"Des messages électroniques instantanés échangés entre le courtier et Jérôme Kerviel ont été versés au dossier d'instruction par la Société Générale, indique une source proche du dossier." [1]
Je crois que tout est dis :)
J'en profite pour poser une question en rapport : si on chiffre ses mails ou sa messagerie instantanée en entreprise, est-ce légal?
Ensuite si ce n'est pas légal, qu'est-ce qui vaut plus le coup : se faire taper sur les doigts à cause du message incriminé ou pour avoir chiffré le message qui ne peut donc pas être lu?
[1] Tiré de : http://www.lesechos.fr/info/finance/300240774.htm
Journal De l'utilité de chiffrer ses messages...
9
fév.
2008
# dechiffrage
Posté par Nico C. . Évalué à 4.
Et je crois aussi que suivant le chef d'inculpation initial, ca peut vraiment aller tres tres haut.
A moins que tu sois absolument sur qu'il n'y a qu'une seule preuve qui peut te faire plonger et qu'elle est chiffree et qu'il n'y a absolument aucun moyen de l'obtenir autrement qu'avec la cle qui n'est stockee absolument nulle part ailleurs que dans ta tete alors tu peux essayer de tenter le coup :)
[^] # Re: dechiffrage
Posté par Gof (site web personnel) . Évalué à 4.
> te faire plonger[...]
Ou si tu es innocent.
[^] # Re: dechiffrage
Posté par Victor . Évalué à 3.
[^] # Re: dechiffrage
Posté par Zenitram (site web personnel) . Évalué à 6.
[^] # Re: dechiffrage
Posté par schizoid . Évalué à 8.
J'ai gagné quoi ? :P
[^] # Re: dechiffrage
Posté par Charles-Victor DUCOLLET . Évalué à 4.
[^] # Re: dechiffrage
Posté par Victor . Évalué à 2.
[^] # Re: dechiffrage
Posté par flagos . Évalué à 10.
[^] # Re: dechiffrage
Posté par Victor . Évalué à -1.
[^] # Re: dechiffrage
Posté par Anonyme . Évalué à 6.
Moins tu en dis, moins ils en savent, et moins tu risqueras. Et dans le pire des cas, moins ils auront d'éléments et mieux tu pourras défendre tes intérêts.
[^] # Re: dechiffrage
Posté par Guillaume Knispel . Évalué à -1.
[^] # Re: dechiffrage
Posté par flagos . Évalué à 5.
[^] # Re: dechiffrage
Posté par benoar . Évalué à 6.
Si on te demande un toucher rectal pour prouver ton innocence, tu t'y plieras sans sourciller même si tu sais que tu es innocent ? (OK, j'aurai pu la faire plus soft avec le détecteur de mensonge)
[^] # Re: dechiffrage
Posté par briaeros007 . Évalué à 5.
"Si tu es innocent, dieu t'aidera, donc on va te torturer et si tu souffre pas c'est que tu es innocent.
Comme tu es innocent (ie que tu n'as rien à cacher), tu n'as rien à craindre n'est ce pas ?"
[^] # Re: dechiffrage
Posté par z a . Évalué à 7.
on te torture, tu en meurs, mais comme tu es innocent, tu es un martyr, tu vas au paradis, donc tout est bien qui finit bien
[^] # Re: dechiffrage
Posté par Pierre Tramonson . Évalué à 2.
Non, c'est de l'entrave à la justice.
Et amha c'est la même chose avec l'accès aux mails.
[^] # Re: dechiffrage
Posté par briaeros007 . Évalué à 1.
tu ne peux pas t'opposer à a une perquisition ... MÊME illégal !
Par contre, en cas de perquisition illégal, tu peux l'indiquer.
Bref rien a voir avec la protection de la présomption d'innocence etc. C'est amha considéré comme de la rebellion le refus de perquisition, et non plus une simple "entrave à la justice"
[^] # Re: dechiffrage
Posté par khivapia . Évalué à 8.
Donc quelle que soit la situation tu es en droit de ne rien dire ni rien donner à la justice (par exemple les clefs de chiffrement, etc.).
