Régis a écrit 174 commentaires

Je commence des recherches et je pose des questions.

Je ne suis effectivement pas certain que lelivrescolaire.fr publie 100 % de ces manuels sous une licence en libre.

Et effectivement, je ne trouve pas grand chose de réellement libre …

J'ai voulu ne pas faire un copier-coller en anglais donc j'ai fait l'effort de traduire.

Et tu a complétement raison l'erreur provient de ma traduction et non de l'article original :

Unknown attackers are spamming a core component of the ecosystem of the well-known encryption software PGP, breaking users' PGP installations and clients. What’s worse, there may be no way to stop them.

Ce qui à mon humble avis est plus problématique, c'est qu'ils ne peuvent plus créer de puces ARM :

https://www.frandroid.com/marques/huawei/596388_hisilicon-kirin-huawei-na-plus-le-droit-de-creer-de-puces-arm

Est-ce qu'ils vont partir sur un jeux d'instructions libres ?

Ce serait quand même beaucoup plus productif pour le libre :)

Pour plus de visibilité sur l'article d'origine, je poste le lien de Bloomberg :

https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies

C'est vrai que cela fait vraiment théorie du complot.

D'ou l'idée de discuter avec les moules, pour réfléchir techniquement comment arrivez à faire ça via une puce 1mm :)

Mais j’ai aussi dit que la surveillance étrangère est BEAUCOUP moins présente sur des communications GSM

Donc pour toi 200 Millions de SMS intercepté dans le monde ce n est pas de la surveillance de masse

Si une puissance étrangère m’en veut au point de vouloir mes données GSM, je ne suis pas sûr qu’il existe de technologies numériques fiables pour me protéger…

Je suis d accord mais perso pour le moment je préfère confier métas datas à Signal et dans une moindre mesure Google.

En particulier que même si ring.cx lui-même est sécurisé, c’est tout le reste de ton téléphone qui va leaker ta vie privée à sa place…

Oui mais la tu aura aussi une application native pour ta distro préféré.

En bref, tu veux VRAIMENT être à l’abri ? Jette ton téléphone.

Perso je préfère le coller sous un camion qui part faire une livraison dans les pays de l'est au moins le gouvernement devra attribuer des ressources pour le suivre même si ils pensent que je suis en route pour les Caraïbes après avoir pris les millions de roros des fonctionnaires ripoux ;)

Aeris ton argumentaire de départ été que tes metadatas passant par SMS reste franco-française. Or ce n est pas vrais via l espionnage de masse organisée par de grande puissance.

Maintenant tu me dit qu'un attaquant qui n'a pas de ressource ne peut pas à n échelle d une salle de restaurant intercepté tes SMS et donc tes metadatas.

http://securityaffairs.co/wordpress/41513/hacking/low-cost-imsi-catcher-lte.html

Après oui tu à des IMSI Catcher Pro qu'ont peut ce procurer sur AliBaba mais ca coute plus cher.

Bref ta solution outre qu'elle réduit les échanges au niveau texte ne préserve pas tes metas information d une puissance étrangère ni d un attaquant un peu motivé. De toute façon les échanges sont chiffré mais pas avec qui, quand et la fréquence que tu communique.

Pour moi un des projets les plus prometteurs à moyen/long terme reste ring.cx qui est devenu un projet officiel GNU. Gage amha de sérieux et dans ce projet tu n aura pas de serveur central. Tu à d autre projet qui sont en train de vouloir faire le même travail mais perso je fait confiance au projet GNU vu leurs taffs passé.

En plus j aime bien cet équipe canadienne :)

PS2 Dans ton argumentaire pro sms tu oublie ce genre de programme

https://www.theguardian.com/world/2014/jan/16/nsa-collects-millions-text-messages-daily-untargeted-global-sweep

Je ne m inquiète pas pour la NSA and co pour la surveillance de masse des sms

PS et que pense tu de la faille SS7 pour les sms. Je ne pense pas que tes métas information soit beaucoup plus protéger de la NSA avec les SMS

Pour moi la seule alternative crédible à moyen terme c est le projet ring.cx

Déjà la solution ne propose pas les appels audio :(

Vivant dans une dictature je préfère utiliser signal et laisser certaines métas information au US qu'au gouvernement du pays où je vis et ce même si je n ai rien à cacher et que je pense qu une democratie serait pire que le régime totalitaire relativement ouvert.

