À chaque fois qu'on communique des informations sensibles (mots de passe, e-mails) avec le serveur, il faut que la connexion soit chiffrée, pour que personne d'autre que toi et le serveur ne puisse la lire.

Normallement, le serveur demande systématiquement une connexion sécurisée (httpS, ssl, tls) à chaque fois que c'est nécessaire.

Pour cela (depuis le 11 décembre 2015), ça passe par Let's encrypt, une nouvelle authorité de certification à but non lucratif, qui vérifie que le chiffrement provient bien du bon serveur.

En bref

Il ne doit plus jamais y avoir un message « certificat invalide » lors d'une connexion à un service de Tila.im ou TheFool ! Si vous voyez un tel message, surtout ne continuez pas, c'est probablement une tentative d'espionnage de la communication !

Ce message peut aussi venir de l'utilisation d'une ancienne version de tes logiciels : il ne faut surtout pas accepter, et mettre à jour ceux-ci. S'ils ne sont pas mis à jours, les navigateurs internet ne sont pas capable de faire des connexions sécurisées modernes.

Concernant la sécurité des données, lire les CGU et aller voir le canari.

Les explications (pourquoi est-ce si compliqué ?)

En plus de chiffrer la communication, le but de TLS/SSL est de vérifier à qui on s'adresse : si quelqu'un voulait vous piquer vos e-mail, il pourrait faire une communication chiffrée en se faisant passer pour le serveur. C'est le risque avec les certificats auto-signés : personne ne vérifie que l'interlocuteur est bien qui il dit être. En gros, ce « certificat », c'est comme si quelqu'un se dessinait lui-même une carte d'identité, avec marquée dessus « c'est moi qui l'ai faite ! ».

Il n'y a plus de certificat auto-signé sur le serveur depuis le 10 avril 2014, si vous en voyez-un, c'est louche !

Les gens qui ont réfléchit à la question ont eu une idée génialement capitaliste : ils ont proposé que quelques entreprises commerciales (les Authoritées de Certification) vendent très cher des certificats où il y a marqué qu'elle font confiance au propriétaire du certificat. C'est le cas pour ta banque, par exemple (elle, elle a des sous).

Depuis décembre 2015, une nouvelle authoritée de certification à but non lucratif, Let's encrypt, propose ce service gratuitement, et permet d'avoir des certificats fonctionnels facilement.

Avril 2014 : la faille openSSL Heartbleed

• le problème en image
• mais c'est cool, on s'en est rendu-compte (vive le logiciel libre)
• discussion technique sur la faille