Journal Microsoft : pbpg a-t-il eu une attaque ? "Votre vie privée est notre priorité"

Posté par . Licence CC by-sa
Tags : aucun
25
16
juil.
2013

PasBill PaasGates est un des pilliers de linuxfr grand pourfandeur de troll anti-microsoft. L'un des trolls récurrents étaient la présence d'une clef de cryptographie appelé NSAKey dans windows (NT XP ? je ne sais plus). Pour certain, c'était la preuve de la compromission de Microsoft, pour les autres, simplement que la NSA avait aider à la sécurisation de windows.

En effet, la NSA avait demandé des changements à l’algorithme DES, lors de sa définition. Beaucoup pensaient que c'était pour l'affaiblir. 12(?) ans plus tard, lors de la découverte (public) de la cryptanalyse différentiel, il a été prouvé que les modifications de la NSA augmentait la sécurité. Cela prouve 2 choses : que la NSA peut aussi augmenter la sécurité de tous le monde, et qu'il avait 10 ans d'avance en cryptologie.

Donc, concernant Microsoft, il y avait au mieux un doute. Et puis, il y a les révélations de Snowden (le type ex-CIA, Corones d'or 2013).

Donc, Microsoft aurait activement aider la NSA pour donner accès au données de skype, outlook et autre chat soi-disant crypté.

Comme Korben, je ne comprends pas le point de vue de Microsoft. Ils sont en perte de vitesse face à Google, au moment où tout le monde se rend compte que l'important sont les données, et pas le logiciel. Google offre ses logiciels, contre l'accès à vos données. Microsoft fait payé ses logiciels, et vos données reste privés. MS a donc une énorme carte à joué sur le respect de la vie privé. Ils l'ont bien compris avec leur pub "Votre vie privée est notre priorité" ( http://www.microsoft.com/fr-fr/security/online-privacy/overview.aspx ) Mais en fait, cela serait encore que du marketing (terme diplomatiquement correct pour dire mensonge). Et le slogan prend une autre signification.

source :
http://korben.info/votre-vie-privee-est-notre-priorite.html
http://www.guardian.co.uk/world/2013/jul/11/microsoft-nsa-collaboration-user-data

  • # La suite ?

    Posté par (page perso) . Évalué à 7.

    Comme Korben, je ne comprends pas le point de vue de Microsoft. Ils sont en perte de vitesse face à Google, au moment où tout le monde se rend compte que l'important sont les données, et pas le logiciel. Google offre ses logiciels, contre l'accès à vos données. Microsoft fait payé ses logiciels, et vos données reste privés.

    Quand on sait que Microsoft avait compris avant beaucoup de monde que la richesse était dans le logiciel et non le matériel, si cette ofis ce sont les données en non les logiciels, qu'elle sera la suite de cette série ? Et qui en profitera le plus ?

    Vous avez 2 heures !

    • [^] # Re: La suite ?

      Posté par . Évalué à 3.

      Quand on sait que Microsoft avait compris avant beaucoup de monde que la richesse était dans le logiciel et non le matériel

      Affirmation totalement dementi par Apple

      • [^] # Re: La suite ?

        Posté par (page perso) . Évalué à 6.

        Affirmation totalement dementi par Apple

        Oui et non, et j'ai envie de dire franchement non en soit.
        Apple c'est l'harmonie logiciel et matériel qui est vendu, l'un n'étant pas sans l'autre. C'est une politique très différente des constructeurs de machines des année 60-80 où le matériel prédominait sur le logiciel, qui n'était au final qu'accessoire dans l'achat selon eux (cela se démentira quand Apple coulera faute de bibliothèques logiciels suffisants, entre autre).

        Et encore, je ne sais pas si tu regardes l'actualité des téléphones ou que tu regardes les présentations faites des téléphone : l'OS est bien souvent plus décortiqué que le reste du matériel car la valeur ajoutée est dans les applications intelligentes, simples et puissantes.

        Puis en soit l'iPhone niveau matériel n'est pratiquement pas au niveau de ses rivaux depuis 2 ans. Sa force réside dans le fait que c'est un logiciel unique (et qui est cette fois à la hauteru de la concurrence sur de nombreux points).

        Au final le logiciel est ultra important dans la stratégie de Apple même si le matériel reste un de leurs secteurs de prédilections.
        Puis je suis pratiquement sûr qu'on pourrait facilement montrer que l'industrie logicielle mondiale surpasse l'industrie du matérielle en valeur, et ce depuis longtemps.

        • [^] # Re: La suite ?

          Posté par (page perso) . Évalué à 5.

          Je pense qu'Apple fait son beurre sur le matériel et des marges « ridicules » sur les logiciels maison (comme OS X qui est vendu à 20€…). Par contre, c'est sûr que le logiciel n'est là que pour vendre le matériel. Et quand on parle de logiciel, il faut penser à l'ensemble : OS X offre un très grand nombre d'API permettant une excellente intégration du logiciel à l'OS (et rendant difficile les portages, dans un sens ou dans l'autre), mais aussi entre différents logiciels, et entre différents matériels. Pour le coup, je pense qu'Apple est vraiment le seul à avoir porté l'intégration aussi loin entre toutes ces composantes.

        • [^] # Re: La suite ?

          Posté par . Évalué à 0.

          Puis en soit l'iPhone niveau matériel n'est pratiquement pas au niveau de ses rivaux depuis 2 ans. Sa force réside dans le fait que c'est un logiciel unique (et qui est cette fois à la hauteru de la concurrence sur de nombreux points).

          Ben voyons.
          C'est sur qu'un s3 a plus de ram et de CPU, avec toutes les applis qui tournent sur un concurrent GC, t'as interet a charger la mule niveau hardware si tu veux des performances a moities decentes.
          Ensuite on peut parler de choses comme la qualite de l'ecran (avec les AMOLED au rendu de couleur excecrable, par design), la reduction de bruit ambiant qui est tout bonnement halluciante sur un iphone 5, ou t'es globalement incapable de dire si la personne est dans un environment bruyant ou pas, la qualite de finition, duree de vie de la batterie et tout ce genre de petits détails.

          C'est sur que si tu t'arretes a la frequence/nombre de coeurs du CPU et la quantite de ram, l'iphone est loin derriere. Mais grande nouvelle, c'est pas le monde du pc. Il n'y pas qu'un seul fabriquant de cpu et toutes ces machines ne sont pas equivalentes.

          Linuxfr, le portail francais du logiciel libre et du neo nazisme.

          • [^] # Re: La suite ?

            Posté par (page perso) . Évalué à 3.