Mais si elle réussit à prouver ta culpabilité (ce qui est fort possible), tu as peu de chances de voir ta peine réduite pour collaboration avec la justice : entre quelqu'un qui reconnaît sa faute et quelqu'un qui cherche à tous prix à la dissimuler pour se soustraire à la justice justement...
Elle peut même être aggravée pour utilisation d'un moyen de cryptographie forte, cf le très bon commentaire https://linuxfr.org//comments/843477.html#843477 qui cite http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=ECO(...)
# oui mais non
Posté par Éric (site web personnel) . Évalué à 3.
Si je me souviens bien ça avait d'ailleurs prêter à des critiques de la part des informaticiens vu que le texte te rendait responsable de tout contenu crypté en ta possession, même si tu n'en as effectivement pas la clef. Des malins avaient envoyé des textes cryptés à des parlementaires en leur signalant que vu qu'ils n'ont pas la clefs, ils pouvaient être condamnés par al loi.
Bref, à part empirer ton cas ...
Sinon perso c'est bien le dernier argument que j'emploierai pour démocratiser le chiffrage. Tu es en train de dire qu'il aurait été bien de tout chiffrer afin de ne pas pouvoir être pris par la justice. D'un point de vue moral c'est assez peu soutenable.
[^] # Re: oui mais non
Posté par Alban Crequy (site web personnel) . Évalué à 5.
Même si on a rien à se reprocher, on n'a peut-être pas envie de donner toutes ces informations privées. Et si on est innocent, pourquoi donner accès à ces informations? S'il n'y a pas de preuve de culpabilité par ailleurs, autant ne rien donner: on ne peut pas être condamné sans preuve, si?
[^] # Re: oui mais non
Posté par Uriel Corfa . Évalué à 4.
[^] # Re: oui mais non
Posté par B16F4RV4RD1N . Évalué à 8.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: oui mais non
Posté par briaeros007 . Évalué à 3.
Elle est belle la justice.
Moi on m'a toujours dit que c'était aux enquéteurs de chercher des preuves, pas aux accusés de les apporter.
[^] # Re: oui mais non
Posté par Gof (site web personnel) . Évalué à 1.
[^] # Re: oui mais non
Posté par Alban Crequy (site web personnel) . Évalué à 4.
[^] # Re: oui mais non
Posté par Guillaume Knispel . Évalué à 2.
[^] # Re: oui mais non
Posté par briaeros007 . Évalué à 3.
[^] # Re: oui mais non
Posté par Rin Jin (site web personnel) . Évalué à 3.
La justice doit prouver que tu es coupable, mais si tu peux, de ton côté, prouver que tu es innocent, pourquoi ne pas le faire?
[^] # Re: oui mais non
Posté par zebob . Évalué à 4.
[^] # Re: oui mais non
Posté par libre Cuauhtémoc . Évalué à 2.
[^] # Re: oui mais non
Posté par Rin Jin (site web personnel) . Évalué à 3.
ZeBob: "La justice doit prouver que tu es coupable, ou que tu es innocent. À ce que je sache l'enquête se fait à charge et à décharge en France."
Mettez-vous d'accord ou expliquez-vous. Je ne suis pas juriste et ne faisait que réagir au post de Briaeros. Même si, comme il l'affirme, c'est uniquement à la justice d'apporter des preuves de culpabilité, je ne vois pas en quoi apporter des preuves de son innocence est mauvais pour l'accusé.
[^] # Re: oui mais non
Posté par briaeros007 . Évalué à 2.
Mais il faut voir qu'il y a deux risques principaux :
1°) c'est pas dis qu'elle soit utilisée/considérée par le juge.
2°) si en dévoilant ces preuves, tu en dévoile en même temps qui peuvent t'incriminer pour autre chose (même si tu n'y es pour rien) , ...
[^] # Re: oui mais non
Posté par Guillaume Knispel . Évalué à 4.
[^] # Re: oui mais non
Posté par etLaSuite . Évalué à 2.
