mahikeulbody a écrit 1576 commentaires

Personnellement, vu que je sauvegarde /etc avec,

On sauvegarde souvent des données seules et si ça fait suite à une panne non réparable du PC, on en change pour un différent, l'ancien modèle n'existant probablement plus. Ta phrase ne précisait pas le contexte particulier dans lequel tu la formulais.

Alors c'est sans doute un problème théorique sans impact en pratique si les machines sont maintenant toutes (ou presque) little endian mais ton affirmation telle que formulée était de nature à interpeller.

On parie quoi que maintenant ce sera toujours « susceptible d'être en rapport avec un crime ou un délit » ?

Ça n'a rien à voir avec le sujet, cet arrêt ne va rien changer "maintenant". Cette clause existe depuis le début dans la loi (et donc depuis pas mal d'années). Quant à savoir si elle a permis des abus, c'est une autre question.

NB. Avec le "susceptible", c'est une porte ouverte aux abus s'il n'y a pas un contrôle a postériori ; sans le "susceptible", c'est l'impossibilité d'accéder au chiffrement puisqu'on ne peut pas être sûr à l'avance que le contenu chiffré a un rapport avec le crime ou délit soupçonné (ce qui du coup rendrait la loi inutile).

Mais pour une solution de backup, vu que tu restaures l'archive sur la même machine que tu sauvegardes […]

Il n'y a que moi que cette phrase choque ???

Dans le cas présent tu ne connais même pas le passphrase :( (comme dit dans un autre commentaire, c'est généré aléatoirement et mis dans un/une fichier/conf inconnu/e.)

Ce qui est généré aléatoirement est la clé de chiffrement du téléphone. Elle est mise dans un fichier chiffré dont la clé de chiffrement est communément appelée passphrase. Cette passphrase n'est pas directement le code de déverrouillage car celui-ci peut prendre différentes formes (numérique, texte, graphique, etc…). La passphrase est donc une fonction f du code de déverrouillage. Si on change le code de déverrouillage, l'OS rechiffre le fichier contenant la clé de chiffrement du téléphone avec une nouvelle passphrase = f(code de déverrouillage).

Les deux sont donc forcément liés. Et tu peux connaître la passphrase si tu connais f (i.e. le code correspondant).

NB. La forme affirmative de mes propos ci-dessus ne résulte pas d'une quelconque expertise que je suis loin d'avoir sur ce sujet mais d'un raisonnement qui me semble logique. Autrement dit, je peux avoir tout faux mais dans ce cas merci de me corriger.

Voilà. Ça prend du temps, mais on fait comme si c'est impossible…

Si le "on" fait référence à la Cour de Cassation, tu as tort. Elle ne pouvait se prononcer que par rapport à la loi.

Or la loi ne dit pas qu'on peut demander la clé de déchiffrement seulement si c'est impossible d'y accéder autrement. Elle dit que si c'est chiffré (peu importe la complexité du chiffrement) et que c'est susceptible d'être en rapport avec un crime ou un délit, alors tu dois donner la clé.

On peut être contre cette loi sur le chiffrement (surtout avec le "susceptible de") mais il me paraîtrait absurde d'en faire une qui ne s'appliquerait que si le chiffrement est très difficile à casser.

Je serais surprit que tu soit légalement obligé de donner le passcode a l’adjudant Gereux qui t’arrête au pif dans la rue parce que ta tronche ne lui plaît pas

La loi dit que cela ne peut être demandé que par une autorité judiciaire ; dans le cas de la police, par un OPJ (officier de police judiciaire), pas par un agent lambda. Je doute que les OPJ fasse beaucoup de patrouilles dans la rue.

Il faudra donc que l’adjudant Gereux t'amène d'abord au commissariat et explique à un OPJ que ta tronche ne lui revenait pas. A mon avis, ça va pas suffire, il va lui falloir inventer un motif, mais là on rentre dans un autre débat.

ils savaient accéder au téléphone sans que tu leur file ton code d'écran.