            Ensuite on peut parler de choses comme la qualite de l'ecran (avec les AMOLED au rendu de couleur excecrable, par design)

            Tu as appris que Samsung n'est pas le seul à faire des téléphones Android haut de gammes ? D'autres comme Sony ou HTC emploient de mémoire du LCD. Mais le LCD rend moins bien le noir, comme pour tout, tout n'est pas blanc ou noir niveau performance et l'Amoled a son intérêt.

            la reduction de bruit ambiant qui est tout bonnement halluciante sur un iphone 5,

            Pas testé mais je n'ai pas eu de problèmes de ce côté avec les Androphones. Et même si en soit c'est un détail intéressant, il y a plein d'autres choses que les téléphones Android peuvent avoir (batterie amovible, carte microSD, meilleur appareil photo, LED de notification, etc.).

            la qualite de finition,

            J'ai eu d'excellents retours du dernier né de Sony et de HTC sur le sujet. Personnellement je trouve les Galaxy bien finis mais je peux comprendre que certains n'aiment pas le plastique…
            Après tu pourras chipoter en disant que Sony fait moins bien mais là on finirait dans le subjectif total.

            duree de vie de la batterie

            Dans quel sens ? L'autonomie ou la durée de vie réelle du composant avant dégradation ?
            Pour l'autonomie, je dirais que la prouesse est surtout logicielle en optimisant à mort le système pour le périphérique cible.
            Pour la durée de vie, en soit ils ne créent pas la batterie et se servent de ce qui est disponible sur le marché et j'ai de gros doutes que Apple ait mieux que les autres de ce point de vue (en tout cas, je n'ai jamais eu d'écho négatif du côté des Androphones hauts de gamme de ce point de vue).

            C'est sur que si tu t'arretes a la frequence/nombre de coeurs du CPU et la quantite de ram, l'iphone est loin derriere.

            Ce sont des composants de base et pour un téléphone à un coût aussi élevé, on s'attend à ce qu'il suive le marché de la puissance aussi. D'autant que leurs écrans est aussi bien plus petits que la concurrence actuellement (sans allez jusqu'au Galaxy Note ou assimilé).
            Niveaux performances brutes, les bancs d'essais montrent que l'iPhone est loin derrière les meilleurs depuis 2 ans globalement… Oui c'est décevant pour un téléphone à ce prix.

            • [^] # Re: La suite ?

              Posté par . Évalué à -10.

              T'es tellement desinforme/partial que je vais meme pas prendre la peine de repondre a ce niveau la.
              Amuse toi bien dans ton univers parallele de feature check list et de constructeur de telephones a l'agonie (Sony et HTC, dans le genre boite en train de crever, ils s'imposent).

              Linuxfr, le portail francais du logiciel libre et du neo nazisme.

              • [^] # Re: La suite ?

                Posté par (page perso) . Évalué à 2.

                T'es tellement desinforme/partial que je vais meme pas prendre la peine de repondre a ce niveau la.

                Je me demande lequel de nous deux est dans ce cas de figure en fait…

                Amuse toi bien dans ton univers parallele de feature check list et de constructeur de telephones a l'agonie (Sony et HTC, dans le genre boite en train de crever, ils s'imposent).

                Sony et HTC sont en difficulté mais si tu ouvrais un peu les yeux tu verrais que leurs derniers modèles sont de très bonnes factures. Tu les as au moins testé avant de parler ? Car j'ai pu le faire et franchement si tu oses dire que leurs derniers modèles haut de gammes ne valent pas un iPhone 5, je me demande qui est aveuglé.
                Ce n'est pas parce qu'une entreprise a des difficultés qu'elle ne peut pas sortir de bons produits.

              • [^] # Re: La suite ?

                Posté par . Évalué à 5.

                Il est d'usage sur ce site de parler de poutre et de paille pour ce genre de situation. Mais à ce niveau la, c'est carrément de tronc d'arbre dont il faut parler!

              • [^] # Re: La suite ?

                Posté par . Évalué à 3.

                "Sony est une boite en train de creuver"

                L'art de passer pour un con, copyright groumly.

                PS : je sais que tu parlais de la division "téléphone portable", pas de l'entreprise. Mais, d'une part, ce n'est pas ce que tu as dit (et du coup c'etait drole a lire), et d'autre part : attends un peu. Deja, le tout dernier très haut de gamme est excellent, ensuite, si la maison mere decide de s'y mettre, ca pourrait exploser. Tout est une question de priorités, et actuellement la téléphonie n'est pas une priorité pour eux, visiblement. Attends qu'ils y mettent autant d'attention que dans la playstation, par exemple. "La question n'est pas de savoir si ca va marcher ou pas. Ca marchera. La question est de savoir combien ca va nous couter".

          • [^] # Re: La suite ?

            Posté par . Évalué à 2.

            Puis en soit l'iPhone niveau matériel n'est pratiquement pas au niveau de ses rivaux depuis 2 ans. Sa force réside dans le fait que c'est un logiciel unique (et qui est cette fois à la hauteru de la concurrence sur de nombreux points).

            C'est sur qu'un s3 a plus de ram et de CPU, avec toutes les applis qui tournent sur un concurrent GC, t'as interet a charger la mule niveau hardware si tu veux des performances a moities decentes.
            Ensuite on peut parler de choses comme la qualite de l'ecran (avec les AMOLED au rendu de couleur excecrable, par design), la reduction de bruit ambiant qui est tout bonnement halluciante sur un iphone 5

            Euh… L'argument de l'ecran, ca a déja été répondu. Et l'argument de la réduction de bruit… Bah c'est du logiciel, pas du materiel ! => Finalement, tu as renforcé l'hypothèse que tu voulais contrer.

    • [^] # Re: La suite ?

      Posté par . Évalué à 6. Dernière modification le 17/07/13 à 00:38.

      C'est plutôt la vente liée que Microsoft a compris en premier. Apple a fait pareil mais différemment.

  • # Sur la forme

    Posté par . Évalué à 10.

    Je sais que ça se fait pas mais tant pis : ce journal est blindé de fôtes !

  • # Ouhais

    Posté par . Évalué à -3.

    Tu sais il avait bien reussir a trouver Vista genial donc il va bien trouver un truc pour dire que c'est genial. Bon cela passera surement pas un truc comme "Google fait pareil" voir "vous croyez qu'avec votre SELinux" c'est mieux, comment detourner l'attention de sa boite vers les autres.

  • # Et tu aurais voulu qu'ils fassent quoi d'autre ?

    Posté par . Évalué à 10.

    Etant une societe US, ils doivent suivre les lois americaines. Ces lois leur imposent de pouvoir intercepter les communications, partant de la ils n'ont pas le choix.

    Ils l'ont d'ailleurs dit assez explicitement dans l'article du Guardian :

    "In a statement, Microsoft said: "When we upgrade or update products we aren't absolved from the need to comply with existing or future lawful demands." "

    Toutes les boites ayant de gros services similaires font de meme, pas par plaisir mais pas obligation: ells doivent fournir un moyen d'intercepter les communications. Elles n'ont pas d'alternatives vu que c'est la loi, en ajoutant le fait qu'elles n'ont non seulement pas le droit d'en parler, elles ne peuvent aussi pas aller devant n'importe quel tribunal pour essayer de l'empecher, c'est un tribunal secret(cf. Yahoo)

    Eh oui, USA, pays de la liberte…

    • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

      Posté par (page perso) . Évalué à 10.

