Bonjour cher journal,
Voici donc mon tout premier billet, j'aimerais vous faire part d'un projet qui me triture l'esprit depuis peu, suite aux nombreux faits dont certains journalistes ont été victimes, à savoir des vols suspects d'ordinateurs, mais également des perquisitions de plus en plus nombreuses aux seins des rédactions.
J'aimerais réunir un certain nombre de connaissances sur la cryptographie et le logiciel libre afin de rédiger un guide complet et exhaustif de sécurité informatique appliqué aux métiers du journalisme. Ce guide reprendrait les bases de la cryptographie en vulgarisant sans dénaturer pour autant les concepts, les usages que l'on peut faire de la cryptographie, l'utilité du logiciel libre dans la manipulation des données, et bien entendu la description d'un certain nombre de schéma de sécurité pour une série de cas concrets applicables aux journalistes et rédactions (sécurisation des données, réplications, sécurisation des échanges, protection des sources, protection contre l'extorsion de donnée, etc).
Pour l'instant n'a été rédigé qu'un plan léger ainsi qu'une ébauche de ce que pourrait être l'introduction, qui explique justement certains protocoles applicables à la sécurité comme la confiance, la cryptographie et les logiciels.
Le guide se veut pédagogique, accessible, tout en étant au maximum exhaustif et surtout efficace. Cette démarche est essentiellement citoyenne, elle a pour but de garantir le droit à l'information face à un pouvoir appliquant sur les journalistes une forme de répression de plus en plus grande et inacceptable.
Je suis donc à la recherche de personnes sensibles à cette question qui seraient intéressés pour participer à ce projet. Je dois clairement avouer qu'à ce stade je ne sais pas jusqu'où cela ira, mais j'espère une fois ce guide terminé qu'il sera édité, relié et distribué en librairie, c'est du moins vers ceci que tends ce projet s'il se concrétise.
Je suis ouvert à toutes suggestions, participations, expertises diverses, le but étant d'être au maximum collaboratif.
Journal Guide de sécurité informatique à l'usage des journalistes
18
nov.
2010
# Avant toute chose...
Posté par windu.2b . Évalué à 5.
Parce qu'on nous parle des ordinateurs volés, mais on ignore totalement s'ils n'étaient pas déjà chiffrés (dans ce cas, le vol est juste emmerdant pour le journaliste qui a perdu son outil de travail et ses notes, s'il n'a pas de sauvegarde sur un autre ordi/serveur).
[^] # Re: Avant toute chose...
Posté par Anonyme . Évalué à 6.
Et pour ce que je sais des journalistes, le problème c'est justement qu'ils ne sont pas informaticiens et pas nécessairement sensibilisée à la sécurité dans son ensemble, et en règle général, le chiffrement n'est que peu appliqué.
[^] # Re: Avant toute chose...
Posté par barmic . Évalué à 1.
S'il a chiffré ses données ce qui serait intéressant c'est de savoir quel algo il a utilisé et qu'elle taille de clef, pour savoir si les services gouvernementaux ont les moyens de le casser.
Très franchement la limite légale de taille de clef ça sert juste à avoir une estimation de ce qu'ils sont capable de déchiffrés, parce qu'ils vont pas s'amuser à voler un portable et assigner en justice pour non respect de cette loi.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Avant toute chose...
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 3.
Je ne crois pas avoir lu sur le site du gouvernement qu'ils revendiquaient le vol des données. Et plutôt que d'organiser un vol, il eût même été plus simple d'injecter un bon petit virus dans les machines qui efface tout, ou une petit backdoor : plus discret et pratiquement impossible à tracer. Et même s'ils utilisaient linux, combien d'entre vous utilisent régulièrement chkrootkit ou d'autres applis de ce genre ?
[^] # Re: Avant toute chose...
Posté par Maclag . Évalué à 6.
- le facteur intimidation
- la compétence réelle du donneur d'ordre vs celle de l'expert technique (genre je doute qu'Albanel aurait pensé à installer un backdoor, elle aurait plutôt recommandé de faire gaffe à pas se brûler sur le pare-feu en débranchant l'ordi)
J'ajouterai que, comme on devrait toujours y penser:
à qui profite le crime?