Comment, s'il est chiffré ?

rien ne dit que ton code de déverrouillage intervienne dans le cryptage de tes données

C'est obligé. Le téléphone est chiffré avec une clé au setup initial. Celle-ci est générée aléatoirement et stockée dans un fichier lui-même chiffré dont la clé est forcément une fonction univoque du code de déverrouillage, non ?

Tu vois une échappatoire ?

Ainsi, pour savoir s’ils ont le droit d’exiger d’un suspect son code de déverrouillage de son téléphone, les policiers n’auront qu’à vérifier si celui-ci chiffre ses données.

Oui mais avec une réserve : selon la loi relative au chiffrement, seules les autorités judiciaires peuvent faire cette demande (et seulement si elle est susceptible d'être en lien avec un crime ou un délit ; mais là le "susceptible" laisse une porte ouverte à des abus).

C'est-a-dire, en ce qui concerne la police, un officier de police judiciaire, pas le policier lambda dans la rue. Et pour t'obliger à le suivre au commissariat, il lui faudra un motif un peu plus sérieux que juste son envie personnelle parce que ta tête (ou ta couleur de peau) ne lui revient pas.

Aux dernières nouvelles, il me semble que tu devais l'activer au moment du setup initial ; à moins que des constructeurs ne l'activent maintenant par défaut ?

Je n'ai pas le souvenir que le setup initial m'ait demandé ça ces dernières années. Donc, ça doit être par défaut et sur le mien je ne peux pas enlever le chiffrement.

Question depuis la Béotie : changer le code de déverrouillage change alors la clé de chiffrement ? ou il n'y a pas de lien ?

Je n'imagine pas une seconde que changer le code de déverrouillage change la clé de déchiffrement : ça impliquerait de ré-écrire tout le disque la carte mémoire !

Non, je pense que le code de déverrouillage déchiffre le fichier qui contient la clé de chiffrement de la carte mémoire.

dont les iPhone, chiffraient automatiquement les données lors du verrouillage du téléphone.

J'en doute. Je pense que les données restent toujours chiffrées sur la carte mémoire mais sont chiffrées/déchiffrées à la volée.

Le chiffrement n'est pas également fait par défaut sur les téléphones Android ?

Je pense que l'arrêt s'appuie sur la législation concernant le chiffrement. La seule question était de savoir si le code de verrouillage pouvait être assimilé à un code de chiffrement. J'imagine que la même réponse sera apporté pour une appli donnant accès à des données chiffrées, keepass par exemple. En revanche, cette législation ne s'applique pas, à mon avis, aux codes d'accès à des sites (un login-password n'est pas un code de chiffrement).

Certes, mais le fait est que tu apposes quand même ta signature en bas de moult documents inévitables (contrat de bail, formulaire, etc…) et que y détourer ta signature ne pose pas plus de problème qu'à partir de la feuille blanche "Boursorama" vu qu'en général le fond est sans motif.

Si tu es en possession d'une pièce d'identité, l'intérêt d'avoir en plus une signature authentique me paraît très limité, il me semble ; d'où ma question (à laquelle tu n'as pas répondu).

Dans le cas de Boursorama banque, c'est encore pire : ils te demandent de signer une feuille blanche…

J'imagine que c'est pour vérifier les chèques.

Pourquoi ce serait pire que pour une pièce d'identité ?

Surtout qu'on parle de banques. Qui demandent un mot de passe de longueur fixe avec un jeu de caractères de longueur 10.

Quand ce n'est pas de longueur fixe 8 et juste des chiffres ! (Boursorama, par exemple).

A l'opposé, certaines acceptent des mots de passe "classiques" et longs (Fortuneo, par exemple).

Par exemple, les banques font des copies des papiers d'identité eux-mêmes.

Pas les banques en ligne.

Là, on parlait des projets "aussitôt abandonnés une fois sortis". Dans ta liste, il y a plein de projets qui ont duré des années.