J espère que dans peu de temps nous aurons une solution qui protège aussi les métas information et qui soit super simple a utiliser pour les échanges textes, audio et vidéo (y compris pour les conf en groupe)

Pour moi Signal n est pas parfait mais c est actuellement le meilleur compromis disponible pour Madame Michu.

Concernant l'article de la FSF la seul information c est les mises à jour silencieuse provenant de Google qui pourrait en profiter pour y espionner et ensuite enlever la mise à jour pour éviter qu'ont le sache.

Cela ne remet pas en cause l application signal mais l OS Android et ces API.
Rien ne prouve que même si tu n utilise pas les API de Google qu'ils n ont pas d autre méthode pour accéder via Android et d autre API au contenu de ton tel.

Donc à ce jour je recommande signal à mes contacts. J ai pas mal de contacts au UAE et franchement l application fait son travail pour éviter la censure via le domain fronting.

J attend énormément après le projet GNU ring.cx qui va comprendre échange texte, appels audio et vidéo et groupes d échange et ce en multiplateforme le tous de façons décentralisé.

En revanche les questions de confidentialité continurons de ce poser pour les utilisateurs qui ne sont pas sur un système 100% libre

Mais Signal poursuit toute entreprise souhaitant utiliser leur algo.

Ils essayent d'en vivre, mais oui la méthode n'est pas très fair play.

Ou refuse toute fédération avec d’autres implémentations.

Il y'a déjà eu une fédération avec Cyanogen mais ils y'a eu des difficulté en terme de qualité sur la VoIP.

Je suis conscient des nombreux problèmes de signal en termes de meta informations et de serveur centrals (Et la partie serveur non publié) mais pour moi cela reste la meilleurs applications au moment ou j'écrits ces lignes.

En revanche je pense vraiment que la prochaine application NSA Compliant sera ring.cx qui est complètement décentralisé et qui fait partit du projet GNU.

Il va leurs falloir du temps, de l'argent, ce faire auditer et résoudre leurs nombreux bugs qui existe.
Mais à moyen/long terme ce sera pour moi le projet le plus aboutit car complètement décentralisé.

Tu à aussi Tox à surveiller mais je pense qu'il y'a de trop nombreux problèmes pour eux à régler (Au niveau du droit des marques et problèmes de crédibilité etc).

Ensuite sur signal, il faudrait effectivement que le code soit complètement ouvert pour être sûr qu'une
porte dérobée n'y est pas cachée.

Le code client de signal est complétement libre https://github.com/WhisperSystems
Ce qui permet de vérifier qu'aucune porte dérobé n'est caché. Tu peux aussi reproduire le build pour voir ce qui est distribué sur le Play Store.

En revanche l'inconvénient c'est que nous devons leurs faire confiance pour la meta information transitant coté serveur. Et rien dans le protocole ne garentit qu'ils ne stockent pas ces metas informations. Nous devons les croires sur paroles.

Mais pour le momment c'est l'application la plus simple, la plus propre pour communiquer avec un tiers du type madame michu.

Et si tu ne veux pas être reperé par ton gouvernement d'utiliser Signal, tu prend juste un numéro IP à la con, ou une carte sim anonyme que tu brule après et tu configure Signal sur ce numéro. Après tu communique avec un autre numéro sur le réseau GSM normal est le gouvernement la dans l'OS.

Je le répète la meilleur alternative grand public à moyen/long terme c'est le projet GNU ring.cx

si vous n'avez pas de moyen de valider sérieusement la clef d'un correspondant, sur demande des autorités, le fournisseur du service peut s'être placé en homme du milieu sans que ça se voie ;

Avec Signal ou Whatsapp il est excessivement facile de vérifier la clef soit via les numéros de sécurité soit en scannant le code QR Code.

Avec Signal si ton correspondant change de clef, tu est prévenu. Donc c'est à l'utilisateur de vérifier la suite.

si on ne peut pas vérifier le code, puis le compiler pour utiliser sa version vérifiée, même en validant les clef, le fournisseur peut tout à fait s'être placé en homme du milieu, et afficher malgré tout des hachages de clefs valides, alors que le logiciel utilise d'autres clefs à la place.