Ou alors vous soupçonnez carrément Bettencourt et ses acolytes d'avoir fomenté le coup.
[^] # Re: Avant toute chose...
Posté par Misc (site web personnel) . Évalué à 2.
parce que bien sur, les journalistes sont critiqués quand ils rapportent un truc sans être assez précis, mais ça devient des cadors dés qu'un pc est volé et que le journaliste a un lien avec une affaire médiatique ( car bien sur, des journalistes qui écrivent des articles sur des affaires pas médiatiques, c'est pas important... ).
[^] # Re: Avant toute chose...
Posté par yellowiscool . Évalué à 5.
Envoyé depuis mon lapin.
[^] # Re: Avant toute chose...
Posté par bubar🦥 (Mastodon) . Évalué à 2.
Tu en connais beaucoup qui font de la triangulation sur du wifi (pour voir qu'un portable sans émet quant même), et ce, au travers des ouatmilles wifi qui traversent ce genre d'immeuble parisien ? :)
nan c'est vrai que ça ressemble plutot à du commandité privé, ça. Quoique ça pourrait aussi être du "zut, presque tard, allons y bourrin personne nous verra là", voire encore du "comme pour une paillotte, on a un peu honte alors on laisse des traces". Bref, allons savoir ?
[^] # Re: Avant toute chose...
Posté par Xavier Teyssier (site web personnel) . Évalué à 7.
Parce que tu connais les moyens dont dispose les services gouvernementaux ?
Très franchement la limite légale de taille de clef ça sert juste à avoir une estimation de ce qu'ils sont capable de déchiffrés,
Heu... Je n'ai peut-être pas tout suivi, mais il me semblait que voilà plusieurs années qu'il n'y a plus de limite sur la taille des clef de chiffrement, ou même sur les outils de chiffrement eux-mêmes.
[^] # Re: Avant toute chose...
Posté par barmic . Évalué à 3.
http://fr.wikipedia.org/wiki/Chiffrement#En_France
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
# Un début
Posté par sanao . Évalué à 9.
[^] # Re: Un début
Posté par Anonyme . Évalué à 3.
Effectivement il semble que je ne sois pas le seul à m'intéresser à la question. Mais je trouve les procédés proposés font un peu fi de la confiance (recommander gmail ou skype me semble un peu une hérésie).
De façon global, j'aimerais aussi aborder des solutions complètes et interopérables pour les rédactions, qu'elles soient propriétaires de leurs outils et qu'elles puissent les mettre en applications (je pense par exemple à l'avantage du cloud computing dans ces cas là).
[^] # Re: Un début
Posté par Nonolapéro . Évalué à 3.
http://www.kozlika.org/kozeries/post/2010/10/29/Vol-d-ordina(...)
[^] # Re: Un début
Posté par tgylzh . Évalué à 3.
[^] # Re: Un début
Posté par Nicolas . Évalué à 2.
C'est la méthode recommandée par un expert judiciaire pour chiffrer ses données.
# Wiki
Posté par genma (site web personnel) . Évalué à 4.
[^] # Re: Wiki
Posté par Anonyme . Évalué à 2.
[^] # Re: Wiki
Posté par Corto . Évalué à 3.
Toutes les personnes qui veulent communiquer de manière sécurisé sont susceptible d'être intéressées...
- Confidentialité des données (cryptage)
- Transmission sécurisée des informations/ confidentialité des interlocuteurs
- Stockage des données (solutions de sauvegarde pérenne)
[^] # Re: Wiki
Posté par Pierre-Antoine Roman . Évalué à 1.
Donc effectivement, met en place un wiki, je serai aussi de la partie !
[^] # Re: Wiki
Posté par cosmocat . Évalué à 2.
Je ne suis jamais allé voir et ne le peut pas actuellement (à cause du proxy du boulot) mais peut-être que cela vous intéresserait ou pourrait s'y ajouter...
http://free.korben.info
[^] # Re: Wiki
Posté par daimrod . Évalué à 2.
