HG203 a écrit 58 commentaires

Il faut mettre le conditionnel pour mon commentaire, cependant The SHA-1 collision project travaille sur les collisions pour SHA-1 et avance bien.

Le plus probable est que la NSA ait réussi à casser les clefs RSA de 1024 bits en 2010 et que bien entendu n'en a pas fait de publicité.

Ce n'est que très récemment que les certificats avec des clefs de cette taille sont bannis (voir https://www.ssl247.fr/entreprise/blog/Microsoft-sapprte--supprimer-tous-les-certificats-racines-1024-bits-de-sa-Trust-List - il faut lire 1024 et non 2014 ou http://www.silicon.fr/100-000-sites-utilisent-encore-certificats-ssl-en-rsa-1024-bits-96549.html, https://www.globalsign.fr/centre-information-ssl/cles-privees-et-publiques-1024-bits.html) de même pour Google qui est passé en 2048 courant 2013 (http://www.lemondeinformatique.fr/actualites/lire-google-renforce-la-securite-ssl-avec-des-cles-2048-bits-53712.html). Il est d'ailleurs probable que la NSA ait fait des progrès et que les clefs de 2048 bits ne sont peut-être plus sures.

D'ailleurs le problème est le même pour l'algorithme de hachage : la plupart des certificats utilisent SHA1 qui est certainement lui aussi cassé (voir : https://nakedsecurity.sophos.com/2012/12/09/sha1-brute-force-trimmed-21-percent/ et http://linuxfr.org/news/nouvelles-attaques-sur-sha-1-debian-pourrait-migrer-vers-sha-2) cela permet de réaliser des collisions donc de substituer des certificats pour faire du MITM.

Le vrai problème de word c'est ses bogues qui font que parfois (surtout dès une certaine taille document) une simple modification (ajout d'une virgule) le document est complètement corrompu et devient irrécupérable.
J'ai déjà vu des stagiaires perdre ainsi tout leur mémoire et bien sur, ils n'avaient pas de sauvegarde récente !

C'est rien 5 Go, alors pourquoi la lecture de vidéos pose des problèmes de visualisation chez certains FAI ?

Dans le cas présent il s'agit de 11 To ( pas Go voir http://business.kaspersky.com/with-the-doors-wide-open-yet-another-sony-megahack/3408) et l'attaque a semble-t-il débuté en février 2014 ce qui fait presque 33 Go à transférer tous les jours et pendant 10 mois !

Un ou deux apparts (dans un luxueux hôtel de Thaïlande d'après la presse) pour récupérer 10 To (on a même évoqué 100 To) !

Je ne sais pas si tu as déjà restaurer des systèmes de fichiers de plusieurs To, mais ça prends un temps certain (en jours), alors par internet (et même avec de la fibre)! L'exfiltration des données a dû avoir un impact sensible sur la bande passante chez SONY et aurait due être aussi remarquée chez les FAI.

A mon boulot dès que quelqu’un a le malheur de téléchargé l'équivalent d'un ou deux DVD (de la carto par exemple) le responsable réseau gueule tout de suite.

Ce qui m'étonne le plus c'est que cette attaque a été menée pendant près d'un an et que personne ne s'est aperçu de rien !

Même la NSA n'a apparemment rien vu malgré tout les moyens dont elle dispose pour intercepter et surveiller les flux venant des pays étrangers et à fortiori terroristes comme la Corée du nord.

C'est bien la preuve que la surveillance du Net n'a pas pour but de prévenir les actes terroristes, mais qu'elle sert qu'à l'espionnage industriel et commercial des pays "amis".

Effectivement, je m'étais contenté des informations données dans la dépêche (lue en diagonale) et n'avais pas pris le temps de lire à fond les spécifications (les fichiers pdf) des cartes.

En conclusion, il ne faut pas (plus) utiliser la version 1 de la carte.

Les spécifications de cette carte semblent périmées notamment par rapport aux recommandation du RGS (voir l'annexe B1 "Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques" sur http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite/liste-des-documents-constitutifs-du-rgs-v-2-0.html).

