NSA - À propos de BULLRUN

Posté par  (site web personnel) . Édité par Nils Ratusznik, rootix, NeoX, palm123, ZeroHeure et Nÿco. Modéré par Nils Ratusznik. Licence CC By‑SA.
45
5
fév.
2015
Sécurité

Voici la suite des « études » des leaks (fuites) de Snowden menées pour NSA-Observer. Dans cet article, nous allons revenir sur les révélations du Spiegel datant de fin décembre lors du 31c3 (Chaos Computer Congress) et du 17 janvier 2015 portant sur les moyens offensifs de la NSA ainsi que d'autres agences concernant la cryptographie.

La conférence « Reconstructing narratives » de Laura Poitras et Jacob Appelbaum présentant ces documents est visible ci-dessous (mais aussi sur le site du CCC) :

BULLRUN, qu'est ce que c'est ?

BULLRUN est un « programme » de la NSA exploitant différents moyens pour accéder à du contenu chiffré. Le New York Times avait abordé le sujet fin 2013 dans son article « Secret Documents Reveal N.S.A. Campaign Against Encryption » mais sans aucun détail (comme The Guardian ou encore propublica).

NSA / TAO : le chemin vers vos serveurs

Posté par  (site web personnel) . Édité par Benoît Sibaud, palm123, NeoX et tuiu pol. Modéré par ZeroHeure. Licence CC By‑SA.
34
24
sept.
2014
Sécurité

Ne trouvant aucune base de données des différents programmes provenant des fuites de Snowden, nous avons travaillé à la création d'une base de données concernant la NSA et le GCHQ. L'article qui suit est une synthèse d'une partie de nos travaux.

NdM : cet article poursuit la série commencée par NSA-observer — quels sont les programmes de la NSA ?, NSA - temps de faire le (premier) point et Que peut faire le service d'élite JTRIG du GCHQ ?.

Nous (nsa-observer) allons aborder aujourd'hui le "catalogue" du groupe d'élite de la NSA nommé TAO (pour Tailored Access Operations). La mission de ce groupe est, depuis sa création en 1997, d'identifier, de monitorer et de trouver un chemin vers des réseaux ou des systèmes pour collecter des informations. Ce département a gagné la réputation de collecter certains des meilleurs renseignements parmi les services de renseignements US, que ce soit sur la Chine, sur des groupes terroristes, ou sur les activités politiques, militaires et économiques d'un pays.

NSA - temps de faire le (premier) point

Posté par  (site web personnel) . Édité par Benoît Sibaud, NeoX, palm123, Nÿco et Florent Zara. Modéré par patrick_g. Licence CC By‑SA.
69
2
août
2014
Internet

Préambule : bonjour tout le monde, j'ai écrit cet article il y quelques jours (NdM: sur son blog, puis republié par Reflets.info), j'en profite pour le partager avec vous. La version originale possède énormément de liens et je ne peux pas tout mettre ici, vous avez le lien vers l'article en question en bas de la page.

En 1988, on commença à parler du programme Echelon ; vient ensuite Frenchelon ; et bien sûr le lanceur d'alerte Edward Snowden. La Quadrature du Net a mis en place le site nsa-observer pour regrouper les infos. Dans la suite de la dépêche, un petit tour d'horizon rapide de ce site.

Jericho Chat - Chiffrement incassable utilisant les masques jetables

Posté par  (site web personnel) . Édité par palm123, Benoît Sibaud et patrick_g. Modéré par Benoît Sibaud. Licence CC By‑SA.
26
4
août
2014
Internet

Jericho Chat est un programme de communication chiffrée utilisant un vrai générateur de nombres aléatoires (TRNG: True Random Number Generator) et des masques jetables. L'objectif est d'offrir un programme libre, open source, dont les communications sont chiffrées, pour les journalistes, les avocats, les militants et les citoyens du monde qui ont besoin d'une réelle assurance que leurs communications ne soient pas censurées, contrôlées, ni surveillés par des gouvernements de régimes totalitaires ni par les agences de renseignement les plus puissantes.

Pour vaincre les meilleures agences de renseignement du monde, vous devez élever votre jeu à leur niveau. Cela signifie l'utilisation de chiffrement qu'ils ne pourront jamais, jamais rompre, indépendamment des progrès en mathématiques, physique quantique, cryptanalyse ou technologique (NdM : la méthode de masque jetable utilisée est théoriquement/mathématiquement impossible à casser, bien qu'en pratique elle reste vulnérable car nécessitant d'échanger des clés et de les conserver secrètes).

En 2ème partie, un résumé très succinct des possibilité du programme. Je ne peux que vous conseiller de lire la page d'accueil et les pages d'information technique du site qui sont en anglais.