Je ne sais pas depuis combien de temps il est comme ça, mais il n'est pas disponible. (proxy ou non)
[^] # Re: Wiki
Posté par zebra3 . Évalué à 2.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Wiki
Posté par Anonyme . Évalué à 4.
[^] # Re: Wiki
Posté par Nicolas Boulay (site web personnel) . Évalué à 5.
"La première sécurité est la liberté"
[^] # Re: Wiki
Posté par GuiBrother . Évalué à 2.
La page : http://www.pouleouoeuf.org/
[^] # Re: Wiki
Posté par bubar🦥 (Mastodon) . Évalué à 2.
Penser peut être à avoir des parties spécifiques aux distributions. Car si la majorité des outils sont disponibles sur toutes, les spécifités de chacune sont intéressantes aussi, dans le cadre d'une adaptation du système. (SElinux, Tomoyo, AppArmor, déjà. Puis comment avoir un ordinateur "normalement utilisable" [ie : x et montage usb] avec le patch grsec. Ou comment chrooter une appli ayant besoin d'un affichage x, genre un navigateur web. Ou encore se faire son / en squashfs. Ou pourquoi telle distribution fonctionne mal si /lib/modules a été déplacé sur, et pointé vers, une partition ro...)
Cela peut être un superbe boulot. Le truc difficile sera peut être de faire le rangement au fur et à mesure, quitte à locker de temps en temps, afin de ne pas se retrouver avec un gros bordel).
Et le fait que cela soit spécifiquement destiné aux journalistes est une approche, un objectif, est extra :))
Perso j'aime beaucoup les webmails publics.
Tu t'y connectes en inventant une adresse mail comme tu veux, qui ne sera qu'un alias n'apparaissant jamais dans le webmail. Donne ce mail à un service en ligne ou à quelqu'un. Puis tes mails sont reçus dans une boite ouverte et public : à toi de les choper et de les effacer.Le traffic est pas gros car ils sont peu connus / utilisés, mais faut quant même être dessus pil au moment de l'envoi de la réponse attendue :)
Simplissime, parfaitement efficace.
# Pourquoi se limiter?
Posté par Grunt . Évalué à 4.
Tout le monde peut être concerné. Ne serait-ce que parce que tout le monde peut se faire voler son PC.
Me semble donc que ce guide doit s'adresser à tout le monde. Ça ne devrait pas changer grand chose au contenu du guide, d'ailleurs.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Pourquoi se limiter?
Posté par jardiland . Évalué à 2.
[^] # Re: Pourquoi se limiter?
Posté par zebra3 . Évalué à 3.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Pourquoi se limiter?
Posté par Wawet76 . Évalué à 7.
[^] # Re: Pourquoi se limiter?
Posté par devnewton 🍺 (site web personnel) . Évalué à 6.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Pourquoi se limiter?
Posté par palm123 (site web personnel) . Évalué à 5.
A ce sujet, j'ai appris hier qu'il n'y a pas de clause de non-concurrence en Californie, et que c'est l'une des raisons de son dynamisme (Silicon Valley...)
ウィズコロナ
[^] # Re: Pourquoi se limiter?
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
Dans les domaines techniques, elle n'est quasiment jamais valable. Elle doit être limité dans le temps, rémunérer (en gros il te paye pendant les x mois ou tu n'est plus chez eux), et limité dans l'espace (interdiction de t'empêcher de bosser). C'est ce dernier point qui rend souvent cette clause non-écrite, vu que l'on ne peut pas t'interdire d'exercer ton métier dans la France ou l'Europe entière.
"La première sécurité est la liberté"
[^] # Re: Pourquoi se limiter?
Posté par fearan . Évalué à 3.
Je suppose que c'est au cas où je bosse chez un client, que je pose ma dem, et que l'ancien client n'apprécie pas que je puisse aller voire la concurrence.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pourquoi se limiter?
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
"La première sécurité est la liberté"
[^] # Re: Pourquoi se limiter?
Posté par Misc (site web personnel) . Évalué à 4.