Signal est opensource :
https://github.com/WhisperSystems

Signal propose qu'on puisse compiler le code est vérifier que c'est le même distribué sur le Play Store

https://whispersystems.org/blog/reproducible-android/

Pour moi Signal est actuellement le meilleurs compromis en terme de sécurité, efficacité et simplicité pour monsieur et madame tous le monde. C'est un projet Opensource.

Le bémol c'est que nous devons leurs faire confiance pour les métas informations qui transitent par chez eux.
Ils ont communiqué un exemple de ce qu'ils fournissent aux autorités US :

https://whispersystems.org/bigbrother/eastern-virginia-grand-jury/

Signal propose un truc qui est pas mal dans les pays à la con c'est le domain fronting :
https://whispersystems.org/blog/doodles-stickers-censorship/
Même Whatsapp ne fournis pas ça.

Et pour avoir plusieurs correspondant dans ces pays roi de la censure c'est super pratique pour un utilisateur lambda d'utiliser Signal.

Mais oui ce n'est pas encore la perfection. J'èspere que ring.cx (Projet GNU) arrivera à tenir ces promesses.

Pour moi c'est le meilleur challenger à moyen / long terme.

Mais silence.im ne fournit pas un client Zrtp intégré.

Silence.im ne fournis pas une solution de contournement de la censure via un domain fronting.
Est silence.im fournis une passerelle via SMS (Qui laisse les metas données chez les opérateurs télécoms).

Donc non Silence.im ce n'est pas la même chose que Signal. Silence.im est un fork de TextSecure.

Signal est comprend TextSecure + RedPhone (Un client Zrtp) + Un plugin chrome pour qu'on reçoivent ces messages sur son ordi.

Bref pour moi le projet le plus prometteur c'est https://ring.cx/
C'est un projet GNU.

Mais il faut encore du temps car pour le momment est il n'est pas pleinemment fonctionnel.

Je suis tous à fait d'accord avec toi.

Pour le moment Signal est l'application opensource la plus fonctionnel pour le grand public.

J'èspere que dans quelques temps ring.cx arrivera à rivaliser et implementera une technique de domain fronting pour les pays à la con qui pratique la censure de ces applications.

Super je n'avais pas vu passé l'info.

Le projet est super sympa en revanche c'est dommage pour la taille de l'écran.
J'aurais préféré un 13"

Hello,

J'utilise signal tous les jours avec de nombreux contact.

Le coté centralisé me gène mais ta solution propose d'éparpiller les meta informations entre plusieurs acteurs.
Effectivement c'est un plus.

Mais quid de la voip avec Zrtp dans ton projet ?
Quid du link avec le browser (Chrome / Chromium) ?

Franchement je ne bougerais vers un fork de signal que si j'ai une garentit cryptographique (un peu comme avec le réseau onion de tor) que les metas informations ne peuvent pas fuiter.

Avec ton projet je vois ce que je perd (VoIP / Association avec mon brouteur afin que j'ai toujours mes messages partout) mais ce que je gagne c'est de déporter ma confiance pour mes metas informations envers des tiers inconnus.

Et franchement le support du SMS à part en afrique ou tu est complètement déconnecté je m'en tamponne :)

Le truc qui me casse le plus les "couilles" dans signal c'est l'authentification par SMS qui est pourrav à la premièrre utilisation mais bon c'est vrais que cela simplifie la vie des utilisateurs lambda.

Mais c'est sympa de voir des gens faire des efforts, c'est cool et je te souhaite une bonne réussite.

PS : Réfléchie à une solution mathématique pour préserver les meta information. Rapproche toi du mec qui fait crypto cat, il travaille sur la question. La prochaine bataille ce joue à ce niveau.

Regarde aussi le protocole Z Cash pour remplacer le bitcoin traçable.

Librement et vive les forks ;))

J'ai cru comprendre que c'est pour ce genre de raison que DANE n'a été que peu valorisé par les navigateur (qu'en gros, on veut que quelqu'un vérifie contre le fishing, même si c'est qu'un peu, que de faire confiance aux sites seuls).

