Et on reparle de l'espionnage américain

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
12
oct.
2000
Pirate
En regardant Soir 3 hier soir, je suis tombé en ouverture du journal sur deux reportages plus qu'intéressants.
Le premier concernait Echelon, le réseau militaire d'espionnage américain bien connu pour ses dérives vers l'espionnage industriel, ceci à l'occasion de la sortie d'un rapport de l'Assemblé Nationale. Bref, un classique.
Le second reportage est beaucoup plus inquiétant, il concernait l'existence de backdoors ds le célèbre programme de cryptage PGP. Ces backdoors permettraient aux Américains de lire en clair les textes cryptés avec ce logiciel.

Note du modérateur: ces inquiétudes concernant le logiciel PGP avaient déjà été évoquées et sont réelles. Utilisez GnuPG ! :)

Aller plus loin

  • # Question Naive

    Posté par  . Évalué à 0.

    Bonjour les gens !

    Juste un petite interogation... comment placer une backdoor sur un algo open source ? =:o)

    Car il me semble que ce terme n'est pas exacte... Il sagit pluto d'un mecanisme crackable par la NSA en un temps Polynomiale (P) pour une petite clef PGP.
    • [^] # Re: Question Naive

      Posté par  . Évalué à 0.

      Simple.

      Il suffit d'utiliser un algorytme qui dispose de chausse-trappe / de failles que le fournisseur connait, pas les utilisateurs.

      Exemple:
      - La NSA a longtemps fourni de la cryptographie qu'elle savait percer à ses "amis".
      - Lors de la conception du DES, IBM a vu les S-Box complétement modifiées par la NSA. Il se trouve que la NSA les a optimisés contre un type d'analyse qui n'a été découvert que longtemps après.

      Rien ne dis que PGP ou GPG n'ont pas été "influencés" pour que les algoritmes semblent bons mais dispose de faiblesses exploitables.

      Il ne suffit pas de sauter sur sa chaise en criant "opensource, opensource, opensource" pour convaincre de la sécurité d'un algo.
  • # Backdoor dans PGP = légende urbaine

    Posté par  . Évalué à 0.

    Le coup de la backdoor dans PGP, c'est une vielle légende urbaine, bien connue par les amateurs de crypto. Dans le cas présent, l'information date de plusieurs mois : http://www.geocities.com/SiliconValley/Bay/9648/news2000-1.htm#2000(...)

    Le problème actuel de PGP c'est plutôt la dérive marketing, mais ça ne concerne que les versions Doz, donc on s'en moque un peu ;-) Pour info, sous Linux, GnuPG est dix fois plus rapide et fiable que PGP...
    • [^] # Re: Backdoor dans PGP = légende urbaine

      Posté par  . Évalué à 0.

      Bonjour,
      Il y a environ 1 an un chercheur en statistique du CNRS relatait dans le bulletin bimestriel de sécurité informatique du CNRS son expérience des logiciels de "cryptage" commerciaux. Il avait été chargé d'étudier et de sélectionner pour le compte de divers organismes de recherche publique la solution de cryptage la plus appropriée. En étudiant les algorithmes utilisés dans divers logiciels commerciaux il s'est rendu compte qu'il y avait un "bug" dans la génération des clés privés et publiques dans l'un d'eux. En fait pour une clé de 96 bits générées "aléatoirement", 40 bits étaient générés de manière périodique et PREVISIBLE ! Reste donc 56 a trouver ce qui se fait sans difficulté avec n'importe quel PC. Après vérification, il a contacté la société éditrice du logiciel (américaine...) pour lui signaler ce petit problème. Il a eu une réponse après 2 mois lui disant que le problème était connu (sic) et en passe d'être résolu... Pendant ce temps son équipe a continué a étudier les séquences de clés générées par ce logiciel et ils ont trouvé une autre faille, plus subtile du même type. 6 mois après ils n'avaient toujours pas de nouvelle sur une éventuelle correction de cette faille. Si ça ce n'est pas une Backdoor alors...
  • # Les légendes urbaines perdurent

    Posté par  (site web personnel) . Évalué à 1.

    Ouais, je l'ai vu aussi ce reportage hier soir sur PGP.

    Comme toujours, les journalistes font un amalgame simpliste car ils n'y comprennent rien.

    En effet, en montant en épingle le bug (important) découvert sur PGP récemment et la rumeur (très persistante) que PGP contient des backdoors (propagée par l'Allemagne et le "Monde du renseignement" en France), ça leur permet de faire du pseudo-journalisme en accolant ça au dernier rapport sur Echelon.

    Il faut dire que quelques personnes en France (Guillaume Dasquié du LMR par ex. interviewé hier soir) continuent à alimenter ces rumeurs. Le problème est qu'aucun journaliste n'a le niveau technique pour comprendre et que le experts techniques sollicités sont très partiaux (comme le type de Bull interviewé hier soir aussi).

    Enfin, quelque soit la véracité de ces rumeurs (faible IMHO), utiliser GPG de toute façon comme dit dans la news.
  • # Ca doit être vrai

    Posté par  . Évalué à 0.

    Si c'est à la télé, ça doit être vrai...

    Tiens, c'est comme <a href="http://www.marmotte.net/milka">la(...) marmotte</A>, je suis sûr qu'elle met vraiment le chocolat dans le papier d'alu.

    Bon, franchement, quelqu'un a des faits concrets concernant la faiblesse de PGP? Personne? Non? Ah bon.
    • [^] # Re: Ca doit être vrai

      Posté par  . Évalué à 1.

      pas besoin de html dans les commentaires. Et des espaces après les liens.
    • [^] # Re: Ca doit être vrai

      Posté par  . Évalué à 1.

      En ce qui concerne le rapport, ce n'est pas une connerie. Pour ce qui est de la backdoor, je n'en sais pas plus, je n'ai pas le niveau pour ça. Cela dit, on peut se demander pourquoi les E-U sont si restrictifs sur l'exportation de techniques de cryptographie.
    • [^] # Re: Ca doit être vrai

      Posté par  . Évalué à 0.

      Pour la chanson c'est "Hong Kong syndicate" leur autre hit c'etait "too much" :-)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.