Ie, on peut pas dire "tu feras jamais d'informatique nulle part à vie". ( enfin on peut mais c'est pas valable ).
C'est plus
"tu t'engages à ne pas aller bosser dans le domaine des ERP sur Paris, Rennes et Strasbourg pendant 1 an en échange de X% de ton salaire durant l'année" ( avec X relativement supérieur à 50/60 , si j'en crois les chiffres donnés par des amis.
De plus, le patron n'est pas obligé d'activer l'application de la clause à ton départ, et si il dit rien, y a rien. En fait, y a bien souvent rien.
[^] # Re: Pourquoi se limiter?
Posté par DLFP est mort . Évalué à 2.
Plus exactement, un tribunal a jugé que les clauses de non-concurrence n'étaient pas valides.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Pourquoi se limiter?
Posté par Grunt . Évalué à 4.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Pourquoi se limiter?
Posté par zebra3 . Évalué à 1.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Pourquoi se limiter?
Posté par Nicolas Boulay (site web personnel) . Évalué à 5.
"La première sécurité est la liberté"
[^] # Re: Pourquoi se limiter?
Posté par Grunt . Évalué à 7.
===> [X]
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
# Et les arbres ?
Posté par Etienne Bagnoud (site web personnel) . Évalué à 3.
Non c'est bien de faire un guide sur la sécurité informatique et de proposer à plein de gens de participer, mais finir par l'imprimer sur des arbres morts pour un domaine où demain on peut nous annoncer qu'il y a une faille dans tous les algos en concurrence pour SHA-3 et que cette méthode permet aussi de casser SHA-2 et SHA-1, je trouve aberrant de vouloir l'imprimer.
Si c'est un livre sur les théories fondamentales, je veux bien, mais la la pratique ça évolue et il faut se tenir à jour un minimum.
La place de ce document est dans un Wiki !
Montre-moi un wiki où je peux éditer anonymement et je te montre un article sur pourquoi éviter SSL dans ses communications vraiment secrètes.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Et les arbres ?
Posté par Grunt . Évalué à 2.
Montre-moi un wiki où je peux éditer anonymement
Ça s'appelle un pastebin :D
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Et les arbres ?
Posté par Etienne Bagnoud (site web personnel) . Évalué à 5.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Et les arbres ?
Posté par Thibault Taillandier . Évalué à 5.
On est vendredi. J'ai le droit.
# RSF
Posté par Refuznik . Évalué à 2.
- blogger de manière anonyme
- choisir sa technique pour contourner la censure (proxies, tunneling, etc...).
# RSF
Posté par Juke (site web personnel) . Évalué à 3.
http://fr.rsf.org/comment-blogger-de-maniere-anonyme-14-09-2(...)
[^] # Re: RSF
Posté par Yannick (site web personnel) . Évalué à 3.
Disponible en PDF à l'adresse : http://fr.rsf.org/spip.php?page=article&id_article=14997
# perquisitions
Posté par suJeSelS . Évalué à 2.
[^] # Re: perquisitions
Posté par Etienne Bagnoud (site web personnel) . Évalué à 3.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: perquisitions
Posté par Nicolas Boulay (site web personnel) . Évalué à 4.
"La première sécurité est la liberté"
[^] # Re: perquisitions
Posté par Duncan Idaho . Évalué à 2.
[^] # Re: perquisitions
Posté par flagos . Évalué à 3.
http://linuxfr.org/~tchetch/28760.html
Avec l'explication ici:
http://www.vvsss.com/grid/
[^] # Re: perquisitions
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
"La première sécurité est la liberté"
[^] # Re: perquisitions
Posté par Grunt . Évalué à 2.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: perquisitions
Posté par Nicolas Boulay (site web personnel) . Évalué à 3.
"La première sécurité est la liberté"
[^] # Re: perquisitions
Posté par Grunt . Évalué à 2.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: perquisitions
Posté par zebra3 . Évalué à 3.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: perquisitions
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
Si tu tombes sur un expert qui trouve bizarre le coté aléatoire de la fin des CD en question.
Si il tombe sur des bouts de script ayant servi à générer les CD ROM, etc... Faudrait pas prendre les enquêteurs pour des quiches non plus.
