<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <p>Pour être très précis, le RGPD est un règlement européen qui fait
      valeur de loi minimum mais il faut que chaque état le transcrive
      dans ses lois nationales. Les états peuvent simplement dire on
      l'applique strictement ou aller plus loin que le règlement. Dans
      le RGPD malheureusement il y a beaucoup de pays qui ont ajoutés
      des éléments. Lorsque l'on a regardé notre conformité, il ne
      fallait pas regarder que le droit français puisque l'on a des
      clients dans d'autres pays. Les avocats qu'on a fait travailler
      sur ce sujet ont donc analysé les lois de chaque pays (et certains
      ont tardé à les sortir France en tête) pour sortir toutes les
      spécificités supplémentaires.</p>
    <p>C'est notamment là que l'on a vu qu'on devait avoir du TLS 1.2
      pour le Danemark. De notre côté ça ne posait pas de souci on le
      gérait déjà mais du coup on l'a marqué dans les configs IaC pour
      tous les services vers Internet que cela ne pouvait être
      désactivé.</p>
    <p>Ce qui fait qu'avec les configurations Postfix et Dovecot on fait
      un sacré grand écart. Les serveurs ou personnes à jour sont en TLS
      1.3 et les autres on propose en mode best effort, au pire c'est
      leur communications privées qui sont exposées, on aura prévenu.</p>
    <p>Et lorsque l'on a découvert tous ces petits arrangements dans
      chaque pays on a vitre compris pourquoi les non EU ont préféré
      pour certains ne plus permettre la connexion d'Européen sur leurs
      serveurs.</p>
    <p><br>
    </p>
    <div class="moz-cite-prefix">Le 03/04/2020 à 16:30, P. MARCHAND a
      écrit :<br>
    </div>
    <blockquote type="cite"
cite="mid:CAGmMFGsXaUjAHCRvvw9OmYFTfewZa1sP_CxjmYLpqbUOOpGkCg@mail.gmail.com">
      <meta http-equiv="content-type" content="text/html; charset=UTF-8">
      <div dir="ltr">
        <div class="gmail_attr">En essayant de rassembler tout ce qui a
          été échangé.</div>
        <div class="gmail_attr"><br>
        </div>
        <div dir="ltr" class="gmail_attr">Le ven. 3 avr. 2020 à 14:54,
          Vincent Tondellier via FRsAG <<a
            href="mailto:frsag@frsag.org" target="_blank"
            moz-do-not-send="true">frsag@frsag.org</a>> a écrit :<br>
        </div>
        <blockquote class="gmail_quote" style="margin:0px 0px 0px
          0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Le
          Friday 03 April 2020 13:46:00 Wallace a écrit :<br>
          > C'est comme le RGPD qui a été renforcé dans certains
          états EU, les<br>
          > danois ont ainsi l'obligation d'utiliser TLS 1.2 minimum,
          dans les<br>
          > premiers mois du RGPD<br>
          <br>
          Moui, il a bon dos le RGPD ...<br>
          Impressionnant la quantité de choses décidées unilatéralement
          sans aucune <br>
          obligation légale que certains essayent de faire passer au nom
          du RGPD ...<br>
        </blockquote>
        <div><br>
        </div>
        <div>Ce point est intéressant, car la RGPD est une
          reglementation Européenne qui s'applique sur un espace sans
          limites de "frontières". Avec un peu de recul cela semble
          abérrant. Je comprends le besoin législatif à outrance, mais
          cela ne sert à personnes, et semble plutôt consituer une
          décharge de nombreuses responsabilité vers des acteurs
          hégémonique...<br>
        </div>
        <div> </div>
        <blockquote class="gmail_quote" style="margin:0px 0px 0px
          0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
          > tous les domaines d'Orange ne pouvait recevoir de<br>
          > mails venant de danois car leurs serveurs n'étaient pas
          compatible TLS<br>
          > 1.2. Je n'ai pas eu la fin de l'histoire, j'ose espérer
          que Orange a évolué.<br>
          <br>
          Nope. Rien de changé.<br>
          <br>
          in :<br>
          <br>
          $ grep 'TLSv1 ' /var/log/mail.log | grep orange | tail -n1<br>
          Mar 29 19:12:56 gaia postfix/smtpd[708438]: Anonymous TLS
          connection <br>
          established from <a href="http://smtp08.smtpout.orange.fr"
            rel="noreferrer" target="_blank" moz-do-not-send="true">smtp08.smtpout.orange.fr</a>[80.12.242.130]:
          TLSv1 with cipher <br>
          DHE-RSA-AES256-SHA (256/256 bits)<br>
          <br>
          out :<br>
          <br>
          $ zgrep 'TLSv1 ' /var/log/mail.log.2.gz | grep orange | tail
          -n1<br>
          Mar 18 18:37:13 alpheratz postfix/smtp[535068]: Trusted TLS
          connection <br>
          established to <a href="http://smtp-in.orange.fr"
            rel="noreferrer" target="_blank" moz-do-not-send="true">smtp-in.orange.fr</a>[80.12.242.9]:25:
          TLSv1 with cipher DHE-RSA-<br>
          AES256-SHA (256/256 bits)<br>
          <br>
          C'est orange hein, faut pas en demander trop ...<br>
        </blockquote>
        <div><br>
        </div>
        <div>Ne pourrait-on pas les tacler législativement ?</div>
        <div>En soit ne mettent-il pas en risque leurs usagers ?<br>
        </div>
        <div>............Allô la Quadra ?</div>
      </div>
      <br>
    </blockquote>
  </body>
</html>