadre d'une signature électronique sécurisée (avec un dispositif de signature électronique évalué et certifié) car tout le problème repose sur la confiance que l'on accorde au dispositif de signature. Les questions du genre: suis-je le seul à pouvoir signer ? (un autre processus ne peut-il pas écouter puis rejour) suis-je certain que je signe ce que je vois à l'écran et rien d'autre ? ...

j'ai lu la doc sur http://www.certimail.fr : les api sont Open Source donc tu peux programmer des interface de mail certifié pour tous les OS que tu veux