croux a écrit 143 commentaires

Le SSHA correspond au SHA du mot de passe concaténé avec le sel. C'est certes plus intéressant que du SHA simple puisque le sel, s'il est généré convenablement, protège du cassage à l'aide de tables pré-calculées (comme les fameuses rainbow tables). Cependant cela ne protège pas d'une recherche exhaustive (brute force) si le mot de passe utilisé à la base est faible.

Si matériellement c'est possible, il vaut mieux utiliser un mot de passe à la MD5 freebsd par exemple (le fameux mot de passes unix commençant par $1$... sachant que maintenant la palette s'est agrandie $2$ du blowfish mais aussi $5$, $6$ avec sha256 et 512.

De toutes façons à quoi bon crypter, même en salant, un code secret servant de mot de passe pour accéder à un service bancaire lorsque celui-ci se compose de 6 chiffres...

« Simplement, il y a un débat qui tourne sur les hash de mot de passe et je rappelle qu'il est important de mettre du sel dedans, ce que ne fait pas Microsoft. »

Il faut aussi savoir que les mots de passe utilisés sous windows sont utilisés au niveau du réseau par un système de challenge-réponse-comparaison. En gros le poste client et le poste serveur effectuent le même calcul avec la valeur hachée du mot de passe de l'utilisateur, le client fournissant la réponse au serveur qui la compare avec son propre résultat.

En conséquence de quoi c'est la valeur de hachage (stockée sur le serveur) qui joue le rôle du mot de passe au niveau de l'authentification sur le réseau. Donc peu importe la complexité du hachage mis en oeuvre, sel ou pas sel ça ne changerait rien à la faiblesse de l'authentification...

« Il n'est pas possible de générer un message ayant un hash donné »
« Il n'est pas possible de modifier un message sans changer son hash »

Il s'agit là d'impossibilités toutes relatives.
* Le cassage de MD4 a été utilisé pour engorger le réseau P2P eDonkey.
* Et des collisions sur l'algorithme MD5 (deux fichiers postscripts différents mais de même valeur de hachage ou bien encore deux certificats différents mais de même signature) ont mis publiquement en évidence l'intérêt de passer à autre chose.

Effectivement c'est une erreur, même si l'intitulé « Tous les candidats SHA-3 » juste après NIST aurait du faire référence à la page officielle du NIST...

Non, voici donc une liste de vulnérabilités ou faiblesses informatiques découvertes dans les implémentations de quelques algorithmes soumis à candidature [http://blog.fortify.com/repo/Fortify-SHA-3-Report.pdf] .

Une synthèse sur les candidats à SHA-3 : [http://ehash.iaik.tugraz.at/wiki/The_SHA-3_Zoo]

« Ou alors plus simple : ce n'est pas illégal, et l'avocat lui a dit, donc il ne s'y aventure pas, il ne s'aventure même pas à dire aux médias à dire que c'était illégal et en violation de la correspondance privée (dans le cas de l'immunité parlementaire). »

Ou alors l'avocat informe son client que les risques de perdre le procès sont trop importants, sachant que celui qui perd doit payer les frais du procès et d'avocat de la partie adverse. Et il faudrait en plus que la plainte soit enregistrée...

« PS : j'ai cherché, et trouvé uniquement des dizaines de condamnations pour violation de correspondances privée par une personne externe à l'expéditeur/destinataire et une loi qui l'interdit aussi (toujours le même problème : mauvaise foi, interception...), rien quand le destinataire divulgue volontairement. J'ai pourtant pas mal cherché... »

Parce que pour le destinataire du courrier c'est du domaine de l'atteinte à la vie privée la plupart du temps.

Tandis que pour celui qui publie, ce que lui a transmis le destinataire, c'est une violation de correspondance privée.

Me Eolas : « Quand vous envoyez un courrier, qu'il soit épistolaire ou électronique, il cesse de vous appartenir et n'est protégé que pendant son acheminement vers son destinataire. Au-delà, son destinataire en devient le propriétaire et en fait ce qu'il veut, sauf si le courrier contient des éléments relatifs à votre vie privée, dont la divulgation est dès lors prohibée (art. 9 du code civil), ou que son destinataire est tenu au secret professionnel (comme un avocat). »

Le courrier appartient au destinataire (il peut l'imprimer, le détruire, ...), mais ce qu'il contient reste la propriété de l'expéditeur (ce que ne nie pas Me Eolas puisqu'il peut y avoir atteinte à la vie privée). Enfin le fait que le code de la propriété intellectuelle ne soit pas mentionné, ne signifie pas qu'il ne s'applique pas.