"La première sécurité est la liberté"
[^] # Re: perquisitions
Posté par zebra3 . Évalué à 4.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: perquisitions
Posté par Grunt . Évalué à 3.
Bon, OK, j'ai jamais vu un seul soft de gravure qui aille jusqu'au bout du disque pour écrire des 0/1 aléatoires au-delà des données utiles ^^'
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: perquisitions
Posté par DLFP est mort . Évalué à 3.
En revanche sur un disque dur ou une clé USB, on peut écrire sur l'espace libre, et le déni est très simple : quand on supprime un fichier, seule sa référence est supprimée, il est donc tout à fait possible d'avoir des données aléatoires dans l'espace libre.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: perquisitions
Posté par zebra3 . Évalué à 2.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: perquisitions
Posté par Grunt . Évalué à 2.
L'espace "non gravé" d'un disque est différent de l'espace gravé. Tout dépend des moyens qu'ils mettent en place pour fouiller le disque.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: perquisitions
Posté par zebra3 . Évalué à 3.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: perquisitions
Posté par DLFP est mort . Évalué à 2.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: perquisitions
Posté par zebra3 . Évalué à 2.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: perquisitions
Posté par Grunt . Évalué à 4.
Lance testdisk sur une clef USB qui a du vécu, il te retrouvera deux ou trois couches de partitions et des données à la pelle. Sur du random il ne trouvera rien.
L'idée ça serait plutôt de copier un vrai fichier anodin (du cache de navigateur par exemple), suffisamment bruité pour ne pas permettre un bruteforce, de le supprimer de l'index des fichiers, de ne pas toucher à l'espace dans lequel il était écrit et d'en utiliser une partie comme clé.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: perquisitions
Posté par daimrod . Évalué à 2.
Et si tu expliques que tu fais régulièrement un dd if=/dev/random of=/dev/sbd1 on te reponds quoi ?
[^] # Re: perquisitions
Posté par yellowiscool . Évalué à 7.
Envoyé depuis mon lapin.
[^] # Re: perquisitions
Posté par DLFP est mort . Évalué à 3.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: perquisitions
Posté par suJeSelS . Évalué à 1.
[^] # Re: perquisitions
Posté par zebra3 . Évalué à 2.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: perquisitions
Posté par suJeSelS . Évalué à 1.
[^] # Re: perquisitions
Posté par Nicolas Boulay (site web personnel) . Évalué à 0.
"La première sécurité est la liberté"
[^] # Re: perquisitions
Posté par khivapia . Évalué à 2.
Pas complètement : le processus de dégradation de la RAM n'est pas binaire (l'info est là ou pas là), mais progressif (une loi de dégradation exponentielle par exemple : plus on attend moins on récupère d'information).
Pour des clefs de chiffrement, il est tout à fait envisageable d'en récupérer 25% (je dis ça au hasard) au bout de quelques minutes (le temps pour la police d'arriver dans la pièce du PC et de refroidir la RAM à l'azote liquide pour ralentir, voire stopper la dégradation). Il y avait eu un papier qui montrait le processus sur des clefs RSA.
Quand on voit ensuite que le WEP a été cassé car une partie de la clef utilisée dans l'algorithme de chiffrement était connue (malgré une partie secréte), si l'attaquant a accès à une partie de la clef, même faible, on viole complètement le modèle de sécurité.
[^] # Re: perquisitions
Posté par Nicolas Boulay (site web personnel) . Évalué à 1.
Une cellule de DRAM a pour spec de nécessité d'avoir un refresh tous les 64 ms. C'est la durée de vie minimum que dois garantir la puce entre 2 refresh pour la plage de température de fonctionnement de la RAM.
Or les fuites de charges sont exponentiel à la température. A 60°c, on a 64 ms, mais à 100°c, cela ne doit pas tenir plus de 1 ms (chiffre presque au pif). Par contre à 0°C, la rétention peut dépasser 1s (de mémoire d'une courbe de mesure).
Cela veut dire que si tu congèle à -70°C tu as un peu de temps pour mettre ta ram dans un autre système et faire ta copie.
