Journal Retour sur rC3, le 37e CCC mais en distant

28
16
jan.
2021

Entre les fêtes de fin d’année devait avoir lieu le traditionnel Chaos Communication Congress (CCC), le 37ᵉ, par le Chaos Computer Club (CCC). Mais pour cause de pandémie, l’événement a eu lieu en ligne et a été rebaptisé rC3. Les sujets abordés sont variés : féminisme, Bruce Schneier, manifestations en Bulgarie, rançongiciel, conflit Arménie/Azerbaïdjan, AES, Cory Doctorow, jeu vidéo, les Yes Men, fuzzing, contenus pédagogiques, climat, rayons X, chaîne de blocs, Wikileaks, brevets, matériel ouvert, Digital Service (…)

GnuPG, OpenPGP.js & cie : quoi de neuf ?

59
15
avr.
2018
Sécurité

Le 8 mars 2018, la version 3.0.0 de la bibliothèque OpenPGP.js sortait. Elle implémente le format OpenPGP en JavaScript et est disponible sous licence LGPL 3.0. C’est l’occasion de présenter cette bibliothèque et les nouveautés apportées par cette version. C’est surtout un très bon prétexte pour parler du standard OpenPGP lui‐même, de ses principales implémentations et de ses évolutions futures.

Linux Mint a été compromise

Posté par  (site Web personnel) . Édité par Benoît Sibaud, M5oul, palm123, BAud, Xavier Teyssier, xunfr et tuiu pol. Modéré par Benoît Sibaud. Licence CC By‑SA.
Étiquettes :
66
7
mar.
2016
Distribution

Message d'intérêt général : les serveurs de la distribution Linux Mint ont été compromis.

Il convient d'être très prudent car une ou plusieurs attaques ont donc été jouées sur plusieurs mois, et même si les images ISO vérolées semblent ne l'avoir été que sur deux jours, il est conseillé de :

  • désinstaller/réinstaller Linux Mint si vous venez de l'installer ;
  • dans tous les cas de changer vos mots de passe, non seulement sur les forums Linux Mint mais aussi sur tout autre service où vous auriez pu utiliser le même mot de passe ;
  • Et dans ce genre de situation, il vaut mieux être le plus inclusif possible : si vous avez utilisé d'autres services Mint, il est préférable de considérer vos mots de passe là-bas aussi comme potentiellement compromis.

Vous êtes invité à lire la seconde partie de la dépêche pour des informations plus détaillées.

Journal De la gestion des clefs OpenPGP

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
81
17
mai
2015

Dans un commentaire de la dépêche sur la carte OpenPGP, Spack demandait :

OK mais je la mets où ma clef ? Sous l’oreiller ? Quels sont les bons conseils pour mettre sa clef privée au chaud et de façon pérenne ?

Ce à quoi je répondais, en bottant honteusement en touche, que ça n’avait rien à voir avec la carte OpenPGP. Mais la question n’en est pas moins intéressante et mérite que l’on tente d’y répondre.

Je me propose donc, dans ce (…)

NSA / TAO : le chemin vers vos serveurs

Posté par  (site Web personnel) . Édité par Benoît Sibaud, palm123, NeoX et tuiu pol. Modéré par ZeroHeure. Licence CC By‑SA.
34
24
sept.
2014
Sécurité

Ne trouvant aucune base de données des différents programmes provenant des fuites de Snowden, nous avons travaillé à la création d'une base de données concernant la NSA et le GCHQ. L'article qui suit est une synthèse d'une partie de nos travaux.

NdM : cet article poursuit la série commencée par NSA-observer — quels sont les programmes de la NSA ?, NSA - temps de faire le (premier) point et Que peut faire le service d'élite JTRIG du GCHQ ?.

Nous (nsa-observer) allons aborder aujourd'hui le "catalogue" du groupe d'élite de la NSA nommé TAO (pour Tailored Access Operations). La mission de ce groupe est, depuis sa création en 1997, d'identifier, de monitorer et de trouver un chemin vers des réseaux ou des systèmes pour collecter des informations. Ce département a gagné la réputation de collecter certains des meilleurs renseignements parmi les services de renseignements US, que ce soit sur la Chine, sur des groupes terroristes, ou sur les activités politiques, militaires et économiques d'un pays.