« commis de mauvaise foi »

La mauvaise foi est avérée si l'on sait pertinemment que le contenu, auquel on accède, relève d'une correspondance privée. Comment peut-on nier la chose lorsqu'on reçoit un message dont on n'est pas le destinataire et qui est indiqué comme transféré dans son titre...

« je n'ai personnellement trouvé que des décisions de justice sanctionnant une personne n'étant pas sensée lire les mail, et pas un destinataire qui divulgue une correspondance privée »

* Parce qu'il est matériellement plus simple de démontrer que quelqu'un est en possession de courriers personnels et privés d'autres personnes. (On tombe là sur la violation de correspondance privée).

* Parce que c'est plus rémunérateur (journaux condamnés).

* Et parce qu'il est plus difficile de faire condamner le destinataire du courrier fuité. Il est fréquent que le responsable soit plutôt une personne de l'entourage (et on retombe sur la violation de correspondance privée). Mais aussi parce que le destinataire responsable de la fuite peut toujours invoquer l'exception de la copie privée, même s'il communique avec un journaliste, face au non respect de la propriété du contenu du message.

« C'est ton avis ou bien tu as des sources sérieuses pour le confirmer ? »

Ici : [http://www.industrie.gouv.fr/guidepropintel/reglementations/(...)]
au paragraphe 1.2 Les logiciels il est indiqué que le logiciel (dès lors qu'il est original) est considéré comme une oeuvre de l'esprit et est protégé par le droit d'auteur, de plus cette protection s'étend aussi aux travaux préparatoires (Article L. 112-2 du Code de la Propriété Intellectuelle).

L'article de loi en question : [http://droit-finances.commentcamarche.net/legifrance/68-code(...)] où on peut lire précisément « 13° Les logiciels, y compris le matériel de conception préparatoire ;


PS: Il est regrettable de constater que certains s'amusent sur linuxfr à « moinser » systématiquement des opinions contraires à la leur et obligent ainsi à redonner les mêmes explications avec les mêmes informations pertinentes...

Si on reprend le texte actuel [http://legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA(...)]

Dans le premier alinéa on apprend que : « Le fait, commis de mauvaise foi, d'ouvrir [...] des correspondances arrivées ou non à destination et adressées à des tiers [...] est puni d'un an d'emprisonnement et de 45000 euros d'amende. »

Et dans le second alinéa : « Est puni des mêmes peines le fait, commis de mauvaise foi, [...] d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications [...]. »

Au final je soutiens que le fait, en toute connaissance de cause, de prendre connaissance de la correspondance par courrier électronique d'autri (c'est ce qui se passe lorsque l'on s'est vu transférer des messages personnels échangés entre d'autres personnes) et de la divulguer est condamnable.

Reste encore le problème de la correspondance personnelles entre soi et une autre personne, et là encore je soutiens qu'on ne peut rendre publique les messages expédiés par cette autre personne, car elle reste propriétaire (au sens de la propriété intellectuelle) de ses écrits, comme le signale Wikipedia au sujet du Secret_de_la_correspondance : « Une correspondance reste la propriété intellectuelle de son auteur bien que le support physique soit la propriété du destinataire. »

L'immunité parlementaire ne protège pas de tout et elle peut aussi être levée.
[http://www.denistouret.net/constit/3931.html]

Vous lisez mal ce qui est écrit en ne retenant que les cas extrêmes définis dans cette loi alors qu'elle concerne des cas beaucoup moins particuliers. Les ou ont là toute leur importance :

« Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l'installation d'appareils conçus pour réaliser de telles interceptions »

Donc comme vous le voyez la loi ne se restreint pas aux interceptions.


Puisque il vous faut d'autres explications :

« La divulgation non autorisée par l'émetteur du courrier électronique est une violation du secret des correspondances qui engage la responsabilité pénale de l'auteur de l'infraction sur le fondement de l'article L 226-15 du Code Pénal. »

[http://blog-droit.over-blog.com/article-3186781.html]


Et pour compléter, un cas concret comme quoi le destinataire d'un courrier ne peut en disposer comme bon lui semble :
[http://www.net-iris.fr/forum-juridique/personne-famille/1203(...)]


Pour l'affaire avec TF1, la priorité logique c'est d'attaquer TF1 pour le licenciement. Ensuite rien ne dit qu'il ne se retournera pas contre sa député UMP (qui avait transmis le mail au ministère de la culture pour obtenir des explications) ni contre le ministère lui-même. Au fait si d'après-vous il n'y a pas violation de la correspondance privée, pourquoi le collaborateur de Mme Albanel a-t-il été suspendu ?

Allez publier les photos personnelles de votre copine à poil qu'elle vous a gentillement envoyé par mail, et vous allez voir si c'est légal.