Si tu cold boot, tu as le temps de rétention de "température normal", quelques centaine de ms, si il y a une coupure de courant. Mais leur astuce semble être d'utiliser le reset, qui ne coupe pas le courant.
"La première sécurité est la liberté"
[^] # Re: perquisitions
Posté par khivapia . Évalué à 2.
Pour recaler un peu les choses, les informations tiennent des heures quand les barrettes sont refroidies, selon wikipedia http://en.wikipedia.org/wiki/Cold_boot_attack
L'article http://citp.princeton.edu/pub/coldboot.pdf explique même que des informations sont récupérables pendant plusieurs *minutes* après extinction, même à température ambiante (résumé http://citp.princeton.edu/memory/ ).
De plus comme les blocs dans la RAM se dégradent toujours dans le même sens (au sein d'un même bloc, tous les bits disparaissent progressivement vers 1, ou tous les bits vers 0), on récupère de l'information plus facilement : un bit à 0 dans un bloc qui tend vers 1 est certainement un bit à 0 initialement.
Enfin, en plus, il ne faut pas oublier que là il s'agit d'attaques sur le contenu "numérique", c'est-à-dire que pour schématiser la tension au borne du condensateur est supérieure au seuil déterminant le 1 du 0 par la barrette. La barrette de RAM doit lire un signal analogique (une tension) pour déterminer le contenu (bit 1 ou 0 suivant si la tension est au-dessus du seuil ou non) de la cellule. Si on descend plus bas niveau et qu'on récupère l'information sur la tension directement plutôt que l'échantillonné "numérique", on récupèrera beaucoup plus d'information (probabiliste cette fois-ci) : selon le modèle de fuite de courant utilisé (un classique circuit RC par exemple de base), on saura la probabilité qu'avait le bit d'être 1 plutôt que 0 selon la valeur réelle lue.
[^] # Re: perquisitions
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
"La première sécurité est la liberté"
[^] # Re: perquisitions
Posté par nicolas . Évalué à 5.
[^] # Re: perquisitions
Posté par jben . Évalué à 3.
C'est bien une peine : Article 434-15-2 du Code Pénal
http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle(...)
De plus je n'ai rien sur une eventuelle agravation de peine, si tu as, je suis preneur.
[^] # Re: perquisitions
Posté par nicolas . Évalué à 4.
Sur le fond. J’ai toujours la flemme d’aller récupérer la référence, mais dans mes souvenirs il y a une différence, de taille : il n’y a pas « susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit ». Dans ce cas précis, mea culpa. Par contre ce sera très difficile à appliquer face à un journaliste voulant protéger ces sources par exemple. De plus il me semble qu’il y a un principe de droit qui veut que l’accusé n’a pas à se dénoncer lui-même, ni ne peut subir de condamnation pour s’être défendu, même s’il a menti, caché des éléments, etc.
[^] # Re: perquisitions
Posté par Grunt . Évalué à 2.
Est-ce que ça signifie qu'on est condamné dans les cas suivants:
- je refuse de donner le mot de passe. La suite de l'enquête établit que, effectivement, il n'y a aucun lien entre mes données et le coupable. Autrement dit, ils ont suivi plusieurs pistes, mes données étaient une mauvaise piste, j'ai refusé de déchiffrer, on s'aperçoit que je suis une mauvaise piste en trouvant la bonne.
- même cas que précédent, sauf que l'enquête n'aboutit pas, c'est à dire que rien ne permet de dire si déchiffrer mes données aurait permis de faire aboutir l'enquête.
Parce que bon, par définition, quand on a des données chiffrées non déchiffrées, rien ne permet de dire à quoi elles auraient servi pour l'enquête.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: perquisitions
Posté par jben . Évalué à 3.
L'officier de police judiciaire peut, pour les nécessités de l'enquête, placer en garde à vue toute personne à l'encontre de laquelle il existe une ou plusieurs raisons plausibles de soupçonner qu'elle a commis ou tenté de commettre une infraction. [...]
Il n'y a besoin que de soupçons je pense...
