[Nota : tout ceci se passe aux USA]
Vous n'êtes pas sans connaître l'histoire de la puce Clipper, que la NSA avait voulu imposer officiellement aux équipementiers réseaux et Télécom américains http://fr.wikipedia.org/wiki/Clipper_chip , puce qui intégrait une porte dérobée accessible à la seule NSA par un mécanisme de key escrow et un chiffrement propriétaire, Skipjack http://fr.wikipedia.org/wiki/Skipjack_%28cryptographie%29 .
Ou bien les ennuis sans mesure de Phil Zimmermann, auteur de PGP, le premier logiciel mettant la cryptographie forte à la disposition du grand public. Ennuis qui s'arrêtèrent d'un seul coup mystérieusement sans que quiconque ne sache s'il n'y avait pas eu une négociation - backdoor dans un logiciel à qui beaucoup faisaient confiance contre arrêt des poursuites ?
Ou encore la faiblesse avérée de l'algorithme de chiffrement des téléphones portables, A5/1 - contre l'avis de l'Allemagne qui, au plus près de l'Union Soviétique, avait compris l'intérêt de permettre à ses entreprises l'accès à des services facilitant moins l'espionnage industriel.
Plus près de nous, les innombrables piégeages de logiciels, dont une illustration est le fameux Workload reduction factor de Lotus http://en.wikipedia.org/wiki/IBM_Lotus_Notes où une large partie des clefs de chiffrements intégrées au logiciel étaient chiffrées par des clefs détenues par la NSA, permettant ainsi l'espionnage par le gouvernement américain sans pour autant le permettre par les autres.
Ne voilà-t-il pas que bon nombre d'entreprises de services internet, pour des questions de coûts avant tout, la technique aidant, n'intègrent pas par défaut un mode d'espionnage dans leurs produits sécurisés ?
Blackberry (non recommandé par l'administration française pour des raisons de sécurité - tous les serveurs étant dans des pays anglo-saxons notamment), Skype (bien connu pour son côté spyware à la "je vais regarder votre dossier firefox pour savoir comment configurer le proxy alors que je sais parfaitement traverser le plus retors des firewalls"), et Google (dont personne n'imagine pourtant sérieusement qu'ils ne coopèrent pas avec le gouvernement, fût-il de Chine), pour ne citer qu'eux, ne sont pas soumis aux obligations d'écoute qui s'appliquent aux opérateur de téléphonie http://www.fcc.gov/calea/ (paraît que Facebook non plus, mais bon on ne va pas tirer sur une ambulance là).
Et bien sûr les terroristes (contestataires étudiants aux émirats arabes unis, défenseurs des droits de l'homme en Chine, etc.) utilisent leurs services !
Il faut donc que tous les fournisseurs de service s'équipent pour intégrer l'espionnage au cœur de leur infrastructure.
Bien sûr, les écoutes seront uniquement légales, comme nous l'assure un grand conseiller au FBI. Évidemment, par définition les agences d'espionnage comme la NSA et la CIA agissent en dehors de la loi, comment irait-on penser qu'elles en profiteraient ! (n'oublions pas qu'elles ont la possibilité légale de faire de l'espionnage industriel pour les entreprises américaines...)
Il est donc nécessaire que les opérateurs gardent la maîtrise de l'utilisation de la cryptologie par leurs clients ! En effet, il est incroyable qu'un client puisse chiffrer quelque chose sans que son fournisseur ne puisse le déchiffrer. Il faut donc que les fournisseurs de service étranger installent un serveur aux États-Unis qui permette l'interception.
De même, il est inconcevable que les logiciels permettent des fonctions de sécurité qui marchent vraiment, c'est-à-dire qui sécurise contre tout adversaire raisonnable. Il faut donc que les logiciels de peer-to-peer soient redessinés pour que le trafic puisse être intercepté.
Et ne parlons pas des logiciels libres, faits par des volontaires, qualifiés de freeware par le New York Times http://www.nytimes.com/2010/09/27/us/27wiretap.html?src=ISMR(...) (page 2) qui posent ainsi une menace inconsidérée ! Quelqu'un pourrait compiler le logiciel sans la fonction d'espionnage ? Au goulp le mécréant !
"Personne ne devrait promettre à ses clients qu'ils feront un pied de nez à une ordonnance d'un tribunal des États-Unis" (dit le fameux conseiller du FBI). "Ils peuvent promettre un chiffrement fort. Il faut juste qu'ils se débrouillent pour nous donner le texte clair".
À mettre en parallèle de l'adage : "Si la vie privée devient hors-la-loi, seuls les hors-la-loi auront une vie privée.".
Vous mettez des rideaux à vos fenêtres, et ce n'est pas pour assassiner votre femme en toute impunité ? Vous êtes soucieux de la protection du savoir-faire de votre entreprise ? Prenez votre sécurité informatique en main : de même qu'avec vos données personnelles, ce n'est pas en des fournisseurs externes que vous pourrez faire confiance.
Les solutions existent (gpg, chiffrement de disque transparent, messagerie instantanée sécurisée, réseau peer-to-peer anonymes etc.). Utilisez-les !