C'est bien de la correspondance privée avec de photos faisant partie du message, cela relève au final de la vie privée.

Affirmer était pris dans le sens « manifester de manière indiscutable, prouver, démontrer ».
Ici il n'y a pas de certitude absolue, il y a matière à débat.

Au regard de la loi française on ne peut divulguer une correspondance privée qu'avec l'autorisation de l'expéditeur, ce n'est pas moi qui le dit c'est la loi:

A lire [http://blog-droit.over-blog.com/article-3186781.html]

Le sarkozysme ça n'est sûrement pas dans le dictionnaire de l'académie française. Pour autant, à le sentir passer, je défie quiconque de me dire que ce n'est pas français et que ça n'existe pas.

En France, les mails échangés sur une liste de discussion (où les abonnés sont identifiables et dont l'accès nécessite un abonnement) font partie de la correspondance privée, et publier le contenu d'un mail ne peut se faire qu'avec l'accord de l'expéditeur :

Secret de la correspondance:
    [http://www.educnet.education.fr/legamedia/legadico/contenus/(...)]
    [http://www.murielle-cahen.com/publications/page2310.asp]

Nature d'une liste de diffusion:
    [http://www.cru.fr/faq/droit-net/quelle_est_la_nature_juridiq(...)]

Ce n'est pas dans ce sens là que j'ai utilisé le mot « email ». Je voulais parler de l'adresse mél.
Au fait « courriel » ne serait-il pas un québécisme ?

« Je t'invite à lire le post d'Eolas que j'ai pointé, à aucun moment il n'a été jugé illégal que le nom de la personne critiquant HADOPI arrive chez le chef de celui-ci en passant par parlementaire puis gouvernement : c'était dégueulasse, mais légal, et il n'y a pas plus dans les messages récupérés par Brad Spengler »

Me Eolas en tant qu'avocat sait tout à fait comment interpréter la loi pour faire valoir son point de vue. Cependant on ne peut affirmer de la légalité ou non du procédé tant que la justice ne ce sera pas prononcée.

Pour revenir au problème une correspondance privée (ce qui est le cas pour ceux qui participent à la liste de développement) ne peut pas être rendue publique sans l'accord des rédacteurs. C'est à la fois une atteinte à la vie privée au regard du droit français, et sans doute contraire au contrat d'utilisation tacite passé lors de l'inscription sur la liste.

Enfin, je maintiens que toute correspondance technique en vue du développement ou de l'amélioration d'un logiciel peut bénéficier de la protection du code de la propriété intellectuelle.

« Croux, désolé, j'en suis encore au Petit Robert 1992. (Il y a quand même écrit « nouveau » dessus !) Impacter n'est pas dedans. »

1992 ! A cette époque là internet et les emails n'existaient sans doute pas pour le Petit Robert...

« Brad Spengler n'a pas divulgué les en-têtes. »

Peu importe, c'est tout le mail qui se trouve protégé et pas seulement les parties où n'apparaissent pas les données personnelles.


« Faut arrêter la fumette, un mail n'est aucunement une oeuvre de l'esprit, mais une correspondance. Je te défie de trouver le moindre juge qui n'éclatera pas de rire face à cette argumentation plus que bancale. »

En parlant d'arrêter la fumette... il n'y a pas que les oeuvres artistiques a être considérées comme des oeuvres de l'esprit mais aussi les logiciels, y compris le matériel de conception préparatoire

[http://www.industrie.gouv.fr/guidepropintel/fiches_pratiques(...)]

Et donc ce verbe français ne devrait point choquer qui que ce soit.

« Nouveau Petit Robert de la langue française 2007 » :
     Impacter (v. tr.)   Avoir un impact, une incidence sur, toucher.
              ex. Les charges ont fortement impacté le résultat.

La divulgation de ces mails est illégale pour deux raisons:

* Comme le rappelle Me Eolas, si cette correspondance contient des éléments relatifs à la vie privée de l'expéditeur, le destinataire ne devient pas propriétaire du message et ne peut donc pas en disposer publiquement comme bon lui semble. Et c'est bien le cas en l'espèce puisque le mail contient dans ses entêtes le nom de l'expéditeur mais aussi l'adresse IP (le plus souvent personnelle) d'où a été envoyé le message.

* Me Eolas ne s'est basé que sur le code civil pour fournir sa réponse. Cependant on peut aussi se référer au code de la propriété intellectuelle, et considérer qu'en tant qu'oeuvre de l'esprit un mail bénéficie de sa protection. Il ne peut donc être diffusé publiquement sans le consentement de l'auteur.