[^] # Re: perquisitions
Posté par khivapia . Évalué à 4.
l'article que tu cites parles des entraves à la justice. C'est pour les cas où, sans être impliqué directement dans un crime ou un délit, l'opérateur ou le DSI local ou toute personne détient par exemple un séquestre des clefs. Elle se voit alors contrainte de fournir à la justice de quoi permettre l'espionnage (tout au moins le déchiffrement).
Pour appuyer mes dire l'article que tu cites réfères explicitement au code de procédure pénale (dans lequel j'ai la flemme de rechercher plus avant), ça concerne la collaboration aux enquêtes comme les articles voisins (par exemple le fait de refuser de témoigner, article 434-15-1 quand celui sur refuser de doner les clefs est le 434-15-2).
Évidemment (selon moi, et IANAL), nul n'est tenu de témoigner contre lui-même. De la même façon (toujours selon moi) qu'un accusé ne peut *pas* être poursuivi pour destruction de preuve.
L'article 132-79 du code pénal prévoit le cas où le moyen de cryptologie a été utilisé directement pour commettre le crime ou le délit. Alors, ceux qui ont connaissance des clefs doivent les remettre, sauf bien entendu si elles sont accusées. Auquel cas, ne pas les remettre est seulement une circonstance aggravante. http://www.legifrance.gouv.fr/affichCodeArticle.do;jsessioni(...)
À mon avis le premier cas vise surtout le cas des Blackberry et autres Skype. Un simple particulier a de toutes façons rarement accès à des "conventions secrètes" ou des clefs autres que les siennes.
[^] # Re: perquisitions
Posté par jben . Évalué à 1.
Merci pour la référence sur la circonstance aggravante.
En effet il s'agit de la collaboration aux enquêtes, et en effet ça concernerait plus les personnes "autour" que les personnes accusées. Toutefois, là où je ne t'approuve pas, c'est que je pense que cela s'applique au clefs des témoins en question, et si on est cité comme témoin dans une enquête, et qu'on détiendrai des données (et le fait qu'elles soient chiffrées protégerai quelqu'un d'autre, ou du moins serait susceptible de le faire) alors on serait dans l'obligation (légale, pas physique) de les déchiffrer.
Bref, je sais pas trop.
[^] # Re: perquisitions
Posté par khivapia . Évalué à 2.
Enfin, normalement. Le problème c'est de donner sa clef si ça révélerait quelque chose d'autre, accessoire à l'enquête en question, qui serait compromettant.
[^] # Re: perquisitions
Posté par Zenitram (site web personnel) . Évalué à 5.
Si la peine maxi pour ne pas fournir les données est inférieure à la peine mini que j'aurais si je fourni les données, crois-tu que je m'amuserai à donner les clés?
Encore mieux : ça évite les perquisitions illégales, si la police trouve une excuse bidon pour connaitre mes sources, ben elle a le bec dans l'eau et ne pourra même pas me condamner sauf en allant en justice, ce qui est largement plus délicat que de faire une perquisition illégale (tout rapport avec des relevés de téléphone illégaux n'est pas fortuit) et ils ne sauront toujours pas ce qu'ils n'ont pas à savoir tant qu'un juge n'aura pas mis la pression sur moi.
Contre les perquisitions vous ne pouvez rien faire,
Si, voir plus haut.
Note : je ne cautionne pas, juste que je rigole sur cette loi, car à part si elle pose juste la limite claire de ce qu'il est utile de protéger ou pas : au dessus d'un certain seuil que la loi elle-même établi par le jeu de la peine pour non fourniture de clés, c'est utile de protéger. Ah si je cautionne en fait : en l'état actuel des choses, temporiser la perquisition, passer devant des juges, c'est utile devant le laisser-aller actuel de la police. Faut un peu de contre pouvoir en ce moment.
[^] # Re: perquisitions
Posté par Anonyme . Évalué à 4.
Le principe étant que cela puisse être utile même dans les pires conditions législatives.
[^] # Re: perquisitions
Posté par Psychofox (Mastodon) . Évalué à 1.