      Etant une societe US, ils doivent suivre les lois americaines. Ces lois leur imposent de pouvoir intercepter les communications, partant de la ils n'ont pas le choix.

      Red Hat est une société US. Est-ce que tu penses qu'ils collaborent avec la NSA pour affaiblir Evolution comme Microsoft le fait pour Outlook ?
      Si ce n'est pas le cas quelle conclusion en tires-tu sur les qualités du logiciel libre par rapport au logiciel propriétaire ?

      • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

        Posté par . Évalué à 6.

        Microsoft n'a jamais touché Outlook.

        C'est Outlook.com , un service en ligne, dont on parle. Bref, un systeme de chat/messagerie/e-mail en ligne.

        Redhat sera concerne pour leurs services en ligne, si ils en ont (aucune idee si ils en ont).

        • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

          Posté par (page perso) . Évalué à 10.

          C'est Outlook.com , un service en ligne, dont on parle. Bref, un systeme de chat/messagerie/e-mail en ligne.

          Ah OK. Je ne savais pas qu'il s'agissait de Hotmail renommé.

          Microsoft n'a jamais touché Outlook.

          C'est pas ce Microsoft disait de Outlook.com avant ces révélations ?

          • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

            Posté par . Évalué à 1.

            Je ne vois pas ou MS a dit quoi que ce soit sur outlook.com

            Skype disait ca avant d'etre achete par MS. Mais evidemment, avant MS, Skype n'avait pas de presence US…

            • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

              Posté par (page perso) . Évalué à 10. Dernière modification le 16/07/13 à 19:56.

              Ce que je voulais dire c'est que à partir du moment ou une loi oblige les entreprises à mettre des backdoors dans leurs logiciels, l'utilité du logiciel libre devient incontestable. Microsoft ne peut pas dire non à la NSA, de part la loi. Et Microsoft, du fait de l'opacité du code source, à la possibilité technique d'obéir à la NSA.
              En revanche Red Hat ne peut pas obéir car toute backdoor serait visible du fait du code source ouvert (cela n'est pas valable pour les services en ligne).

              Je suis certain que tu vas une fois de plus sortir tes arguments sur le code Windows ou Office distribué aux grand comptes, etc. Sauf qu'avant Microsoft n'avait pas intérêt à tricher. Si ils étaient pris la main dans le sac cela aurait été une catastrophe en terme d'image pour eux.
              Là ce n'est même plus une question d'avoir un intérêt à le faire ou pas. C'est une obligation légale qui s'impose à eux de trouer leurs logiciels.

              Tout observateur de bonne foi en conclura qu'il faut utiliser des logiciels libres (ou au moins à source ouverte et qu'on peut compiler librement).

              • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

                Posté par (page perso) . Évalué à 10.

                Ce que je voulais dire c'est que à partir du moment ou une loi oblige les entreprises à mettre des backdoors dans leurs logiciels, l'utilité du logiciel libre devient incontestable.

                Mais qui parle de backdoor dans ce cas précis ?
                MS héberge dans ses datacenters les emails de ses utilisateurs (service Outlook.com). La NSA tape à la porte et dit "donne nous un accès à telle et telle données comme le stipule la loi". MS donne un accès. Si ca se trouve ils utilisent des logiciels libres sur leur serveur, t'en sais rien, et ca change rien.

                Ca n'a rien à voir avec un backdoor caché dans un logiciel qui s'exécute sur le poste du client.

                En revanche Red Hat ne peut pas obéir car toute backdoor serait visible du fait du code source ouvert

                Euh : pas besoin de backdoor : si Red Hat met en place une plateforme type Outlook.com, ils feront exactement comme MS et donnerons un accès aux données demandées, logiciel libre ou pas.

              • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

                Posté par . Évalué à 2.

                Nulle part dans la loi il est question de backdoor dans du code. Les seuls acces demandes sont dans les services de communication. Va lire le Patriot Act, le texte est dispo.

                Quand a Redhat et l'obeissance, si il y avait une telle obligation, tu peux etre sur qu'un des devs de Redhat passerait sans probleme une backdoor dans le noyau et personne n'y verrait rien.

                • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

                  Posté par (page perso) . Évalué à 3.

                  Quand a Redhat et l'obeissance, si il y avait une telle obligation, tu peux etre sur qu'un des devs de Redhat passerait sans probleme une backdoor dans le noyau et personne n'y verrait rien.

                  Mais bien sur aucun dev kernel ni même Linus ne verrait rien et ne dirait rien… Tu fantasmes.

                  • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

                    Posté par . Évalué à 5.

                    Aucun fantasme, la pure realite.

                    Nombre de failles ont ete introduites dans le kernel par les differents mainteneurs, sans qu'aucun des autres devs ne le remarque. Une de plus ou une de moins, aucune difference, simplement cette fois ce sera volontaire.

                    Une backdoor ca n'a pas besoin d'etre 1000 lignes de code hein, un simple caractere peut suffire pour creer un buffer overflow exploitable par exemple.

                  • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

                    Posté par . Évalué à 4.

                    Si Redhat est contraint de le faire, on peut imaginer qu'ils incluent une simple mauvaise vérification pour créer un buffer overflow ou assimilé, ou simplement n'intégrer la backdoor que dans le binaire du noyau (je doute que beaucoup d'entreprises recompilent leur noyau)

      • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

        Posté par . Évalué à 1.

        Je vais peut-être dire une connerie, vous corrigerez, il me semble qu'une loi US interdit aux citoyens de chiffrer leurs communications avec une clé qui fait plus de 128 bits. RedHat doit donc veiller à ne pas distribuer un logiciel qui chiffrerait avec des clés plus longues par défaut. Tout comme il ne peuvent pas distribuer le soft pour casser les DRM des DVD sur le sol US. Bref, ils collaborent aussi je suppose.

        Par contre j'aimerais bien connaître précisément la loi US qui impose que les communications soient interceptables…

      • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

        Posté par (page perso) . Évalué à 2.

        La NSA avait accès a Outlook.com (ex Hotmail), pas au logiciel Outlook.

        C'est diffèrent d'evolution, où là c'est plus dur de "donner l'accès"

        Le mec qui a un serveur aux USA, avec un logiciel de messagerie libre dessus (roundcube ou autre) pour ses clients, devra laisser la NSA accéder aux mails sur demande

    • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

      Posté par . Évalué à 6.

      Le monsieur avec les cojones il dit que c'est interdit par la constitution de faire ce qu'ils font…

      Gnagnagna respecter la loi États-Unienne… Bullshit !

      Please do not feed the trolls

      • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

        Posté par . Évalué à 5.