Tu as des sources sur le sujet ?

donc avant de faire une pétition, peut-être regarder pourquoi Mozilla et Google ont jugé la chose "pas intéressante" et préparer un contre-argumentaire. Tu es prêt à le faire?

Est-ce que ce ne serait pas le rôle des CA de faire ce job ? Actuellement ils signent tout et n'importe quoi.
Sans tomber dans la paranoïa, si ce protocole est implémenté cela nuirait à beaucoup de monde (Les vrais faux-certificats des êtats, les faux certificats des employeurs) voire même une profonde remise en question de l'intérêt même des CA.

Toi même tu reconnais dans un autre journal, la connerie des CA :
http://linuxfr.org/users/zenitram/journaux/ssl-ev-etendue-oui-validation-euh

À votre avis est-ce que nous allons bientôt avoir une implémentation de DANE dans nos navigateurs ?
https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities

Car vu que cela a été retiré de chrome et que la page chez Mozilla n'a pas été mise à jour depuis 2011 :
https://wiki.mozilla.org/Security/DNSSEC-TLS-details

Nous pouvons légitimement penser que ce projet est mort-né. Pourtant il aurait grandement amélioré la sécurité et empêché l'utilisation de vrais-faux certificats pour les gouvernements et les faux certificats par les entreprises.

Ne devrions-nous pas lancer une pétition afin que Mozilla et Chrome le supporte ?

Publier des en-têtes HSTS et/ou HPKP est effectivement un risque (avec ou sans Let’s Encrypt) : ces en-têtes interdisent aux navigateurs de passer outre les erreurs de sécurité. Il ne faut les publier que si l’on est sûr que sa configuration est correcte (et correcte non seulement aujourd’hui, mais dans le futur).

HSTS n'est pas dangereux du moment que nous sommes certain que le site sera dorénavant toujours en HTTPS.
En revanche si on veut faire marche arrière ce n'est pas possible pendant la durée de vie de l'entête HSTS.

HPKP pour moi est un vrai risque car il faut faire le pari que ton visiteur va revenir dans le laps de temps qui lui est imparti. D'ou le danger d'avoir un certificat qui a une durée de vie courte.

Je pense que l'idéal serait que DANE TLSA soit implémenté et que DNSSEC soit massivement adopté ce qui est loin d'être gagné avant plusieurs années à moins que les navigateurs décident d'implémenter leur propre résolveur (Ce qui n'est pas de leur ressort à la base).

Je suis d'accord avec Gouttegd, vu que Let's Encrypt est opensource, je ne doute pas que des outils vont venir se greffer autour de cette écosystème afin qu'il s'étoffe.

Je suis mort de rire en lisant ton commentaire, bien vu ;)

Les japonais utilisent Camellia qui est un algorithme validé pour une utilisation en Europe via le projet nessie :

https://fr.wikipedia.org/wiki/Projet_NESSIE

Personnellement j'ai plus confiance dans les scientifiques qui ont validé le projet Nessie que dans des suppositions d'utilisation d'un algo russe ancien.

Camellia est intégré dans de nombreux projet opensource.

Pour le chiffrement de mon disque dur j'utilise AES + Camellia simultanément

cryptsetup -c camellia -h sha256 -d /mnt/stick/xxx/key-xxx-sdbx-camellia create sdxc /dev/sda8

cryptsetup -c aes -h sha256 -d /mnt/stick/xxx/key-xxx-sdbx-aes create sdxa /dev/mapper/sda8c

Malheureusement toujours pas de support de Maildir …

Je pense que Mollat est un signe de réussite. C'est un libraire de quartier ou l'on retrouve du conseils et les ouvrages que nous voulons. Mollat est une librairie indépendante et toujours dirigé par la famille fondatrice.

Je préfère largement commander mes livres via internet sur le site de mollat ( http://www.mollat.com/ ) que sur d'autres sites. Le prix est le même et en plus je sais que cela profite à l'économie locale. Cela permet aussi de préserver cette librairie aimée de beaucoup de Bordelais, et ce depuis des générations.

Et si je ne trouve pas mon bonheur sur le site, il est toujours possible de commander chez eux en direct.