HG203 a écrit 63 commentaires

Ça y ressemble beaucoup surtout quand on découvre que l'équipe qui développe Bitlocker a bien été approchée par les agences pour introduire une backdoor (officiellement refusée).

Cependant les développeurs ont bien expliquer comment accéder malgré tout aux données en ciblant les clés de sauvegardes crées par le logiciel ! Il n'y a pas de backdoor proprement dit (cela fera plaisir à pasBill…), mais l'accès aux données est bien là et ça revient bien au même !

voir : http://mashable.com/2013/09/11/fbi-microsoft-bitlocker-backdoor/

Le droit américain ne fonctionne pas comme le droit français où toutes les infractions doivent être prévues d'avance (on ne peut incriminé quelqu'un pour une action non prévue comme délictuelle d'où la dérive : un fait divers une loi), mais il s'inspire beaucoup du droit britannique (de common law non écrit) qui est essentiellement basé sur la jurisprudence (c.a.d. tous les jugements rendu dans des cas similaires).
voir par exemple : http://fr.jurispedia.org/index.php/Introduction_au_droit_des_%C3%89tats-Unis_d%27Am%C3%A9rique_%28us%29.

Aux US tout n'a donc pas besoin d'être écrit. Les juges n'écrivent pas les lois, ils disent le droit, ça s’appelle la jurisprudence.

Leur lois n'exigent pas (encore) de backdoor, mais un jugement pourrait tout à fait exiger qu'un éditeur en introduise dans ses produits pour lutter contre les pédophiles par exemple.

Les révélation de Snowden ont montrées que les éditeurs US ont répondus à toutes les demandes du gouvernement US.

D'ailleurs, le gouvernement français avait un temps prévu que l'utilisateur de produit de chiffrement soit obliger de déposer ses clés chez un tiers de "confiance".

Et que penses tu des poursuites contre la BNP au prétexte que les transactions qui lui sont reprochées avec l'Iran et Cuba se sont effectuées en dollars ?

C'est très fantasmatique ou simplement abracadabrantesque ?

La différence entre le droit français et anglo-saxon, c'est que les anglo-saxons n'ont besoin que de lois très générales et c'est la jurisprudence des jugements rendus qui remplace les précisions que l'on trouve dans nos codes de lois. Donc pas besoin qu'un texte législatif impose une porte dérobée, il suffit que ce soit un juge (ou une court secrète comme la FISA Court).
C'est peut-être ce qui est arrivé pour TC !?

FISA, USA PATRIOT Act, Calea, etc. ça ne suffit pas !

L'affaire de la _NSAKEY en est certainement un exemple (d'ailleurs, elle existe toujours, elle a été simplement renommée!)

Il y a aussi l'exemple de SKYPE qui a été modifié pour permettre les écoutes dites "légales".

Et pour la jurisprudence qui est essentielle aux USA voir l'affaire Microsoft récente http://www.lemagit.fr/actualites/2240219822/Microsoft-somme-par-un-juge-US-de-restituer-des-donnees-placees-dans-son-datacenter-de-Dublin

Les boîtes US ont bien l'obligation de permettre l'accès aux données (même chiffrées).

Il y a aussi des questions sur la nature de TC : http://www.privacylover.com/encryption/analysis-is-there-a-backdoor-in-truecrypt-is-truecrypt-a-cia-honeypot/

Le code de TC avait été récemment audité me semble-t-il ? voir
https://www.schneier.com/blog/archives/2014/04/auditing_truecr.html et http://istruecryptauditedyet.com/

La 2ème phase devant être la cryptanalyse.

Ce qui est étonnant, c'est de recommander des produits que l'on sait être pourvus de porte(s) dérobée(s) (obligation légale pour les société américaines).

Sauf que depuis leur entrée au gouvernement, on ne les entend plus trop sur ce sujet, de même pour HADOPI … et puis leurs prises de position n'ont aucune influence sur la politique menée (même dans le domaine purement écologique - voir NDDL, etc.), alors …

j'ai fait référence aux Lois Scélérates, car c'est bien une loi liberticide, même si la majorité des citoyens n'en sont pas choqués plus que ça !

Ne pas voter, c'est malgré tout voter pour celui qui aura la majorité !
Dans le cas présent ce sera soit PS ou UMP (à moins que ce ne soit le FN), ce qui pour le problème qui nous concerne revient au même : accepter cette loi scélérate !

Le vote blanc sans seuil d'invalidation ne sert strictement à rien. La seule chose utile est de se mobiliser et de s'organiser dans un parti qui représente vraiment nos aspirations !

Effectivement, depuis quelques années, il y a pas mal de civils (en fait des précaires "2x3ans") qui font le travail d'audit, mais les postes à responsabilité sont tenus par des fonctionnaires pour la plus part issus de l'armée. Et d'ailleurs, la mentalité militaire (notamment par rapport "au secret") est fortement perceptible.

Sauf qu'en entreprise cela fait longtemps que la surveillance est pratiquée au nom de l’efficacité professionnelle et de la sauvegarde de la bande passante, (même si ce n'est que pour palier à l'incompétence de l'encadrement : un type qui passe sont temps à glander sur internet ne produit rien et est donc sanctionnable au vu de ses résultat).

A tel point que la plus part font du MITM. Il suffit de regarder les offres de proxy MITM (existent même en open-source :http://mitmproxy.org/index.html par exemple !) avec génération de certificat à la volée.

De même avec le DPI présent dans toutes les grandes entreprises et les administrations.

Personne ne proteste vraiment contre cet état de fait qui est légitimé par la jurisprudence actuelle, même si on peut estimer que c'est une violation de l'article n° 19 de la déclaration des droits de l'Homme (https://fr.wikisource.org/wiki/D%C3%A9claration_universelle_des_Droits_de_l%E2%80%99Homme#Article_19) car la plus part estiment que cette surveillance n'est pas permanente et qu'elle est justifiée par le droit de l'employeur.

Par contre cela habitue les citoyens à la surveillance et permet de légitimé des lois comme la LPM !

Comme pour l'affaire des certificats DigiNotar, grâce aux serveurs OCSP. Seulement le problème c'est que là, c'est l'administration du Trésor qui a voulu installer un MITM (pour contrôler l'usage d'Internet par ses agents peut-être !?).

Cela ne présage rien de bon pour l'IGC/A !