        Je suis personnellement d'accord avec le monsieur au cojones, mais j'ai l'humilite d'accepter que ni moi ni lui ne sommes des experts en droit.

        • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

          Posté par . Évalué à 5.

          Leur constitution commence par "We, the people of the United States" pas par "We the experts en droit".

          l'article 4 est limpide et semble avoir été écrit sur mesure :

          The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants shall issue, but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized.

          Please do not feed the trolls

    • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

      Posté par . Évalué à 2.

      La solution, un peu utopique mais je n'en vois pas d'autre satisfaisante, que j'ai proposé dans un journal précédent :

      tant que les données et la vie privée des citoyens du monde entier sera à la merci d'une régulation nationale, ces scandales sont inévitables. Quel gouvernement laisserait passer une occasion si évidente d'avoir un pouvoir de surveillance si fantastique ?

      Ergo: cela devrait faire l'objet d'une régulation internationale. C'est le seul niveau susceptible de trouver un compromis acceptable entre sécurité et vie privée.

    • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

      Posté par . Évalué à 2.

      L'article parle de "team work" et que MS serait aller bien plus loin que les autres. En sachant tout cela, je ne comprends plus comment il serait possible pour une boite française un peu sensible, d'utiliser un seul logiciel ou service US.

      "La première sécurité est la liberté"

      • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

        Posté par . Évalué à 2.

        Bof, les logiciels c'est simple, ca peut se verifier. Un service par contre, c'est effectivement un truc ou j'eviterais les US.

        • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

          Posté par . Évalué à 3.

          Un logiciel se vérifier ? Comment ? Le moindre logiciel MS semble prendre des Go sur disque, comment vérifier ?

          "La première sécurité est la liberté"

          • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

            Posté par . Évalué à -4.

            De la meme maniere que tu verifierais une distrib Linux ou LibreOffice ou PostgreSQL ou Firefox … dont le code est ouvert et ou n'importe qui peut poser du code avec un petit bug 'malheureusement' glisse par megarde.

            La seule solution qui change la donne est d'ecrire tout le soft(OS, suite office, …) en isolation et en interne, mais c'est totalement irrealiste d'un point de vue financier et ressources humaines.

            • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

              Posté par (page perso) . Évalué à 7.

              Tout le sophisme de ton raisonnement consiste à postuler équivalence entre un logiciel à source ouverte et un binaire fermé en terme de facilité de vérification. A chaque fois on a droit à des phrases innocentes du style "Bof, les logiciels c'est simple, ca peut se verifier".
              Pourtant l'un est plusieurs ordres de magnitudes plus difficile à vérifier que l'autre et ça change tout.

              • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

                Posté par (page perso) . Évalué à 6.

                Mais d'un autre côté la vérification des logiciels open source n'est que théorique. En théorie on peut lire le code, en théorie des gens le font, et en théorie on trouve les problèmes. Ce qu'il y oppose c'est que d'une part il n'y a pas tant de monde que ça qui le lit (et dans une grosse boite il y a aussi du monde qui lit le code, fait des revues, etc), et que en pratique détecter une faille est d'une part complexe, d'autre part ne fonctionne pas toujours (toujours l'exemple de debian ssh)

                En théorie vérifier un logiciel open source est plus facile.
                En pratique je n'en suis malheureusement pas toujours convaincu. Là où par contre ça peut être meilleur, c'est dans les cas où il y a revue de code systématique avant commit dans la branche principale. Là je pense que ça commence à être meilleur que les fermés.

                • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

                  Posté par . Évalué à 6.

                  Et en pratique tu as des analyses automatiques du code source et de détection des problèmes (pas tous, mais ca peut éliminer certains), en pratique tu peux débugger toi même le logiciel et résoudre un bug toi même quand tu le rencontre, et le publier à tout le monde.

                  chose qui sont, en théorie et en pratique, impossible, sur du proprio.

                  • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

                    Posté par . Évalué à 3.

                    En pratique, si je devais vérifier que Outlook, MSWord, KMail ou KWord font des fuites de données (entrante ou sortante) je ne perdrais pas mon temps à lire le code source. Entre les libs (environnement Windows ou Qt/KDE) qui font des mégas (voir gigas pour MS :) ), c'est des années de boulot en perspective…

                    Non, moi je mettrais tout ça dans un environnement maitrisé avec analyse des flux entrant/sortant, accès disque, etc…

                    • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

                      Posté par . Évalué à 3.

                      et si ton logiciel de messagerie répond à une entrée du genre

                      from : all.your.mails.are.belong.to@nsa.us
                      suject : You are on the way to guentanamo.

                      tu ne le verra pas ;) Par contre le jour où la nsa voudra lire tout tes mails, tu aura un internet tout merdique, car uploader 10 Go de mails ça prend du temps ;)

                      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

              • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

                Posté par . Évalué à 6.

                Un binaire, tu as quelque chose : le code binaire. Tu peux le desassembler (va jeter un oeil a ce que Hex-Rays peut faire a ce niveau, c'est bluffant et ca c'est uniquement pour un soft publiquement dispo), tu peux l'analyser, tu peux voir ce qui sort et ce qui entre, tu as controle sur le firewall de ta boite qui dicte qui peut atteindre le soft, etc…

                Mais sinon, l'equivalence logiciel a code ouvert <-> binaire ferme, a partir d'une certaine taille elle est en fait totale parce qu'a partir d'une certaine taille, il est absolument impossible de garantir que le code est 'ok'. Petit exemple pour la route : http://seclists.org/oss-sec/2013/q3/108

                Ce bug touche une feature securite de glibc, il est sacrement gros(la protection offerte par cet encodage etait absolument nulle dans tout code lie statiquement, le pointeur etait XORe avec 0 plutot qu'une valeur aleatoire), il est reste dans le code 7 ans sans que personne s'en apercoive. C'est le genre de code qui est parmis les premieres choses qui seraient revues vu son importance niveau securite, il y est reste 7 ans.
                Vive la securite du code open source, des "given enough eyes all bugs are shallow" et du mythe des gens qui revoient le code source.

                Sinon, mon point du haut avait surtout trait a la difference logiciel <-> service, le logiciel tu peux au moins regarder et controller ce qui entre/sort, un service qui n'est pas loge chez toi, evidemment c'est autre chose…

                • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

                  Posté par . Évalué à -3.

                  eglibc n'est pas glibc, il est question de code static, ce qui est rare.

                  "La première sécurité est la liberté"

                • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

                  Posté par . Évalué à 3.

                  va jeter un oeil a ce que Hex-Rays peut faire a ce niveau

                  On a deja eu cette conversation il y a un moment. En plus d'etre completement ignorant sur le sujet, il n'a aucun desir de se renseigner. De toute facon, c'est pas libre donc c'est comme si ca n'existait pas. Repeter les memes betises a chaque fois ne semble pas etre specialement genant non plus.

