Re: S/MIME c'est bien, PGP c'est mieux ;-)

["Michel Bouissou" <adresse@cachée>]

Bonjour,

Christophe Labouisse a écrit:

> Je partage tout à fait l'avis de Michel sur PGP et S/MIME et il est
> vrai que j'aurais vraiment préféré une identification avec PGP à celle
> qui a été mise en place.

Merci ;-)

> J'ai l'impression qu'à part Netscape Messenger et Outlook il n'y a
> aucun client ou presque supportant S/MIME.

En effet.

> Ce manque de client est renforcé par le fait qu'il est nécessaire
> d'avoir un client conçu pour faire du S/MIME car il n'existe pas, à ma
> connaissance un moyen de faire du S/MIME à partir d'un client ne
> supportant pas cette fonctionnalité.

En effet, aussi.

> En revanche PGP est, tout au moins sous Unix (je ne connais pas assez
> Windows et MacOS pour en parler), beaucoup plus largement diffusé que
> S/MIME.

PGP existe sur toutes les plate-formes possibles et imaginables, Windows,
MacOS, jusqu'au PalmPilot ;-)

En termes de "diffusion", dans la mesure où I.E. / O.E. et/ou Netscape sont
quasiment partout sur PC et Mac, on pourrait considérer que S-MIME est plus
largement "diffusé" que PGP, encore que la très grosse majorité de ces clients
actuellement installés comportent des SSL/S-MIME "mutilés" qui ne permettent
pas le chiffrement ou le limitent à 40 ridicules bits.

La "fortification" du chiffrement d'I.E. / O.E. n'est disponible par
téléchargement chez Microsoft que depuis quelques mois (encore faut-il le
faire...) et il en va de même de la disponibilité "facile" de versions 128 
bits
de Netscape.

Cette large "diffusion" de S-MIME, pour autant, ne change rien au fait qu'il
n'est quasiment pas UTILISE à l'heure actuelle.

A contrario, PGP est certainement installé sur moins de machines PC / Mac, 
mais
ceux qui l'ont installé s'en servent ;-)))

Comme je l'écrivais dans un précédent mail (non diffusé sur cette liste):

<<<<<
Quelques chiffres:

Uniquement pour la DERNIERE version FRANCAISE PGP 6.5.1fr disponible depuis 
fin
1999:

- ZDNET qui hoste PGP 6.5.1fr affiche 13757 téléchargements
(http://logitheque.zdnet.fr/cgi-bin/a_logi.pl?File_ini=ficlogi.zd&ID=4423)

- Le site de référence "PGP en Français" (http://come.to/pgpenfrancais) 
affiche
sur sa page de téléchargement de PGP 6.5.1fr
(http://www.geocities.com/SiliconValley/Bay/9648/pgp651fr.htm) 19868 visites
depuis le 16/01/2000.

Cette version 6.5.1fr est une version bénévole compilée par des bénévoles
francophones. Elle est disponible sur de nombreux autres FTP pour lesquels je
n'ai pas de stats de téléchargement, mais on peut parier qu'il y en a quelques
autres dizaines de milliers. De plus, cette version de PGP a été également
publiée sur de nombreux CD-Roms gratuits, et il est dès lors difficile de
connaître le nombre de possesseurs de ces CD-Roms qui utilisent effectivement
cette version.

Outre cette version bénévole, il existe également la version officielle
Freeware française PGP6.5.1intFR du CNLAB, sous contrôle de Network 
Associates.
Cette version connaît probablement une diffusion égale ou supérieure à celle 
de
la version "bénévole" et a été également publiée sur divers CD-Roms gratuits.

N'oublions pas qu'antérieurement à la version 6.5.1fr, la même équipe de
bénévoles avait réalisé une version 5.5.3fr qui a connu le même succès de
téléchargement, a été publiée sur de nombreux CD-Roms de revues de la presse
informatique (dont .net, PC Max, Windows Magazine, etc.) et est encore
largement utilisée.

Ajoutons ensuite le nombre d'utilisateurs francophones qui utilisent des
versions internationales ou américaines de PGP.

Ajoutons encore les utilisateurs de GnuPG, compatible avec PGP.

Je parierais que rien qu'en France, PGP / GnuPG a aujourd'hui plus de 100.000
utilisateurs réguliers.

Et, puisque Sympa a une vocation internationale, pensons aux centaines de
milliers (lire millions) d'utilisateurs de PGP à travers le monde.
>>>>>

> En outre contrairement à S/MIME il est très simple d'utilise
> PGP à partir d'un client ne supportant pas cette fonctionnalité. La
> version Windows de PGP simplifie même cette opération à l'extrème
> puisqu'elle est capable d'opérer sur le texte de la fenêtre
> courante. Avec Netscape Messenger, qui ne supporte pas PGP, il suffit
> de taper son texte et de sélectionner la fonction idoine du menu PGP
> de la barre de tâche pour que le message soit signé ou encodé.

Oui!

La totale indépendance de PGP par rapport au client mail utilisé fait toute sa
versatilité et renforce la confiance qu'on peut avoir dans ce système facile à
cerner.

A contrario, l'enfouissement de S-MIME au milieu des tonnes de
"fonctionnalités" de monstres comme I.E./O.E. ou Netscape en rend 
l'utilisation
fort peu intuitive (surtout pour la génération et l'installation de
certificats) et rende ces implémentations de S-MIME difficiles à contrôler et
donc peu dignes de confiance.

Les doutes maintes fois mentionnés dans la presse et par différents
spécialistes concernant la collusion pouvant exister entre Microsoft et la
N.S.A. américaine renforcent la suspicion que l'on peut avoir vis-à-vis de
systèmes de chiffrement ainsi implémentés, sans possibilité de contrôle, et me
semblent suffire à disqualifier totalement ces systèmes pour toute utilisation
dans laquelle la confidentialité serait un aspect primordial.

Cordialement.

Michel Bouissou <adresse@cachée> PGP DH/DSS ID 0x5C2BEE8F
Network Administrator - Internet Quake - http://www.i-quake.com