Campagne de financement participatif pour ProtonMail

15
19
juil.
2014
Sécurité

ProtonMail est un service de messagerie web sécurisé créé en 2013 par Jason Stockman, Andy Yen et Wei Sun au CERN, situé à côté de Genève en Suisse. À l'opposé de nombreuses messageries web existantes (gmail.com, outlook.com…), ProtonMail chiffre les courriels avant qu'ils ne soient envoyés au serveur. ProtonMail est actuellement en version bêta.

logo ProtonMail

Depuis le 17 juin, une campagne de financement participative a été lancée par l'équipe de développeur dans le but d'atteindre 100 000$. Deux semaines plus tard, le projet avait déjà reçu 200 000$. La prochaine étape est d'atteindre 500 000$ afin que des applications pour iOS et Android soient développées. La campagne se termine le 31 juillet. ProtonMail accepte les paiements par carte bleue, paypal (voir plus bas) et bitcoin.

Journal L'enfant d'Internet (VIDEO)

Posté par  . Licence CC By‑SA.
38
21
juil.
2014

Bonjour nal,

tu connais peut être Aaron Swartz, activiste de l'Internet, développeur de RSS, co-fondateur de Reddit, contributeur des licences Creative Commons, décédé début 2013.
Son combat altruiste a été celui de la liberté de l'Internet, de l'évolution des droits d'auteurs et du libre accès aux données publiques, de la justice sociale, bref de la construction d'un monde ouvert et libre.

Un documentaire, "The Internet's Own Boy", réalisé par Brian Knappenberger, lui rend hommage.
Ce film est sous licence (…)

Journal [RMLL 2014] Surveillance vidéo de la foule à l’insu des visiteurs

48
11
juil.
2014

Bonsoir,

L’édition 2014 des RMLL se termine demain soir à Montpellier.

Jusqu’à jeudi en milieu de journée au moins, plusieurs caméras (au minimum 2 dans la tente du village associatif, et 1 derrière la tireuse à bière) de taille suffisamment petite pour être discrètes ont capté les allées et venues des visiteurs ainsi que leurs interactions, sans aucune signalisation. Ces caméras ont été installées par un membre du staff, et plusieurs organisateurs étaient au courant. Une réponse du staff (…)

Reset The Net

Posté par  . Édité par Nÿco, ZeroHeure, palm123 et Sten Spårvagnhög. Modéré par Pierre Jarillon. Licence CC By‑SA.
Étiquettes :
22
6
juin
2014
Communauté

Ce jeudi 5 juin 2014, une année après les premières révélations d'Edward Snowden sur les programmes de surveillance de la NSA, l'association Fight for the Future lance l'opération Reset The Net. L'objectif est clair : « Ne demandez pas le respect de votre vie privée, prenez-le en main ».

ResetTheNet

Pétition pour accorder l'asile à Edward Snowden

Posté par  (site web personnel) . Édité par Nÿco, patrick_g et palm123. Modéré par patrick_g. Licence CC By‑SA.
25
5
juin
2014
Sécurité

L'Express a lancé il y a deux jours une pétition pour que la France accorde l'asile à Edward Snowden. Plusieurs libristes éminents (Philippe Aigrain et Francois Pellegrini) font partie des premiers signataires. Plus de 120 000 signatures ont été recueillies à cette heure.

Cet article du Monde récapitule les points clefs du débat. Il remarque en particulier que le PS et l'UMP sont opposés à cette demande.

Un autre article du Monde (dont le contenu est malheureusement réservé aux abonnés) indique que l'avis du Président de la République ou du gouvernement n'est pas nécessaire, compte-tenu de la Constitution. En voici le passage-clef :

Au lendemain de la seconde guerre mondiale, elle a voulu inscrire dans sa Constitution que « tout homme persécuté en raison de son action en faveur de la liberté a droit d'asile sur les territoires de la République ». Le préambule de la Constitution de 1946 est devenu en 1958 partie intégrante de la Constitution de la Ve République. Quarante ans plus tard, par la loi du 11 mai 1998, sur la base d'un rapport que j'ai remis au gouvernement en 1997, l'asile constitutionnel est devenu effectif et concrètement porteur de droits et de protection.

Journal FSF et chiffrement de courriels

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
14
6
juin
2014

Bon, c'est vrai que la journée du chiffrement est passée, mais je voulais faire un journal marque page en vous proposant un lien de la FSF pour apprendre à chiffrer ses courriels avec GPG :

https://emailselfdefense.fsf.org/

Ça ne simplifie pas forcément le concept, mais c'est un tutoriel agréable, et avenant pour tout un chacun.

Bon trolldi !

Journal TrueCrypt, la fin ?