                  Peut-etre qu'appliquer le comportement de Linus aurait plus de succes? Apres tout, de l'auteur des depeches sur le noyau on est en droit d'attendre un peu plus que ca. Lorsqu'il parle sur des sujets qu'il ne maitrise visiblement pas (reverse-engineering, programmation C, securite) ou trolle sur LWN, un bon petit torrent d'insultes lui fera voir la lumiere et puis je suis sur qu'il trouvera ca humoristique.

                • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

                  Posté par . Évalué à 3.

                  Mais sinon, l'equivalence logiciel a code ouvert <-> binaire ferme, a partir d'une certaine taille elle est en fait totale parce qu'a partir d'une certaine taille, il est absolument impossible de garantir que le code est 'ok'.

                  Il y a une différence entre certifier que tout un code est ok, ou certifier qu'une partie/la plupart du code est correct.

                  L'équivalence n'existe pas : dans l'un tu peux vérifier un minimum, tu peux sélectionner des parties et les approfondir, tu peux faire de l'analyse automatique, …
                  Sur l'autre non.

                  • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

                    Posté par (page perso) . Évalué à 3.

                    ou certifier qu'une partie/la plupart du code est correct.

                    Même ça c'est impossible à faire. Je suis pas un expert mais suffit d'avoir pratiquer un peu les méthodes formelles (type langage B) pour comprendre la complexité qu'il y a pour prouver le comportement d'un programme de quelques dizaines de lignes. Et encore, c'est fait avec des outils adaptés (langage formelle avec outil de preuve).

                    Alors maintenant si tu passes à quelques centaines de lignes (en imaginant que tu regardes que le bloc le plus critique), qu'en plus c'est codé en C (langage à la sémantique plus que douteuse), et qu'il faille en plus s'imaginer que beaucoup de bugs/failles/backdoor n'apparaissent que dans des conditions bien précises qui impliquent bien d'autres chose que le code source (le compilateur, le linker, le kernel qui exécute, les libs associées) : oui, on peut en conclure qu'avoir le code source n'apporte au final quasiment rien.

                    Au final les solutions les plus adaptées pour analyser le comportement du programme resterons les mêmes que pour les applications "propriétaires" : non pas l'humain/reviewer devant le code source mais des outils qui analysent le comportement du binaire (une fois qu'on a mis toute la chaîne compilo, linker et contexte d'exécution).

                    Si on a inventé la compilation, c'est pour traduire ce que dit l'humain en un code compréhensible par… un autre code/machine. L'analyse est bien plus efficace - et pertinente puisqu'incluant toute les maillons de la chaîne de compilation - par des outils binaires sur un autre binaire que sur un code source.

      • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

        Posté par . Évalué à 2.

        Ne pas rigoler quand on voit les dissidors de la defense faire du tout Microsoft… Mais bon c'est dans la logique de se remettre dans l'OTAN. La France a donne les cles de sa defense aux USA et Microsoft n'en est que l'un des moyens. Maintenant si les generaux francais sont suffisement cons pour faire confiance a une boite etrangere pour le systeme de defense c'est un peu bien fait de se faire entuber.

    • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

      Posté par . Évalué à -1.

      MODE DAMMAGE CONTROL ON

    • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

      Posté par . Évalué à 5.

      Elles doit suivre la loi. C'est une évidence. Il y a une loi qui les obligeait à dire qu'ils respectent la vie privée, alors qu'une autre loi leur interdit de le faire, ou ils ont fait de la pub là dessus de leur propre initiative ?

      Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

    • [^] # Re: Et tu aurais voulu qu'ils fassent quoi d'autre ?

      Posté par (page perso) . Évalué à 10.

      Elles n'ont pas d'alternatives vu que c'est la loi

      Pourtant quand il s'agit de ne pas payer d'impôt, elles sont très créatives pour contourner la Loi.

      http://devnewton.bci.im

  • # Sécurité du DES

    Posté par . Évalué à 8.

    la NSA peut aussi augmenter la sécurité de tous le monde
    Très bonne blague.

    C'est aussi la NSA qui a réduit la taille des clefs de 64 à 56 bits, soit-disant pour des "bits de parité" qui n'ont jamais servi à quoi que ce soit.
    Si la NSA avait 10 ans d'avance en maths/cryptographie, elle a aussi 10 ans d'avance en calcul et infiniment plus de ressources en 1979 que n'en avait l'EFF en 1999 quand elle a construit le DES cracker https://en.wikipedia.org/wiki/EFF_DES_cracker (2000 puces dédiées à la recherche exhaustive).

    Bref la NSA a renforcé le DES contre tous ceux (et seulement ceux) qui n'avaient pas la capacité de le craquer par force brute, capacité qu'il est fortement vraisemblable qu'elle avait.

    De la même façon qu'avec le module de sécurité de Lotus Notes, http://www.cypherspace.org/adam/hacks/lotus-nsa-key.html qui était sûr face à tous ceux qui n'avaient pas la clef privée de la NSA, mais pas sûr du tout face à la NSA.

    Encore aujourd'hui, maintenant que les protocoles asymétriques envahissent la vie quotidienne, qui fournit les courbes elliptiques sur lesquels ils reposent ? le NIST, à savoir le paravent de la NSA.

    • [^] # Re: Sécurité du DES

      Posté par . Évalué à 6.

      Tiens d'ailleurs on en est où aujourd'hui ? Si j'utilise GPG, avec une clé de 4096 bits, sans rien faire de spécial, qui peut la casser ? N'importe quel État ? N'importe quelle grosse boite qui possède un calculateur ?

      • [^] # Re: Sécurité du DES

        Posté par . Évalué à 4.

        C'est une bonne question.

        Sur RSA :

        Les autres types d'attaques (voir Attaques ci-dessous), beaucoup plus efficaces, visent la manière dont les nombres premiers p et q ont été générés, comment e a été choisi, si l'on dispose de messages codés ou de toute autre information qui peut être utilisée. Une partie de la recherche sur ce sujet est publiée mais les techniques les plus récentes développées par les entreprises de cryptanalyse et les organismes de renseignement comme la NSA restent secrètes.

        Il n'est pas exclu qu'un service secret comme la NSA ait réussi une percée considérable dans un des axes cités précédemment, et que pour lui, le décryptage du RSA ne soit plus qu'un jeu d'enfant. En 1996, le gouvernement américain abandonna les poursuites contre l'auteur du logiciel de cryptographie grand public Pretty Good Privacy sans donner de raison. D'autres logiciels américains comme les extensions JAVA de cryptographie de Sun Microsystems4 étaient précédemment interdites en téléchargement en dehors des États-Unis et sont maintenant en libre accès partout dans le monde. Ces revirements peuvent suivre d'une capacité à casser ces logiciels ou d'une stratégie.

        http://fr.wikipedia.org/wiki/Rivest_Shamir_Adleman

        Qui sait…

        Si on part sur la thèse que la NSA n'a pas encore cassé RSA (ou un autre algorithme), je pense que les mathématiciens ayant le niveau et s'intéressant au sujet doivent être surveillé de près ! Si jamais il y en a un qui trouve on va l'acheter ou l'éliminer :)

        Je me demande également si les machines du top100 ne sont pas à même (ou pourraient l'être dans un avenir proche) de rendre un cassage par force brute « viable ».