Journal Defective by design : backdoors NSA, le retour ?
28
sept.
2010
# Oubli...
Posté par khivapia . Évalué à 2.
On ne connaît pas du tout le nombre de requêtes *légales*, faites à ce genre d'entreprise, qui n'aboutissent pas car la boîte n'a pas intégré de moyen technique d'y répondre.
Évitons s'il vous plaît les lois sans étude de besoin !
Et puis, évitons aussi les lois faites sans études d'impact. Intégrer une architecture d'espionnage réellement sécurisée elle (aka que personne d'autre que les légitimes y aient accès) coûte très très cher. Il est peut-être plus rentable économiquement de renforcer les moyens des agences d'espionnage.
# t'as oublier de parler de la nsa_key
Posté par jpph . Évalué à 2.
http://fr.wikipedia.org/wiki/NSAKEY
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: t'as oublier de parler de la nsa_key
Posté par Kerro . Évalué à 6.
[^] # Re: t'as oublier de parler de la nsa_key
Posté par Gilles Crettenand (site web personnel) . Évalué à 1.
De plus ces deux clefs sont effectivement "en parallèle" : les deux produisent un résultat valide pour CryptoAPI, mais il ne faut en aucun cas utilisé les deux à la fois.
Après, pourquoi ce choix de design particulier ou encore pourquoi avoir nommer la clef de la sorte, aucune idée...
[^] # Re: t'as oublier de parler de la nsa_key
Posté par fabien . Évalué à 3.
en fait l'image a prendre n'est pas la chaine, mais les portes :
- deux portes l'une deriere l'autre => en serie.
- deux portes l'une a coté de l'autre => en parallele.
[^] # Re: t'as oublier de parler de la nsa_key
Posté par Gilles Crettenand (site web personnel) . Évalué à 2.
En résumé :
1° il serait plus facile que la NSA exige que MS leur donne la clef
2° il existe des moyens plus efficaces que de compromettre CryptoAPI
3° quel abruti irait appeler une clef de la NSA de cette manière histoire que ça soit bien visible pour tout le monde ?
[^] # Re: t'as oublier de parler de la nsa_key
Posté par zebra3 . Évalué à 10.
Un développeur Microsoft ?
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: t'as oublier de parler de la nsa_key
Posté par fearan . Évalué à 3.
Un gars qui y met de la mauvaise volonté? Si un petit malin se sert du trou, il est nettement plus simple de laisser les gens spéculer, alors que tenter de se dédouaner en disant "Ouais, mais c'est la NSA qui nous l'a demandé" et vachement plus délicat (tant du coté grand publique que du coté NSA)
Et si la NSA râle parce que ça c'est vu, il suffit de blâmer le stagiaire. :D
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
# il me semble qu'on a (avait) en principe les memes contraintes en France
Posté par NeoX . Évalué à 6.
tu dois laisser un clef de decodage à la DGSE ou a un service special de l'etat.
Du moins c'etait le cas il y a encore quelques années.
[^] # Re: il me semble qu'on a (avait) en principe les memes contraintes en Fr
Posté par Johan Charpentier (site web personnel) . Évalué à 1.
[^] # Re: il me semble qu'on a (avait) en principe les memes contraintes en Fr
Posté par Prae . Évalué à 3.
En gros, si tu veux concevoir un téléphone, tu passes un deal avec ce dernier, ils t'envoient des libs pré-compilés et à toi de te démerder pour faire l'appli autour (enfin je crois, j'avais lu un article d'un mec qui faisait du reverse engineering dessus qui parlait de ce truc)
[^] # Re: il me semble qu'on a (avait) en principe les memes contraintes en Fr
Posté par Antoine . Évalué à 3.
Donc, les opérateurs téléphone d'hier étant les opérateurs Internet d'aujourd'hui, et la culture d'entreprise étant ce qu'elle est, il n'y a pas de raison que les procédures soient devenues plus compliquées...
[^] # Re: il me semble qu'on a (avait) en principe les memes contraintes en Fr
Posté par ckyl . Évalué à 2.
Ca n'a rien à voir avec la culture d'entreprise, c'est juste une obligation légale pour tout les opérateurs (téléphoniques et autres).
Cf code de télécommunication (pour le chiffrement) et loi 91-646 (pour les écoutes)
[^] # Re: il me semble qu'on a (avait) en principe les memes contraintes en Fr
Posté par hervé Couvelard . Évalué à 7.
Répondre à robert, c'est pas une obligation légale (c'est même interdit), mais la culture d'entreprise fait que ca marche.
Ca peut être aussi paul-henry qui se demande comment bien se faire voir auprès de l'élisé et pense que c'est bon pour sa carrière de trouver qui a téléphoné au canard la semaine dernière.
# Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
# geeks with guns
Posté par bubar🦥 (site web personnel) . Évalué à 4.
"if guns are outlaws, only outlaws will have guns"
Que j'adore parceque doublement ... double :)
En théorie personnellement je ne suis nullement choqué par cette demande. Que l'état (de mon pays) puisse nous espionner ne me dérange nullement. "je suis fiché et je m'en fiche".