En effet :

• SHA-1 est proscrit par le RGS, car présentant une certaine faiblesse (https://www.schneier.com/blog/archives/2005/02/sha1_broken.html) en matière de collision (d'où la création de SHA256).

• les clés RSA de 1024bits sont beaucoup trop courtes et même celles de 2048 bits autorisées que jusqu'en 2020.

Il faut se méfier des "faux amis". Feuilleton en allemand signifie "page culturelle" ou chronique littéraire et non roman.

D'autre part ce n'est pas parce que le blogueur de "bigbrother" blog hébergé par le journal Le Monde s'est fait piègé (voir http://bigbrowser.blog.lemonde.fr/2014/11/02/la-mise-au-point-de-laeroport-de-ouagadougou-sur-la-situation-au-burkina-faso/) qu'il faut voir de la désinformation partout.

Une petite recherche montre que la chaine "Al HAYAT" sur youtube a bien été bloquée pour des raisons de copyright par des islamistes et qu'ils ont pu obtenir ainsi les coordonnées des diffuseurs et des animateurs de la chaîne pour les menacer de mort.

Voir par exemple :

http://www.ead.de/arbeitskreise/religionsfreiheit/nachrichten/einzelansicht/article/al-hayat-tv-islamisten-drohen-aufklaerern-mit-dem-tod.html

et

http://www.pi-news.net/2014/09/youtube-liefert-islamaufklaerer-al-qaida-und-is-aus/

C'est un wiki (voir TiddlyWiki) compatible Markdown. La syntaxe wikitext est un peu semblable à celle de linuxfr, mais avec en plus la possibilité de définir des macros, voire des plugins (en javascript) pour en enrichir les fonctionnalités.

La doc textuelle est un peu juste, mais plusieurs vidéos sont disponibles (http://tiddlywiki.com/#Videos).

L'intérêt est qu'il est libre (licence open source BSD) et modulable et fonctionne dans tous les environnements (windows, linux, MacOs, Android, etc.).

Ce qui est interdit, c'est d'évoquer les détails d'une condamnation ou la condamnation elle-même quand celle-ci a été amnistiée.

Ici ce n'est pas le cas.

En fait, en 2006, il a quand même été condamné à deux ans d'emprisonnement avec sursis et 250 000 euros d'amende pour recel de l'argent lié à cette affaire de proxénétisme :
http://www.generation-nt.com/prison-vice-president-iliad-xavier-niel-actualite-18422.html?page=3.

Les juges n'ont simplement pas réussi à prouver son implication directe pour proxénétisme, mais ils avaient de forts soupçons.

Ce qui est un vrai problème, c'est qu'il a fait de la prison (préventive) pour proxénétisme

http://lexpansion.lexpress.fr/high-tech/le-fondateur-de-free-en-prison-pour-proxenetisme_1437386.html

Même s'il a eu un non lieu par la suite
http://www.nextinpact.com/archive/Xavier_Niel_IliadFree_relaxe_des_accusations_de_pr.htm.

Pas forcément, sur un autre avion du même type des criques sur la cellule ont été détectées près de l'endroit où se trouvent les antennes de transmission. Il est donc possible que la cellule ait lâché et ait sectionné les câbles et ait par conséquent coupé toutes les communications (pour désactiver le transpondeur c'est un simple bouton sur le tableau de bord, mais pour les transmissions techniques il faut passer par la soute !).

Cette rupture a pu dépressuriser l'avion, voire déclarer un incendie (court-circuit entre les câbles sectionnés) et tuer les passager, ainsi que les pilotes. D'autre cas de ce type d'accident ont déjà eu lieu.

De toute façon tant que l'avion ne sera pas retrouvé on ne pourra rien affirmer.

C'est bien la question qu'on peut se poser.

En quoi cette mesure peut prévenir un attentat ?

N'y a t il pas moyen de cacher de l'explosif dans un batterie (où ailleurs) tout en gardant la possibilité d'allumer l'appareil ?