      • [^] # Re: Sécurité du DES

        Posté par . Évalué à 4. Dernière modification le 16/07/13 à 22:24.

        Tu n'en sais rien. Les théories publié mathématique disent que ce n'est pas possible … pour le moment. Qu'est ce qui te fais dire qu'un des matheux de la NSA n'a pas trouvé un algo qui permet de trouver les nombres premiers super rapidement? Personne. Ca existe peut être pas ou peut que si mais si ça existe ce n'est pas public c'est la seule chose dont on peut être sur.

        Et si il y a bien un domaine ou les matheux sont surveillés c'est celui la.

      • [^] # Re: Sécurité du DES

        Posté par . Évalué à 5.

        Il faut bien se dire que si (c'est déjà une condition) tes messages ne peuvent pas être cassés maintenant, ils peuvent être stockés pour être cassé quand un progrès (technique ou théorique) le permettra. Donc ils ne sont pas sûrs dans le temps.

        Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

        • [^] # Re: Sécurité du DES

          Posté par . Évalué à 3.

          Oui enfin, l'une des premières choses qu'on m'a apprise lorsque j'ai étudié ces algos (AES,RSA,etc.), c'était qu'on considérait qu'un secret était « sûr » quand le temps pour casser son chiffrement était suffisamment long pour que le secret lui-même n'ait plus de valeur, une fois la protection cassée.

      • [^] # Re: Sécurité du DES

        Posté par . Évalué à 2.

        D’après Snowden, "Encryption works".

        Après à vous d’interpréter… La faille peut-être dans l’ordinateur qui a la clef, ou ailleurs.

        • [^] # Re: Sécurité du DES

          Posté par . Évalué à 3.

          Ou dans le générateur aléatoire dans le cas de crypto à clef publique…

          "La première sécurité est la liberté"

    • [^] # Re: Sécurité du DES

      Posté par . Évalué à 2.

      La NSA n'a plus trop besoin de backdoorer les protocoles puisqu'il leur suffit de demander poliment les clefs voire les accès "(in)directs" (bref quelque soit la manière dont ils appellent secrètement ça pour essayer de noyer le poisson) aux fournisseurs de services.

      • [^] # Re: Sécurité du DES

        Posté par . Évalué à 4.

        La NSA n'a plus trop besoin de backdoorer les protocoles puisqu'il leur suffit de demander poliment les clefs
        Ça dépend à qui. Un gros industriel étranger aux USA, au hasard chinois, dont les équipements réseaux sont utilisés par 30% de la planète ne donnera pourtant rien à la NSA, quoi qu'il arrive, en dehors du territoire américain.

        Pareil avec un groupe terroriste, qui ne donnera pas ses clefs. On peut imaginer qu'un terroriste n'y connaît pas forcément grand-chose en crypto, donc il va prendre un logiciel "grand public" mais "open source" (afin d'éviter quelques backdoors standard) ; le logiciel opensource, lui, va respecter les standards (histoire d'éviter de faire des conneries, la crypto c'est pas simple), c'est-à-dire :

        1. pour la cryptographie asymétrique, utiliser les courbes elliptiques du NIST

        2. pour la génération d'aléa, utiliser les algorithmes recommandés par le NIST (Dual Elliptic Curve Deterministic RBG (Dual_EC_DRBG), qui d'une part est peu efficace (un mécanisme asymétrique pour générer de l'aléa, sérieusement…), d'autre part possède des propriétés mathématiques qui n'excluent pas qu'en connaissant un secret particulier, toute la séquence d'aléa puisse être remontée. Or la spécialité de la NSA est l'espionnage…

        Pour 1., des Allemands ont proposé un protocole pour générer des courbes elliptiques dont l'utilisateur peut être sûr que le générateur n'a pas volontairement inséré une faiblesse connue de lui seul ( http://www.ecc-brainpool.org/ ).

        Hors contexte, un peu d'histoire maintenant : concernant le chiffrement (pourri) du GSM, A5/1, les Allemands voulaient qu'il soit sûr, l'OTAN (largement influencé en cela, certainement, par les USA), non.

        https://en.wikipedia.org/wiki/A5/1

        Security researcher Ross Anderson reported in 1994 that "there was a terrific row between the NATO signal intelligence agencies in the mid-1980s over whether GSM encryption should be strong or not. The Germans said it should be, as they shared a long border with the Warsaw Pact; but the other countries didn't feel this way, and the algorithm as now fielded is a French design."

        • [^] # Re: Sécurité du DES

          Posté par . Évalué à 1.

          Personne ne va plus utiliser ton exemple 2., c'est archi connu depuis des lustres que c'est un piège.

          Et A5/1 n'était pas si moisi que ça au moment ou il a été conçu (au moins pas énormément plus que tous les autres trucs grand publics qui sortaient à l'époque, quand on les considère dans leur ensemble). De toutes façon c'est l'exemple typique pour lequel le chiffrement doit être le meilleur possible pour les pays exportateurs (pour les autre il n'y en avait pas, donc ça réglait la question du besoin en bruteforce), vu que les états en question on toujours eu accès aux réseaux nationaux d'une manière plus ou moins large s'ils le voulaient vraiment (et à mon avis ils le veulent tous vraiment). Et même au pire si ça doit être encore plus clandestin il suffit de se brancher sur un lien terrestre ou bien de spoofer une antenne relais. Le cassage d'A5/1 c'est pas trop nécessaire pour un état (peut-être de temps en temps, mais comme dans tous les autres cas inutile de casser si on peut faire autrement).

          • [^] # Re: Sécurité du DES

            Posté par . Évalué à 1.

            Personne ne va plus utiliser ton exemple 2., c'est archi connu depuis des lustres que c'est un piège.
            Pourtant c'est toujours proposé, avec les courbes du standard sans possibilité d'en changer, par l'API crypto windows par exemple…

            Et A5/1 n'était pas si moisi que ça au moment ou il a été conçu
            Ah sisisi. L'attaque de Golic présentée dès 1997 est compréhensible par un étudiant de niveau même pas master 1 crypto (de l'époque !). Il est impensable qu'elle n'ait pas été faite exprès.

            • [^] # Re: Sécurité du DES

              Posté par . Évalué à 1.

              Accessoirement, A5/1 était la version "occidentale" du chiffrement GSM.

              La version "export" était A5/2, une vaste blague.

    • [^] # Re: Sécurité du DES

      Posté par . Évalué à 3.

      la NSA peut aussi augmenter la sécurité de tous le monde

      Très bonne blague.

