[FRsAG] Postfix et TLS. Comment bien paramétrer ses ciphers ?

Vincent Tondellier tonton+frsag at team1664.org
Sam 4 Avr 02:20:40 CEST 2020


re,

Le Friday 03 April 2020 17:16:34 Maxime DERCHE a écrit :
> > Le ven. 3 avr. 2020 à 14:54, Vincent Tondellier a écrit :
> >     Le Friday 03 April 2020 13:46:00 Wallace a écrit :
> >     > C'est comme le RGPD qui a été renforcé dans certains états EU, les
> >     > danois ont ainsi l'obligation d'utiliser TLS 1.2 minimum, dans les
> >     > premiers mois du RGPD
> >     
> >     Moui, il a bon dos le RGPD ...
> >     Impressionnant la quantité de choses décidées unilatéralement sans
> >     aucune
> >     obligation légale que certains essayent de faire passer au nom du RGPD
> >     ...

Je clarifie mes propos, j'ai l'impression que ça a été surinterprété :

Je suis entièrement pour le RGPD lui même et la protection des données 
personnelles (je n'ai pas de facebook, par exemple, et j'utilise le plus 
souvent un pseudo).

MAIS : dans mon travail, je suis en contact avec des professionnels et des 
données de santé. Donc en plein dans les données les plus personnelles.
On voit de tout, de l'informatique gérée par le cybercafé du coin avec un 
dlink et qui proposent un teamviewer (ou pire) en version gratuite, a ceux qui 
refusent toute connexion a internet et tout moyen d'intervention et dépannage 
a distance, quelque soient les protections et garanties en place. Et dans ce 
dernier cas c'est souvent justifié par un "le RGPD l'interdit". Et bien non, 
justement. C'est encadré, limité par le rgpd. Pas interdit.
Ou alors le document de type contrat ou questionnaire de 150 pages a signer en 
plus du contrat qui nous lie déjà. Au nom du rgpd, même si ce n'est que des 
politiques locales ou des questions de sécurité informatique.
Ou encore "depuis le rgpd, les comptes vpn doivent être nominatifs". Bah non, 
nous sommes une entreprise, c'est pas la responsabilité personnelle qui entre 
en jeu, le nom de l'entreprise suffit. Le rgpd ne demande pas ca (voir même le 
contraire, limiter la collecte de données personnelles).

Bref, chacun interprète cette loi a sa façon, et surtout essaie d'imposer ses 
propres politiques en invoquant "le rgpd". Comme personne ne sait vraiment ce 
qu'il y a dedans ...

Et dans un tout autre registre, on a aussi les "confirmez votre adresse email, 
c'est le rgpd qui le veut" de source inconnue. Mais bien sur, ce n'est pas du 
tout pour se créer une liste d'emails valides pour spammer derrière, non non 
non, pas du tout ...

Et aussi ces immondes panneaux cookies "RGPD" avec 850 cases a décocher sur 
chaque site qu'on visite. Comme si les "inscrivez vous a la newsletter" 
n'étaient pas déjà assez pénibles. Mon navigateur indique déjà "do not track". 
Respectez ca, et arrêtez de me casser les pieds, vos cookies passés a travers 
les anti trackers seront détruits a la fermeture de toute façon.



Donc pour en revenir au sujet initial, imposer des protocoles informatiques 
dans le cadre du RGPD, ça me semble un autre détournement du but initial de 
cette loi qui est la protection des données personnelles, ce qui est déjà 
assez complexe, pas la protection des systèmes informatiques et des 
communications, qui l'est tout autant ou plus encore.
Ne mélangeons pas tout, ce n'est déjà pas assez clair.

> > Ce point est intéressant, car la RGPD est une reglementation Européenne
> > qui
> > s'applique sur un espace sans limites de "frontières". Avec un peu de
> > recul cela semble abérrant. Je comprends le besoin législatif à outrance,

On dit "diarrhée legislative"

> > mais cela ne sert à personnes, et semble plutôt consituer une décharge de
> > nombreuses responsabilité vers des acteurs hégémonique...
> 
> Euh, non.
> 
> Le RGPD est un Règlement qui s'applique aux données concernant des personnes
> citoyennes d'un État de l'Union Européenne. C'est tout.

Pas tout a fait. Il y a eu un jugement de rendu il n'y a pas très longtemps 
entre google et la cnil concernant le droit a l'oubli et son périmètre 
d'application. C'est ce que je comprends par "sans limites de frontières" au 
dessus. 
En l'occurence, "Le "droit à l'oubli" s'arrête aux frontières de l'UE, a 
tranché la Cour de justice de l'UE (CJUE)".
Donc c'est "Le RGPD est un Règlement qui s'applique *dans l'UE* aux données 
concernant des personnes citoyennes d'un État de l'Union Européenne", et ne 
s'applique pas en dehors des frontières de l'UE.


> Moi ça me va bien de pouvoir *refuser* systématiquement tout traitement
> réalisé sur des données qui me concernent. Et j'aime l'idée que le rôle de
> Responsable du Traitement soit un rôle contraignant, endossant la
> responsabilité d'une fuite ou d'une corruption de ces données.

En théorie, oui, c'est bien. 
Reste a voir si ça sera vraiment appliqué (et surtout respecté) un jour.
 
> Et toute initiative consistant à durcir, dans le respect des normes
> publiquement établies par des organismes à gouvernance ouverte, les
> conditions techniques de sécurité des données, est une initiative qu'il
> faut saluer et soutenir. En l'occurrence, TLS 1.2 a été publié en 2008,
> soit dix ans avant l'entrée en application du RGPD. Et encore, il y a eu
> une période de deux ans entre le vote et l'entrée en vigueur. Et même là,
> TLS 1.2 n'est pas parfait...

Je ne suis pas d'accord pour tout mettre dans la même loi fourre tout. Surtout 
quand il s'agit de choses évoluant rapidement, un décret est plus adapté.
Et je préfère avoir des lois simples et lisibles plutôt qu'un pavé indigeste. 
C'est raté, je sais.

> Prétendre que le RGPD ne sert à personne, c'est légitimer l'abus. Prétendre
> que cela ne profite qu'aux gros c'est légitimer l'immobilisme.

Je n'ai ni lu ni écrit ça ici ...
Bien sur que ca sert d'encadrer la gestion des données personnelles.
Mon opinion serait plus du coté "n'est interprété et mis en application 
correctement par personne".
 
Vincent.




Plus d'informations sur la liste de diffusion FRsAG