[^] # Re: perquisitions
Posté par fearan . Évalué à 5.
D'ailleurs sans clavier sous la main je suis bien incapable de le taper mon mot de passe; Ah oui, en plus faut qu'il soit sur ma machine avec le xkb qui va bien. Ah et ne pas me planter dans le login, le 2 ème (ou le premier me souviens plus) efface tout à coup de cat /dev/urandom > /dev/sdc1
Un accident est si vite arrivé...
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: perquisitions
Posté par daimrod . Évalué à 2.
Pas sûr qu'ils apprécient à sa juste valeur le: « j'ai glissé chef »
[^] # Re: perquisitions
Posté par khivapia . Évalué à 4.
Enfin il ne faut pas les prendre pour des imbéciles non plus, la première chose qu'ils font c'est de faire une copie des disques justement pour éviter ces cas là.
Le seul moment où ce genre de chose peut être efficace, c'est si la police demande au moment de la perquisition, avant d'avoir saisi les PC, etc. de taper son mot de passe root.
[^] # Re: perquisitions
Posté par Nicolas Boulay (site web personnel) . Évalué à 4.
"La première sécurité est la liberté"
[^] # Re: perquisitions
Posté par fearan . Évalué à 2.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: perquisitions
Posté par Sylvain Sauvage . Évalué à 2.
Je suppose que l’Identité Judiciaire a tout un tas de jolis protocoles pour ça.
# Hint
Posté par Enzo Bricolo 🛠⚙🛠 . Évalué à 4.
# Quelques liens
Posté par Off . Évalué à 1.
http://zythom.blogspot.com/2010/10/pour-ceux-qui-ont-peur-de(...)
Et un petit xkcd : http://xkcd.com/538/
# 2 liens qui peuvent t'intéresser
Posté par le_silmarillion . Évalué à 1.
Et au Wiki de la Liberté sur le site de Korben qui semble indisponible à l'heure ou j'écris ces lignes.
[^] # Re: 2 liens qui peuvent t'intéresser
Posté par le_silmarillion . Évalué à 2.
Guide d'autodéfense numérique : http://guide.boum.org
Wiki de la Liberté : http://free.korben.info/
# Surveilance Self-Defense
Posté par The Eraser . Évalué à 1.
C'est assez centré sur les lois américaines, mais la partie qui décrit les solutions techniques t'intéressera peut-être. Pour ce que j'en ai lu (pas l'entièreté), ça me semble assez clair et accessible pour le "grand public".
[^] # Re: Surveilance Self-Defense
Posté par suhtki . Évalué à 1.
Il y a aussi le Guide pratique du blogger et du cyberdissident [http://www.rsf.org/IMG/pdf/guide_blogger_cyberdissident-FR.p(...)] qui date un peu (2004)
# Wiki
Posté par Anonyme . Évalué à 2.
[^] # Re: Wiki
Posté par Nicolas Boulay (site web personnel) . Évalué à 3.
"La première sécurité est la liberté"
[^] # Re: Wiki
Posté par GuiBrother . Évalué à 1.
http://www.pouleouoeuf.org/
# rue89 cambriolé, 20 ordinateurs volés
Posté par palm123 (site web personnel) . Évalué à 2.
j'espère que comme dans Millenium, ils ont mis des caméras partout, pour avoir l'identité de ces voleurs juste intéressés par des ordinateurs de journalistes...
http://fr.wikipedia.org/wiki/Mill%C3%A9nium_%28romans%29
ウィズコロナ
# Wiki
Posté par Anonyme . Évalué à 2.
Cela aura été un peu plus long que prévu, mais le wiki destiné à la rédaction du guide est désormais en ligne.
Vous pouvez y accéder à cette adresse : http://securite-journalistes.ath.cx/
Ma page personnelle sur le wiki est à cette adresse : http://securite-journalistes.ath.cx/mediawiki/index.php/Util(...)
Voilà, je vais également contacter tout ceux ayant motivé la volonté de participer dans les commentaires de ce billet ainsi que ceux m'ayant écrit en privé.
En vous remerciant par avance pour votre participation.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.