      C'est aussi la NSA qui a réduit la taille des clefs de 64 à 56 bits, soit-disant pour des "bits de parité" qui n'ont jamais servi à quoi que ce soit.
      Si la NSA avait 10 ans d'avance en maths/cryptographie, elle a aussi 10 ans d'avance en calcul et infiniment plus de ressources en 1979 que n'en avait l'EFF en 1999 quand elle a construit le DES cracker https://en.wikipedia.org/wiki/EFF_DES_cracker (2000 puces dédiées à la recherche exhaustive).

      Bref la NSA a renforcé le DES contre tous ceux (et seulement ceux) qui n'avaient pas la capacité de le craquer par force brute, capacité qu'il est fortement vraisemblable qu'elle avait.

      Donc en gros avant la correction de la NSA, ceux qui pouvaient cracker en brute force (dont la NSA selon toi) pouvaient lire ton message, ainsi que ceux qui connaissaient la faille, et ensuite seuls ceux qui pouvaient cracker en brute force pouvaient lire le message.

      Ça ressemble à une augmentation de la sécurité du message, si avant A et B pouvaient le lire, et après uniquement A. Mais je peux me tromper.

      Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

      • [^] # Re: Sécurité du DES

        Posté par . Évalué à 3.

        Avant, personne ne pouvait attaquer par force brute (56 bits c'est 256 fois plus facile que 64 bits).

        Après, la NSA pouvait attaquer par force brute (et vraisemblablement elle seule).

        Concernant les attaques par cryptanalyse différentielle : elle était connue justement par IBM dès 1974 (mais passée sous silence) (https://fr.wikipedia.org/wiki/Data_Encryption_Standard ) et le DES a été conçu pour y résister.

        L'apport de la NSA est principalement la réduction de la taille des clefs, permettant les attaques par force brute. La sécurité a donc été réduite pour tout le monde.

        • [^] # Re: Sécurité du DES

          Posté par . Évalué à 3.

          Les choses passées sous silence pour le "grand" public circulent souvent assez grandement dans certains milieux. Si l'on en juge par les circulations d'info sur les projets d'arme nucléaire, pour lesquels il y a maintenant 3 tonnes de récits historiques sur le fait qu'en résumé tout le monde a plus ou moins copié tout le monde d'une manière ou d'une autre, il est peu probable que des trucs d'une criticité moindre maintiennent beaucoup mieux un secret absolu. La NSA a sans doute voulu se faciliter la vie et compliquer celle des autres attaquants informés mais ayant moins de capa de calcul. Qu'ils affaiblissent trop la crypto commerciale utilisée aux states serait se tirer une balle dans le pied.

    • [^] # Re: Sécurité du DES

      Posté par . Évalué à 1.

      en réalité je pense qu'il y a eu une confusion.

      A ma connaissance la NSA n'a pas modifié le DES pour le protégé contre la cryptanalyse différentielle, mais a fait modifier certaines valeurs statiques de l'algo de hachage SHA-0 (qui est passé SHA-1 avec les modifs) qui l'ont rendu résistant à la cryptanalyse différentielle.

      • [^] # Re: Sécurité du DES

        Posté par . Évalué à 2.

        La NSA a sans doutes fait modifier SHA0 en SHA1 (la seule différence étant une rotation de 1 bit supplémentaire), vraisemblablement pour en améliorer la sécurité après avoir fait publier un SHA0 troué.

        Par contre elle a également regardé le DES de près, et fait modifier la taille de la clef.

  • # Quid de TrueCrypt

    Posté par . Évalué à 4. Dernière modification le 16/07/13 à 19:40.

    C'est passionnant ces histoires de lois sur le chiffrement :

    http://www.artiflo.net/2011/02/la-loi-truecrypt-et-le-chiffrement-de-disque-en-france/

    Est puni de trois ans d’emprisonnement et de 45 000 euros d’amende [*taux*] le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

    Comment ils font pour prouver que tu refuses de donner la clé et que tu ne l'as pas réellement oubliée ? La torture ?

    • [^] # Re: Quid de TrueCrypt

      Posté par (page perso) . Évalué à 3.

      Bah les mêmes méthodes que pour le fait que tu détiens une information sur une enquête que tu refuses de dévoiler.
      Sans aller jusqu'à la torture, tu auras des pressions psychologiques, des gardes à vue puis tu seras également condamné pour outrage à la justice…

      • [^] # Re: Quid de TrueCrypt

        Posté par . Évalué à 4.

        « Je m'en souviens plus de ce mot de passe ! Et puis là vous me laissez pas dormir depuis 3 jours et avec toutes vos pressions psychologiques j'arrive même plus à réfléchir, je risque pas de le retrouver ! » :)

        condamné pour outrage à la justice…

        Parce que j'ai une cervelle de poisson rouge ?

        • [^] # Re: Quid de TrueCrypt

          Posté par (page perso) . Évalué à 3.

          Ah pardon, j'ai trouvé ta tournure bizarre et j'ai cru que tu parlais du cas où tu te souvenais du mot de passe.
          Là j'ai envie de dire, si tu as oublié le mot de passe pour déchiffrer l'un de tes disques, soit tu n'utilises jamais ton ordinateur, soit c'est un disque dur que tu n'utilisais plus et qui est à l'abandon…

          Déjà que le cas du chiffrement ne doit pas être courant, la version avec oublie du mot de passe doit être terriblement faible.

          • [^] # Re: Quid de TrueCrypt

            Posté par . Évalué à 4.

            Pas forcément, ça peut être dans la mémoire de l'ordi qui reste toujours allumé; le jours où les flics viennent, ils le débranchent de l'onduleur et paf!

            J'ai déjà eu des cas où je me connectai tous les jour sur un site web, puis un an après, lorsque le cookie a expiré, impossible de retrouver le mot de passe.

            Il ne faut pas décorner les boeufs avant d'avoir semé le vent

            • [^] # Re: Quid de TrueCrypt

              Posté par . Évalué à 2.

              Pas forcément, ça peut être dans la mémoire de l'ordi qui reste toujours allumé

              La matos et l'OS ont intérêt d'être super fiables !

              • [^] # Re: Quid de TrueCrypt

                Posté par . Évalué à 3.

                C'est juste un exemple; tu peux aussi avoir une clé qui s'autodétruit si la connexion vient d'une autre adresse que celles enregistrées, ou si une manip n'est pas faite lors du boot. Il y a pas mal de solution pour les paranos pour éviter de donner sa clé sous la menace de la batte de baseball (avec un risque de perdre les données)

                Il ne faut pas décorner les boeufs avant d'avoir semé le vent

            • [^] # Re: Quid de TrueCrypt

              Posté par . Évalué à 2.

              le jours où les flics viennent, ils le débranchent de l'onduleur et paf!
              Ou alors ils ne sont pas si bêtes que ça et mettent un moyen en œuvre pour l'emmener sans le débrancher.
              Ou alors ils refroidissent la RAM à l'azote liquide avant de débrancher, et la maintiennent au froid afin de pouvoir faire une analyse approfondie par la suite (en plus une clef cryptographique ça se repère facilement dans la mémoire).