Tails 1.1 est disponible

Posté par  . Édité par palm123, Benoît Sibaud, rootix et patrick_g. Modéré par patrick_g. Licence CC By‑SA.
37
26
juil.
2014
Distribution

La distribution Tails (The Amnesic Incognito Live System) est un live-CD/live-USB visant à protéger votre anonymat et votre vie privée quand vous vous connectez à Internet.
La sortie de la version 1.1 a été annoncée le 22 juillet dernier par l'équipe de développement.

logo

Revue de presse de l'April pour la semaine 8 de l'année 2014

19
24
fév.
2014
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

L’IETF se lance dans la lutte contre l’espionnage

Posté par  (site Web personnel) . Édité par Davy Defaud et Florent Zara. Modéré par patrick_g. Licence CC By‑SA.
39
12
nov.
2013
Sécurité

Des tas de gens et d’organisations ont été secoués par les révélations du héros Edward Snowden concernant l’ampleur de l’espionnage réalisé par la NSA (et, certainement, par bien d’autres organisations). Bien sûr, les experts en sécurité savaient depuis longtemps, mais ils avaient le plus grand mal à se faire entendre ; les dirigeants et les utilisateurs préféraient se moquer de ces experts, en les qualifiant de paranoïaques. Les révélations de Snowden ont montré que les paranoïaques ne l’étaient en fait pas assez, et que l’ampleur de l’espionnage dépassait les pires prévisions.

Logo IETF

Cela a nécessité des changements de direction à pas mal d’endroits. Par exemple, l’IETF, l’organisation qui établit les normes techniques de l’Internet. Traditionnellement, elle se préoccupait peu de vie privée, parfois considérée comme « un problème politique, ce n’est pas pour nous ». Cela a changé dans les dernières années mais les révélations Snowden ont mené à une brusque accélération. À la réunion de l’IETF à Vancouver, du 3 au 8 novembre, on a donc beaucoup parlé de vie privée. Tous les groupes de travail avaient consacré du temps à un examen de leurs protocoles, sous l’angle de la protection de la vie privée. Et la plénière technique du 6 novembre, avec Bruce Schneier en invité vedette, avait été entièrement consacrée à cette question. La décision la plus spectaculaire a été l’accord très large de l’IETF (par le biais du fameux « hum », l’IETF n’ayant pas de procédures de vote) pour se lancer à fond dans cette voie.

NdM : merci à Stéphane Bortzmeyer pour son journal.

Journal L'IETF se lance dans la lutte contre l'espionnage

43
7
nov.
2013
Ce journal a été promu en dépêche : L’IETF se lance dans la lutte contre l’espionnage.

Des tas de gens et d'organisations ont été secoués par les révélations du héros Edward Snowden concernant l'ampleur de l'espionnage réalisé par la NSA (et, certainement, par bien d'autres organisations). Bien sûr, les experts en sécurité savaient depuis longtemps mais ils avaient le plus grand mal à se faire entendre, les dirigeants et les utilisateurs préféraient se moquer de ces experts, en les qualifiant de paranoïaques. Les révélations de Snowden ont montré que les paranoïaques ne l'étaient en fait pas (…)

"Petit Frère", la VF du "Little Brother" de Cory Doctorow

Posté par  . Édité par ZeroHeure, Benoît Sibaud, tuiu pol et palm123. Modéré par tuiu pol. Licence CC By‑SA.
Étiquettes :
23
6
sept.
2013
Culture

Little Brother, de Cory Doctorow, est maintenant disponible en version française. Little Brother est un livre pour jeunes adultes qui traite des libertés civiles à l'ère du numérique, et de diverses techniques de sécurité informatique.

L'intrigue se situe dans un avenir proche, à San Francisco. Marcus Yallow, un hacker de 17 ans, se retrouve précipité dans des aventures qui lui font visiter, et expliquer de façon très didactique, des outils de sécurité divers : Tor, la théorie de l'information, la cryptographie à clef publique, etc.

À la façon dont Le Monde de Sophie introduit sans douleur les concepts les plus importants de la Philosophie, ou dont Le Théorème du Perroquet traitait des mathématiques, Little Brother offre une introduction agréable à des concepts informatiques variés, dont certains, pas évidents à priori pour des débutants, sont rendus avec une didactique brillante (on retiendra en particulier une épique réunion d'échange de clefs cryptographiques).

Il introduit aussi de nombreux éléments de culture, comme les jeux de rôle Grandeur Nature ou l'atmosphère des Hackerspaces, et rend des hommages à Kerouac, Orwell et Bruce Schneier.

Journal Comment les jeux gratuits font payer leurs utilisateurs

Posté par  . Licence CC By‑SA.
Étiquettes :
1
15
juil.
2013

Bon, c'est en Anglais mais voici un lien vers un article expliquant comment les jeux "gratuits" arrivent à faire payer leurs utilisateurs: http://www.schneier.com/blog/archives/2013/07/f2p_monetizatio.html

TLDR: ces jeux utilisent principalement le fait qu'on est beaucoup plus prêt à payer pour conserver ce qu'on a plutôt que de payer pour acquérir de nouvelles choses.

