Merci de cette explication claire :)) Il se trouve que je ne confie jamais mes mots de passe à un navigateur quel qu'il soit, mais à KeepassXC seulement, et qu'en gros je n'ouvre Thunderbird que pour envoyer et recevoir des mails cryptés, j'utilise habituellement un webmail et Thunderbird est fermé. Dans ces conditions et au vu de tes explications, ça me semble raisonnablement sûr, l'absolu n'existant pas dans ce domaine. Ça n'empêche pas de pousser Thunderbird à être plus exigeant en la matière. Cordialement
----- Mail original ----- > De: "Sébastien Dinot" <sebastien.di...@free.fr> > À: debian-user-french@lists.debian.org > Envoyé: Lundi 12 Octobre 2020 21:57:02 > Objet: Re: Thunderbird 78.3 avec Enigmail ? > Jean Bernon a écrit : > > L'ensemble me semble sûr ? > Plusieurs points me chagrinent dans la démarche de Thunderbird. > Le premier et le plus important est de principe. La cryptographie est > un > savoir-faire à part entière et des plus pointus. Les outils > fournissant > ce service sont critiques. Ils doivent être robustes, fiables et > sûrs, > car ils sont la clé de voûte de trois fonctions essentielles : > * L'authentification > * La signature (et le contrôle d'intégrité) > * Le chiffrement > Or, Thunderbird est notoirement en manque de contributeurs et se > lancer > dans un tel chantier quand on manque de ressources est déraisonnable, > d'autant plus que nous disposons déjà de briques cryptographiques > éprouvées. > En outre, Thunderbird offre un large éventail de fonctions. Il expose > donc une surface d'attaque bien plus grande qu'un outil se limitant à > la > cryptographie. Si j'ai choisi de confier mes identifiants d'accès à > mes > comptes en ligne à KeePassXC plutôt qu'à Firefox, c'est parce que > j'ai > plus confiance en un outil dédié qu'en un outil se livrant à une > surenchère fonctionnelle tout azimut avec ses concurrents. > Mon dernier grief concerne le choix de protéger l'acès aux clés > privées > par le mot de passe maître de Thunderbird. Une fois celui-ci saisi, > les > secrets stockés par Thunderbird sont utilisables sans entrave tant > que > Thunderbird est ouvert. Si l'utilisateur oublie de verrouiller sa > session avant de s'éloigner de son poste, un tiers peut envoyer des > messages signés à son insu ou lire ses messages chiffrés. À > contrario, > GnuPG me demande de saisir le mot de passe verrouillant ma clé à > chaque > fois que je veux signer ou déchiffrer un message et Enigmail oublie > le > mot de passe au bout de 5 minutes. C'est bien plus sûr. > Sébastien > -- > Sébastien Dinot, sebastien.di...@free.fr > http://www.palabritudes.net/ > Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer > !
