Re: Messages signés avec PGP rejetéspar le Ministère de la c…

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: guilde
Old-Topics: Re: Messages signés avecPGP rejetés par le Ministère de la culture
New-Topics: Re: Messages signés avecPGP rejetés par le Ministère de la culture
Subject: Re: Messages signés avec PGP rejetéspar le Ministère de la culture
    Bonjour,

Le 30/12/2011 01:01, E. Prom a écrit :
> On Friday, 23 December 2011, 21:46:07 +0100,
> "E. Prom" <e3prom@???> wrote:
>> "Google tried to deliver your message, but it was rejected by the
>> recipient domain. We recommend contacting the other email provider for
>> further information about the cause of this error. The error that the
>> other server returned was: 550 550 5.5.0 PGP/SMIME encryted message is
>> rejected (state 18)."
>
> J'ai reçu une réponse du Ministère de la culture!
>
>
> Le 29/12/2011 11:40, reseau.sdsi@??? a écrit :
>> Bonjour,
>>
>> Les règles de sécurité pour les outils de messageries ministérielles,
>> nous demandent de rejetés les mails cryptés et signés par PGP.
>>
>> Cordialement,
>>
>> Equipe réseau
>
> En gros, "on fait comme ça parce qu'on fait comme ça". Je n'ai pas le
> courage d'aller plus loin... Cette réponse est pour moi le signe d'une
> organisation où les gens ne comprennent pas ce qu'ils font, n'osent rien
> changer de peur de se faire engueuler, et n'ont rien à gagner à en
> parler autour d'eux puisque les autres sont dans la même situation.
>
> Plutôt désespérant.


    Sans vouloir défendre ce cher ministère qui a su nous pondre une
horreur comme HADOPI, et qui ne vas pas tarder à mettre tout les FAI au
DPI, je pense que cela peut s'expliquer (je n'ai pas dit "comprendre"):


- interdiction des mail chiffrés:
- Soit ils veulent pouvoir continuer à utiliser toutes sortes de
mécanismes de filtrages & et de recherche par mot clé dans les mails. La
confidentialité du contenu des courriers en prend un coup, mais le
problème est le même pour tout le monde (*).
- Soit nos ministères n'ont pas d'outils communs de mail, et que les
risques d'incompatibilités pour ce genre de fonctionnalités est trop
important (Messagerie Lotus, Outlook, Thunderbird, etc...). Auquel cas,
rejeter les mails chiffrés est plus simple que de trouver une solution.

(*): Et puis, si ils ont réellement une information sécurisé à
s'échanger, ils peuvent la faire transporter dans une enveloppe scellée.

- interdiction des mails signés:
- Je pense que les utilisateurs ne savent pas que la signature ne
suffit pas à garantir l'authenticité de l'origine du message. Il faut
pour cela que le message soit chiffré avec une clé validée par un
intermédiaire de confiance. Aussi, et afin d'éviter une situation ou un
utilisateur croit de bonne fois que l'identité de l'expéditeur est
garantie (par une mécanisme de chiffrement non fiable, ie: auto-signé),
les mails signés sont rejetés.
- Autre hypothèse encore plus simple : Le serveur de mail a rejeté le
mail parce qu'il utilisait un header "SMIME encryted", et que celui-ci
n'est pas capable de faire la différence entre un mail chiffré+signé et
un mail uniquement signé.

    D'après Google
http://www.google.fr/search?q=%22PGP%2FSMIME+encryted+message+is+rejected%22
, le message "PGP/SMIME encryted message is rejected" apparaît dans la
doc d'un serveur de mail appelé "FortiMail". La dite doc parle
clairement d'une option visant à bloqué les mails "SMIME encryted", sans
faire de distingo entre mail chiffré et signé.


    Conclusions :
- mauvais serveur de mail
- réponse imprécise de l'équipe réseau, qui soit ne maîtrise pas
forcément cet outil, soit à préféré resté vague.


    Cordialement,


                        Olivier


-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!