Keccak remporte la mise et devient SHA-3

Posté par  (site Web personnel) . Édité par Davy Defaud, Nÿco, Florent Zara et Benoît Sibaud. Modéré par baud123. Licence CC By‑SA.
Étiquettes :
74
3
oct.
2012
Sécurité

En 2007, le NIST (National Institute of Standards and Technology) a lancé une compétition internationale pour choisir une fonction de hachage de nouvelle génération.

Les attaques sur SHA-1 avaient généré une certaine inquiétude et les experts pensaient que la famille SHA-2 (SHA-256, SHA-384, SHA-512) serait menacée à plus ou moins longue échéance. Cela a donc conduit à l’organisation d’une compétition SHA-3 sur le modèle de celle ayant conduit à la sélection de l’algorithme de chiffrement AES.

Plus de 64 propositions ont été reçues et soumises, au fil des années, aux tentatives de cassages de la communauté cryptographique mondiale. Cette longue compétition vient enfin de s’achever puisque le NIST a désigné Keccak comme l’algorithme gagnant. Ce dernier devient donc officiellement SHA-3.

Plus de détails dans la suite de la dépêche.

Le noyau Linux 3.2 est disponible

117
5
jan.
2012
Noyau

La sortie de la version stable 3.2 du noyau Linux vient d'être annoncée par Linus Torvalds sur la liste de diffusion et sur Google+. Le nouveau noyau est, comme d'habitude, téléchargeable sur les serveurs du site kernel.org.

Le détail des évolutions, nouveautés et prévisions est dans la seconde partie de la dépêche.

P.‐S. : Merci à toutes les personnes qui ont aidé à traduire les courriels de RC quand cette dépêche était dans l'espace de rédaction. Merci également à Laurent Wandrebeck (low) pour sa contribution sur la brève concernant DVFS.

Wikileaks, le PROTECT-IP Act, ou comment asphyxier une organisation

Posté par  (site Web personnel) . Modéré par Lucas Bonnet. Licence CC By‑SA.
46
27
oct.
2011
Justice

Julian Assange, fondateur et porte‐parole de WikiLeaks, a expliqué lundi 24 octobre que le site avait dû vivre sur ses réserves financières, suite aux blocages financiers illégaux qu’il a subi depuis un an : « [u]ne poignée de banques américaines a réussi à bloquer 95 % des soutiens financiers de WikiLeaks. ». En conséquence, le site suspend les publications de nouveaux documents, pour se concentrer uniquement sur la campagne de dons.

Yochai Benkler enseigne à la Faculté de droit de Harvard. Il a notamment écrit le livre [La Richesse des réseaux] et reçu le prix Pioneer Awards en 2007 (avec Cory Doctorow et Bruce Schneier). Il vient de publier dans la revue Daedalus de l’académie américaine des arts et sciences (et sur son site), un article incisif intitulé Wikileaks et le PROTECT-IP Act : la nouvelle menace public‐privé sur le bien commun Internet (WikiLeaks and the protect-ip Act: A New Public-Private Threat to the Internet Commons).

Y. Benkler décrit une nouvelle méthode hors cadre judiciaire : en contournant les lois, une administration, un gouvernement ou une entreprise peuvent assécher les flux financiers et publicitaires des structures visées et perturber leur présence en ligne (DNS, stockage en ligne, visibilité sur les moteurs de recherche, régie publicitaire et publicités, systèmes de paiement). Le tout permettant via une pression extra‐légale, d’obtenir des effets au‐delà des limites légales…

Un article incisif ? Une traduction de la dernière phrase pour donner le ton : « En mettant de côté les débats pour savoir si ces éléments peuvent être justifiés lorsque les cibles sont des organisations terroristes suspectées, les observer métastaser la partie civile de la vie normale, économique et politique, dans une société démocratique en réseau est extrêmement troublant et doit être combattu politiquement, légalement et techniquement. »

NdA : le PROTECT‐IP Act vient d’être renommé en E‐PARASITE Act (Enforcing and Protecting American Rights Against Sites Intent on Theft and Exploitation Act).

Journal Google censure !

Posté par  (site Web personnel) . Licence CC By‑SA.
5
11
juil.
2011

Pour des raisons de sécurités, évidemment. D'après cet article du Register, tous les sous-domaines de co.cc auraient été supprimés des résultats du moteur de recherche. Ce fournisseur de services Internet serait utilisé par des programmes malicieux.

Protéger le pauvre utilisateur sans défense sur le grand méchant Internet. Est-ce de la responsabilité à Google de protéger l'utilisateur (dans ce cas particulier) ? Non. Actuellement la sécurité informatique est un gag, un énorme gag même, pour la simple est bonne raison (…)