              Moralité : si vous n'avez rien à vous reprocher mais qu'on sonne chez vous à 6h du matin, éteignez proprement votre ordinateur, faites un tour aux toilettes et habillez vous (histoire que les données en RAM se soient vidées) avant d'ouvrir à la police. Et trouvez une justification pour avoir éteint le PC.

              • [^] # Re: Quid de TrueCrypt

                Posté par (page perso) . Évalué à 3.

                Moralité : si vous n'avez rien à vous reprocher mais qu'on sonne chez vous à 6h du matin, éteignez proprement votre ordinateur, faites un tour aux toilettes et habillez vous (histoire que les données en RAM se soient vidées) avant d'ouvrir à la police. Et trouvez une justification pour avoir éteint le PC.

                SI tu es trop lent normalement ils défoncent la porte.
                Parfois ils le font immédiatement, suivant les raisons pour laquelle ils viennent rendre visite.

                • [^] # Re: Quid de TrueCrypt

                  Posté par . Évalué à 1.

                  SI tu es trop lent normalement ils défoncent la porte.
                  Tout est histoire de "négociation". Il est normal, à 6 heures du matin, de ne pas ouvrir immédiatement (déjà faut émerger du sommeil, puis se rendre compte de ce qui se passe), de dire "OK j'arrive, je m'habille", et d'en prendre le temps.

              • [^] # Re: Quid de TrueCrypt

                Posté par . Évalué à 4.

                Mouais, les flics généralement il prennent juste le matériel et, à la rigueur ils te demandent de l'éteindre; c'est les services spéciaux qui vont y aller aux grands moyens.

                Il ne faut pas décorner les boeufs avant d'avoir semé le vent

              • [^] # Re: Quid de TrueCrypt

                Posté par . Évalué à 7.

                Mouai…
                J'ai comme un doute sur les moyens qui seraient vraiment mis en oeuvre en pratique.
                Je ne sais pas, je n'imagine pas la police arriver avec un tas de matériel super high-tech. Je doute que ça se pratique beaucoup ailleurs que dans les séries télé.

                Moi je crois plutôt que c'est moi qui leur demanderais de faire gaffe et me laisser éteindre proprement plutôt que tirer sur le câble, et c'est là que le Brigadier-chef claquera que "nan, arrache la prise! on sait jamais, des fois qu'il en profiterait pour effacer des trucs!"

            • [^] # Re: Quid de TrueCrypt

              Posté par . Évalué à 2.

              Pas forcément, ça peut être dans la mémoire de l'ordi qui reste toujours allumé

              du coup, c'est super utile d'utiliser TrueCrypt

              C'est comme mon coffre-fort qui reste toujours ouvert tellement j'ai peur de paumer la clé.

              • [^] # Re: Quid de TrueCrypt

                Posté par . Évalué à 4.

                ça dépends de ce dont tu cherches à te prémunir; Typiquement si c'est une saisie des flics ce genre de mécanisme est efficace; par contre faut pas avoir peur de perdre les données;

                C'est comme mon coffre-fort qui reste toujours ouvert tellement j'ai peur de paumer la clé.

                Un coffre qui se ferme (définitivement) lorsque les voleurs ou flics débarquent… ça à son utilité.

                Personnellement j'utiliserai plutôt une clé stockée sur une carte micro-SD. ça se planque facilement ce truc la ;)

                Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                • [^] # Re: Quid de TrueCrypt

                  Posté par (page perso) . Évalué à 2.

                  Personnellement j'utiliserai plutôt une clé stockée sur une carte micro-SD. ça se planque facilement ce truc la

                  Ouais mais c'est galère de chier dans une bassine pour retrouver tes données :-)

                  • [^] # Re: Quid de TrueCrypt

                    Posté par . Évalué à 3.

                    Vu la taille tu peux même imaginer de te le foutre sous la peau. Ou mieux, pour pas que ça se voit au rayons X, dans une dent creuse :)

    • [^] # Re: Quid de TrueCrypt

      Posté par . Évalué à 4.

      Ça dépend si tu es incriminé ou non.

      Si tu es incriminé, en théorie tu peux invoquer le droit à ne pas témoigner contre toi-même.

      Si techniquement ça utilise la perfect forward secrecy (ephemeral DH, https://fr.wikipedia.org/wiki/Confidentialit%C3%A9_persistante ) tu peux toujours donner tout ce que tu veux le protocole cryptographique empêchera la police d'avoir accès à quoi que ce soit.

      Si enfin c'est vraiment utile mais oublié (par exemple un poème épique de passe), il ne faut jamais l'avoir écrit sur un bout de papier. Sinon c'est de la destruction de preuves.

      Comment ils font pour prouver
      Ils ne prouvent pas.
      Quand ils rendent un verdict, les juges français le rendent selon leur intime conviction, pas selon des preuves.
      Exemple célèbre : Landru.

    • [^] # Re: Quid de TrueCrypt

      Posté par . Évalué à 0. Dernière modification le 17/07/13 à 06:34.

      Sans parler d'oubli, plus plausiblement, il peut y avoir la perte ou la destruction (accidentelle, bien sur) du support unique d'un eventuel keyfile.

      Peu importe alors d'avoir le mot de passe du keyfile

  • # pourfandeur qu'y disais

    Posté par . Évalué à 6.

    pourfandeur
    clef […] appelé
    avait aider
    cryptanalyse différentiel
    modifications […] augmentait
    tous le monde
    aurait activement aider
    au données
    fait payé
    vos données reste privés
    à joué
    respect de la vie privé

    Désolé, c'est le pourfandeur initial qui a attiré mon attention sur le reste.
    |~~~~~~~~~~~~~~~~~~> []

    • [^] # Re: pourfandeur qu'y disais

      Posté par . Évalué à 2.

      Ça aurait été plus cool de donner les corrections que de simplement lister les fautes ! ;)

      • [^] # Re: pourfandeur qu'y disais

        Posté par . Évalué à 6.

        /pourfandeur/pourfendeur /
        clef […] /appelé/appelée/
        avait /aider/aidé/
        cryptanalyse /différentiel/différentielle/
        modifications /augmentait/augmentaient/
        /tous/tout/ le monde
        aurait activement /aider/aidé/
        /au/aux/ données
        fait /payé/payer/
        vos données /reste privés/restent privées/
        à /joué/jouer/
        respect de la vie /privé/privée/

        c'est y mieux ?

  • # Explication donnée sur slashdot

    Posté par . Évalué à 3.

    Yahoo (et dans une moindre mesure Twitter face aux censeurs) est encensé par la critique pour avoir attaqué, dans les cours de justice secrètes, bon nombre de demandes d'espionnage de ses utilisateurs par la NSA & Co.

    Microsoft veut tout simplement une part de cette bonne image.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.