Le logiciel OpenSSH permet d’avoir un shell sécurisé sur un serveur distant ou du transfert de fichiers de ou vers un serveur. Divers algorithmes de cryptographie sont utilisés pour le chiffrement, la génération ou l’échange de clefs. Et ces algorithmes peuvent s’affaiblir, être remplacés par de meilleurs algorithmes, connaître des portes dérobées, nécessiter des clefs plus grandes, etc. Ils sont implémentés (au sens ajouter ou enlever) par les développeurs d’OpenSSH (et de bibliothèques de cryptographie sous‐jacentes), ils sont empaquetés par une distribution (qui peut changer certains réglages à la production du paquet ou bien faire certains choix sur la configuration par défaut), et ils sont mis à jour par les équipes sécurité (d’OpenSSH et de la distribution).

Jetons un œil sur les paquets openssh-server de la distribution Debian (actuellement les versions sont 6.0p1-4+deb7u4 en Wheezy (l’ancienne ancienne version stable), 6.7p1-5+deb8u3 en Jessie (l’ancienne version stable) et 7.4p1-10 en Stretch (la version stable actuelle depuis le 17 juin 2017) : nous verrons quels sont les algorithmes pris en charge, quels sont ceux par défaut et quel niveau de sûreté leur accorder (suivant les tests des sites Rebex et CryptCheck, et les outils SSHScan et CryptCheck que nous allons utiliser).

GnuTLS est une bibliothèque logicielle libre diffusée sous la licence LGPL 2.1 et plus et écrite en C et C++. GnuTLS implémente les protocoles réseau SSL 3.0, TLS 1.0, TLS 1.1 et TLS 1.2. Ceux-là même utilisés par tous les navigateurs web quand vous surfez en HTTPS.

Une version majeure est en cours de développement, elle ajoute une implémentation du protocole DTLS et améliore la compatibilité avec OpenSSL.

Silence est une application libre (GPL v3) pour Android de SMS et MMS, permettant de chiffrer les communications avec les autres utilisateurs de Silence. Silence vous permet donc d’envoyer du texte et des images en toute sécurité, mais le texte et les images passeront en clair par les réseaux vers les utilisateurs classiques. Cette application est disponible sous forme de code source sur GitHub et binaire sur F-Droid et le Play Store de Google.

Silence est le nouveau nom de SMSSecure, divergence (fork) de Signal (anciennement TextSecure) d’Open Whisper Systems. On avait déjà parlé de l’abandon du chiffrement des SMS et MMS de Signal, à cause des limites des API d’iOS, d’une expérience utilisateur compliquée en ce qui concerne l’échange de clefs et aussi des méta‐données des SMS et MMS qui transitent forcément en clair. Silence/SMSSecure était né de ce constat, ainsi que de la volonté de se débarrasser des dépendances aux services de Google.

Un transport XMPP est actuellement en cours d’ajout dans Silence.

NdM : gouttegd livre régulièrement des journaux traitant d'OpenPGP. Il vient de réaliser une petit tour d'horizon de quelques brèves à ce propos.

Au sommaire :

• La reprise d'activité sur OpenPGP ;
• Une nouvelle version de la carte OpenPGP ;
• Facebook se met à OpenPGP.

Bonne lecture !

Nous sommes heureux de vous annoncer la sortie de Salut à Toi, version 0.5. Nous nous sommes cette fois-ci concentrés sur la sécurité et le ré-usinage de certains mécanismes qui vont faciliter l'ajout de futures fonctionnalités et la maintenance.

Pour rappel SàT est un client XMPP multi-usages et multi-interfaces principalement développé en Python. Les interfaces les plus avancées sont Primitivus (console) et Libervia (web), Jp (ligne de commande) facilite les tâches d'administration, Wix (bureau/WxWidgets) est vouée à disparaître et sera remplacée par Bellaciao (bureau/Qt). Une interface pour Android est également prévue.

Quelques actualités récentes autour de la sécurité, de la vie privée et du logiciel libre :

• l'avocat M^e Eolas qui nous parle de secret professionnel, de chiffrement et de logiciel libre ;
• Frédéric Couchet et Lionel Allorge (April) qui donnent la priorité au logiciel libre pour une informatique de confiance ;
• Jérémie Zimmermann (la Quadrature du net) qui rappelle l'importance de l'humain et l'existence d'outils libres pour protéger les échanges ;
• le lanceur d'alertes Edward Snowden qui évoque l'importance du chiffrement et divers outils libres pour protéger la vie privée ;
• le journaliste Jean-Marc Manach qui explique comment protéger ses sources ;
• etc.

Tout ça et plus dans la seconde partie de la dépêche.

CaliOpen est un projet libre (GPLv3) qui a pour but de créer un nouvel outil de communication sécurisé. Il ne cherche pas à créer un clone libre et sécurisé de Gmail mais un outil suffisamment original pour attirer les utilisateurs, et les inciter à mieux protéger leur vie privée.

Le projet en est à ses tout début, il n’y a donc pas encore de démonstration fonctionnelle, mais il y a déjà du code en cours d’écriture.

Le 8 décembre 2014, la version 4 de Seafile est sortie. Cette solution d'hébergement et de synchronisation de fichiers (à la Dropbox, Google Drive, OwnCloud, pour ne citer qu'eux), publiée sous licence GPL3 s'enrichit ainsi de deux nouvelles fonctionnalités :

• le support de la synchronisation sur HTTP/HTTPS ;
• une nouvelle interface de consultation des fichiers depuis le client (Cloud file browser).

Si vous ne connaissez pas Seafile, je vous invite à faire un tour dans les liens.

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

• [Le Point] Brighelli - L'école vendue (pas cher) à Microsoft
• [Le Monde.fr] Le gouvernement néerlandais défend le chiffrement des données
• [ZDNet France] Linux et l'open source ont gagné, acceptez-le
• [Techniques de l'Ingénieur] Coup de pouce de l’État en faveur de l’Open Source
• [Nouvelles de France Portail] Libertés numériques: sortir de l’idéologie totalitaire dominante et avoir une vrai volonté politique
• [L'Atelier] «Les villes ne se rendent pas compte du potentiel du citoyen-entrepreneur»