A noter que l'usage du chiffrement pour les privés en France est très récent, c'est le gouvernement Jospin qui a pris conscience de l'intérêt et de l'importance de l'usage libre de ce type de solutions pour nos entreprises, et que cela représentait bien plus d'intérêt que le chiffrement de deux trois zozios sur le ternet... Donc les outils informatiques permettant le chiffrement ont été déclassifiés (ils étaient auparavant dans une classe d'arme : Catégorie 2, alinéa 4 : armes de guerre). Ceci avec bien entendu une limite sur la complexité, celle qui peut être cassée dans un délai raisonnable. On rejoint les deux points précédents.
En fait je me permet de poser quelques questions, libre à chacun d'y trouver sa réponse, et la solution adapté à cette réponse (libre à d'autres de faire croire à une solution unique)
_ De qui se cacher ? Identification.
_ Que caches t on ? informations écrites courtes ? fichiers conséquents ? Type.
_ Quel type d'information cache t on ? à forte péremption ? Au contraire pérenne ? Temporalité.
_ Le chiffrement permettant l'identification ne dessert il pas parfois la volonté de masquer expéditeur et destinataire ? Le retard sur l'accès à l'information pour un tiers mérite t il cela pour ce type d'informations ? Méthode.
mes deux cents
[^] # Re: geeks with guns
Posté par bubar🦥 (site web personnel) . Évalué à 2.
[^] # Re: geeks with guns
Posté par Albert_ . Évalué à 5.
[^] # Re: geeks with guns
Posté par DLFP est mort . Évalué à 3.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: geeks with guns
Posté par -=[ silmaril ]=- (site web personnel) . Évalué à 2.
Tout ça en faisant simplement une requete d'extrait de naissance sur le site de la mairie.
"210.000 vols d’identité chaque année en France":
http://fr.reuters.com/article/topNews/idFRPAE5950AA20091006
[^] # Re: geeks with guns
Posté par briaeros007 . Évalué à 7.
Donc si ton gouvernement, pour une raison ou une autre, devient pas aussi démocratique (tiens on est en démocratie), ca te gêne pas de refaire "comme en 40" mais bien plus efficacement (ben oui, avec un fichage complet, assez facile de viser une personne précise, décribiliser quelqu'un qui nous gêne, etc...)
C'est aussi un problème de respect de la vie privée, qui n'est jamais qu'un droit de l'homme hein... Mais ca aussi je présume que c'est pas grave ?
Donc je t'invite pour montrer à quel point tu es un "bon" citoyen, de mettre des caméras de surveillances relié directement à ton commissariat et qui marchent 24/24.
[^] # Re: geeks with guns
Posté par bubar🦥 (site web personnel) . Évalué à 2.
Par contre pas la peine d'allez aussi loin, hein :) Dans ce cas pour cet exemple, je te pose une question : "toi tu continuerai de faire confiance aux informations venant d'un Etat ayant cessé d'être une démocratie ?" Moi, non ... Pas besoin d'aller aussi loin ;)
Ensuite les aspects "anti-etat" m'énervent un peu c'est vrai, car cela se ferait au bénéfice de qui ? de quel autre pouvoir ? En participant à casser ces fondations, ne participe t on pas à paver l'avenue de pouvoirs mûs uniquement par des intérêts particuliers ? Bon désolé ça sort du contexte de la discussion, mais le point que tu soulèves mérite reflexion. En resumé j'ai pas du tout envie de voir nos services se transformer en nsa-like, servant de comptoir à de grands groupes bien plus souvent qu'à l'intérêt de la nation (intérêt des citoyens et de l'état dilué dans ce faux semblant d'intérêt national. Ce que fait, au passage, hadopi : un service d'état au service de quelques intérêts privés)
* la hierachie de contrôle est un point très important. Il faut être capable de tracer tout évènements d'accès et de consultation, comme pour la plupart des fichiers de police. Et améliorer le système en rendant public cette traçabilité (sans le contenu).
[^] # Re: geeks with guns
Posté par hervé Couvelard . Évalué à 7.
Exemple la préfecture qui utilise un fichier scolaire pour "tracer" des roms ou des clandestins, c'est 30 ans de taules pour le directeur d'école qui a donné le fichier, 30 ans pour le fonctionnaire qui l'a demandé, 30 ans pour le préfet qui a mis en oeuvre cette démarche, et en assise, c'est à dire par un tribunal populaire. Ces peines pouvant être doublées pour tentatives de camouflage de l'infraction.
Un exemple : carlita qui a eu accès à des documents sur la vie privé de rachida et de sa copine (écoute téléphonique par exemple), c'est 30 ans ferme.
Moi cela ne me pose pas plus de soucis que cela, mais de la même manière que la PI est le nouvel eldorado (même la ville d'uderzo Fismes(51) à renoncée à mettre une marionnette astérixme et a gardé juste le chaudron et le menhir), les informations privés sont un droit inaliénable. Que pour des raisons 'valables' la puissance publique puisse y avoir accès soit, mais que le prix à payer pour l'abus soit très très fort et que la facilité à le punir soient constitutionnelle un droit reconnu et véritable, sans passe droit, même pour un président.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.