54
29
mai
2014

Après Heartbleed, la crypto nous offre nouvelle occasion de se donner des frissons dans le bas du dos.

Depuis mercredi soir la page officielle du projet "presque libre" TrueCrypt a changé, pour une page faite à la va vite indiquant que l'utilisation du Logiciel n'est pas sure et conseille de migrer vers les solutions de chiffrement natives (et propriétaires) des plate-formes Windows et MacOS (Linux n'est pas mentionné, curieux pour un projet qui a toujours mis l'accent sur le multi-plateforme).

(…)

Se passer de Google, Facebook et autres big brothers 2.0 #1 — Les moteurs de recherche

62
3
juin
2014
Internet

Merci aux participants de cette dépêche collective, c.-à-d. ack, Adrien Dorsaz, alendroi, Anthony Jaguenaud, BAud, baud123, Bruce Le Nain, deor, etbim, fabienwang, Florent Zara, frayd, gUI, HLFH, j, jcr83, jeberger, Jiehong, Laurent Pointecouteau, lenod, M5oul, Mildred, Nicolive, nullard3d, Nÿco, olivierweb, palm123, SidStyler, SKy, tetraf, Thom, titiii, tux-tn, ver2terre, Viish, Vincent Gay, vlamy, Xinfe et Yves Bourguignon

Aujourd'hui, le net est occupé en grande partie par les services de grosses entreprises privées. Ceci pose de nombreux problèmes : logiciels privateurs, centralisation des données, pistage permanent, censure, exploration de données, dépendance à des tiers, etc.

Cette série décrit (et critique) des alternatives soit utilisables en auto-hébergement, soit via des services basés sur des logiciels libres. Dans cette première dépêche, nous allons nous intéresser aux moteurs de recherche. Les commentaires sont là pour préciser des oublis ou corriger les éventuelles erreurs.

watching

GNUnet continue sa route

Posté par  . Édité par bubar🦥, Nÿco, Yves Bourguignon, Nils Ratusznik et Xavier Teyssier. Modéré par Ontologia. Licence CC By‑SA.
65
1
juin
2014
Internet

GNUnet est un framework sous licence GPL pour le réseau peer-to-peer (pair à pair) sécurisé éponyme. Le réseau GNUnet est complètement décentralisé et ne repose sur aucun service centralisé de confiance. Le but de ce projet est de fournir une base logicielle solide pour construire un réseau global sécurisé, notamment en ce qui concerne l’anonymat.

La particularité de GNUnet par rapport aux autres réseaux peer-to-peer est qu’il place la barre très haut au niveau de la sécurité et de l’anonymat. Le réseau est ainsi conçu pour fonctionner dans un monde où un adversaire pourrait voir l’ensemble du traffic sur Internet, et possèderait beaucoup de nœuds traîtres dans le réseau, pouvant ainsi voir bon nombre des échanges entre les nœuds innocents. Bref, pas si loin de la réalité.

GNUnet

Concours sécurité sur LinuxFr.org : 3 livres à gagner !

35
28
avr.
2014
Sécurité

La sécurité et la vie privée sont des sujets de plus en plus récurrents et sensibles, maintenant aussi aux yeux de la presse généraliste et du grand public depuis les informations fournies par Edward Snowden. Le flot continu de révélations ne calmera pas la situation de sitôt. Mais il n'y a pas que E.Snowden qui fait l'actualité en sécurité informatique, c'est aussi la faille Heartbleed dans OpenSSL et son impressionnante taxonomie, la fin de la liste Full Disclosure, etc. l'actualité sur le sujet ne manque pas. Si tout n'est pas parfait chez LinuxFr.org, nous tâchons de montrer l'exemple. Pour vous inciter à partager encore plus sur le sujet, nous vous proposons de gagner un des trois exemplaires du livre Hacking, sécurité et tests d'intrusion avec Metasploit (édité par Pearson), en espérant aussi que cela vous sensibilisera et vous permettra de monter en compétence sur ces sujets essentiels.

Hacking, sécurité et tests d'intrusion avec Metasploit

Bonne chance !

Journal Condoleezza Rice nommée au conseil de direction de Dropbox

Posté par  . Licence CC By‑SA.
Étiquettes :
20
14
avr.
2014

Je n'ai pas vu passer l'info sur linuxfr, alors je pointe un lien:

Dropbox : polémique autour de la nomination de Condoleezza Rice

Pour info, "Dropbox" était marqué comme bientôt opérationnel dans PRISM, à une époque ou cette femme était au gouvernement.

Pour vos données, notez qu'il existe des alternatives comme Owncloud ou Cozycloud.

Bien sûr, il faut mettre les mains dans le cambouis, mais c'est le prix de la liberté…