C'est quoi la propagande syrienne ? Est-ce dire que la plupart des opposants à Hassad sont des islamistes et être objectif c'est affirmer qu'il n'y en a pas ?

Et pourquoi pas .pinard, ça fait encore plus français ?

Peux-tu expliciter ?

Avec des vrais mots et de vraies phrases !

Vu dans les commentaires d'un article de médiapart (sur l'oubli des 700K€ de LE GUEN).

http://www.delitdimages.org/le-vrai-visage-de-manuel-valls-par-emmanuel-ratier/

Et toi tu joue sur les mots, le soft réalise, par défaut, le séquestre des clefs (qui pourront être remise à la justice).
Si pour l'utilisateur cette opération n'est pas claire cela revient à une backdoor.

De plus on a bien compris le sens de tes interventions.

Ça y ressemble beaucoup surtout quand on découvre que l'équipe qui développe Bitlocker a bien été approchée par les agences pour introduire une backdoor (officiellement refusée).

Cependant les développeurs ont bien expliquer comment accéder malgré tout aux données en ciblant les clés de sauvegardes crées par le logiciel ! Il n'y a pas de backdoor proprement dit (cela fera plaisir à pasBill…), mais l'accès aux données est bien là et ça revient bien au même !

voir : http://mashable.com/2013/09/11/fbi-microsoft-bitlocker-backdoor/

Le droit américain ne fonctionne pas comme le droit français où toutes les infractions doivent être prévues d'avance (on ne peut incriminé quelqu'un pour une action non prévue comme délictuelle d'où la dérive : un fait divers une loi), mais il s'inspire beaucoup du droit britannique (de common law non écrit) qui est essentiellement basé sur la jurisprudence (c.a.d. tous les jugements rendu dans des cas similaires).
voir par exemple : http://fr.jurispedia.org/index.php/Introduction_au_droit_des_%C3%89tats-Unis_d%27Am%C3%A9rique_%28us%29.

Aux US tout n'a donc pas besoin d'être écrit. Les juges n'écrivent pas les lois, ils disent le droit, ça s’appelle la jurisprudence.

Leur lois n'exigent pas (encore) de backdoor, mais un jugement pourrait tout à fait exiger qu'un éditeur en introduise dans ses produits pour lutter contre les pédophiles par exemple.

Les révélation de Snowden ont montrées que les éditeurs US ont répondus à toutes les demandes du gouvernement US.

D'ailleurs, le gouvernement français avait un temps prévu que l'utilisateur de produit de chiffrement soit obliger de déposer ses clés chez un tiers de "confiance".

Et que penses tu des poursuites contre la BNP au prétexte que les transactions qui lui sont reprochées avec l'Iran et Cuba se sont effectuées en dollars ?

C'est très fantasmatique ou simplement abracadabrantesque ?

La différence entre le droit français et anglo-saxon, c'est que les anglo-saxons n'ont besoin que de lois très générales et c'est la jurisprudence des jugements rendus qui remplace les précisions que l'on trouve dans nos codes de lois. Donc pas besoin qu'un texte législatif impose une porte dérobée, il suffit que ce soit un juge (ou une court secrète comme la FISA Court).
C'est peut-être ce qui est arrivé pour TC !?

FISA, USA PATRIOT Act, Calea, etc. ça ne suffit pas !

L'affaire de la _NSAKEY en est certainement un exemple (d'ailleurs, elle existe toujours, elle a été simplement renommée!)

Il y a aussi l'exemple de SKYPE qui a été modifié pour permettre les écoutes dites "légales".

Et pour la jurisprudence qui est essentielle aux USA voir l'affaire Microsoft récente http://www.lemagit.fr/actualites/2240219822/Microsoft-somme-par-un-juge-US-de-restituer-des-donnees-placees-dans-son-datacenter-de-Dublin

Les boîtes US ont bien l'obligation de permettre l'accès aux données (même chiffrées).