On peut boycotter, bien sûr. Ce qu'on ne peut pas, c'est appeler publiquement au boycott, sauf à respecter des conditions que je ne connais pas mais qui sont évoqués dans un commentaire ci-dessus.

En prime, on peut acheter sur le site des liseuses Diva de Bookeen.

Exact (plus précisément des Diva HD). Cependant, le fait qu'on n'en trouve plus nulle part ailleurs (y compris sur le site du fabricant) m'inquiète un peu.

moi> Je t'invite à me citer des sources qui ont parlé DE L'AFFAIRE avec éthique.

et là tu me sors une liste de liens sur d'AUTRES affaires relatives à Altice. Et c'est pareil pour le reste.

Je vais donc te laisser avec des types intellectuellement moins pauvres que moi. Tu pourras donc te dire que je fuis faute d'arguments :-)

Je t'invite à me citer des sources qui ont parlé de l'affaire avec éthique (c'était une vraie demande) et tu me sors tout un pavé "donneur de leçon" sur la signification d'un "apparemment" dont j'aurais pu effectivement me dispenser… mais au final tu ne réponds pas à ma demande.

Pour le reste, tu fais me fait dire des trucs que je n'ai pas dit - ou que tu as compris de travers (mais dont tu t'es persuadé que je les pense certainement) et il en résulte un texte tellement à coté de la plaque que je ne saurais même pas par quoi commencer s'il me prenait l'envie de vouloir répondre.

N'étant pas abonné à Reflets, je n'avais pas lu cet article (qui date de 2014, de l'eau a coulé sous les ponts depuis), effectivement consternant (quand bien même on serait climato-sceptique, c'est dire !). Il ne reflète cependant pas forcément la qualité de tous les autres articles, notamment ceux publiés depuis une époque plus récente (simple hypothèse, j'en sais rien).

Quoiqu'il en soit, ce qui se joue ici, ce n'est pas la qualité journalistique de Reflets, c'est le droit de la presse à publier des informations disponibles quand bien même elles résulteraient d'un piratage crapuleux. Ce qui se joue ici, c'est la possibilité qu'on donne (ou pas) à un acteur puissant de bâillonner la presse alternative simplement en lui collant des procès (à répétition si nécessaire), quitte à les perdre, afin de la dissuader de recommencer (les frais d'avocat sont rarement chiffrés à leur coût réel par le juge).

A cause de ça, j'ai fait un don.

Si je ne m'abuse, c'est la raison pour laquelle ce jugement ne concerne que Reflets, les autres offices de presse indépendante ayant apparemment réussi à dénoncer Altice tout en gardant une certaine éthique.

Tout est dans le "apparemment"… tu as des sources pour ces dénonciations qui gardent une certaine éthique ?

Et j'en reviens toujours à ma question : si les Panama Papers avaient été obtenus suite à un piratage avec demande de rançon non payée, il aurait fallu ne pas les publier ?

Un lanceur d'alerte ne peut prétendre à ce statut que s'il communique des informations qui lui sont accessibles "normalement", pas via un piratage. Sinon, c'est mal. Donc pas divulguable par une presse étique ?

Les "méchants" (au sens large) ont de beaux jours devant eux…

Pour poursuivre mon instruction, ces 25% que son propriétaire refuse de payer ont été donc payés de l'autre côté ?

Heu, non. Moi, j'ai compris que les hackers ont volé des données relatives à Altice. Ils ont ensuite demandé des sous à Altice pour ne pas dévoiler ces données. Altice n'a pas cédé. Pour montrer leur détermination, les hackers ont dévoilé 25% des données piratées, en choisissant sans doute les moins embêtantes pour Altice (dévoiler les 25% plus embêtantes vouerait leur projet - se faire payer une rançon - à l'échec) et menacent de dévoiler les 75% restant si Altice continue à ne pas vouloir payer.