Quand on te considère coupable, sauf si tu peux apporter les preuves de ton innocence.
Quand on te considère innocent, et que l'on apporte les preuves de ta culpabilité.
Alors ou en est-t-on ? Es-ce la même règle qui s'applique selon la personne jugée ?
J'ai l'impression d'entendre différents sons de cloches, que la règle est à géométrie variable.
===> Y a-t-il des juriste dans la salle ? ---> []
[^] # Re: oui mais non
Posté par jeffcom . Évalué à 3.
si... et même avec des preuves montrant ton innocence parfois... il suffit d'un "expert près la cour" un peu léger ou qui n'arrive pas à rédiger des rapports compréhensibles, un juge un peu trop con(descendant) avec la partie adverse et/ou une tête qui reviens pas audit juge c'est s'en est terminé pour toi. [malife] c'est du vécu [/malife] après faut avoir les ressources (ie: tiempo,pesetas y corones) pour interjetter appel et/ou pourvoir en cassation si besoin...
[^] # Re: oui mais non
Posté par Zenitram (site web personnel) . Évalué à 2.
Warning habituel de circonstance dans ce cas : le posteur étant impliqué, et étant à priori un être humain avec des émotions, il ne peut être considéré comme une source fiable d'exemple (un être humain qui perd un procès, ça pense toujours que le juge a fait une erreur, qui'l n'a pas vu que. Et quand cet être humain raconte, il ne montre que le coté qui l'arrange, on n'a donc pas de vue complète de la situation, contrairement au juge qui a vu les deux parties.)
[^] # Re: oui mais non
Posté par briaeros007 . Évalué à 2.
Il y avait le cas de la josacine, ou juste un faisceau de présomption existait, mais aucune preuve directe.
Une autre affaire (je ne me souviens plus trop comment elle s'appelle) où ils ont essayé de faire porter le chapeau au simplet du village.
Lors du procés, une personne est "revenue" sur sa déposition, en indiquant que la police avait fait pression pour modifier les horaires, et à affirmer, avec photo du coucher du soleil le jour dit à l'appui, que cette personne était bien passé par tel route à tel heure, et non pas une demi heure plus tot/tard. (Ce qui a entrainé bien entendu suspension du procés, avec enquêtes itou...).
Ici, si cette personne n'avait rien dis (et il doit en falloir des couille pour dire ça en plein tribunal quand même), ben le juge aurait fait une erreur, même si c'était de bonne foi.
Allez encore deux pour se marrer : Outreau et l'affaire des trois irlandais!
[^] # Re: oui mais non
Posté par jeffcom . Évalué à 5.
euh, certes, néanmoins lorsqu'on intente une action en justice c'est rarement pour des broutilles, étant donné
1) le prix que ça coûte
2) le temps que ça prends
3) les risques que ça comporte
et lorsqu'on a pas assez en poche pour se payer la rolls des cabinets d'avocats, et qu'on va quand même au procès, c'est qu'à priori on a des preuves et qu'on est pour le moins confiant.
[malife]
puisque tu y tiens, l'affaire concernait une SII proposant des services web (héberg, sites web toussa) en SARL avec un nom commercial déposé à l'inpi avant même la création de la boite et des clients. Un beau jour, 2 associés ont quitté la société pour créer la leur en :
1) utilisant le nom de l'ancienne société pour composer le nom de la leur (exemple, l'ancienne société s'appelait 'toto' la nouvelle 'totonet'
2) en proposant strictement les mêmes services
3) en emportant avec eux des clients (en faisant migrer sur leurs serveurs leur hébergement et leurs services)
Les preuves n'étaient autre que les logs de connexion et les témoignages des clients.
La défense de la partie adverse était : "nous on savait pas qu'ils existaient, on les connaissait pas, et puis le nom de la boite on l'a inventé hein, on vous promet msieur".
Un expert a été nommé, il a pas été capable de lire les logs montrant les connexions depuis les adresse ip de l'autre boite, et a donné comme conclusion que ça aurait pu être n'importe qui, alors qu'ils ont des ip fixes (nous avions une attestation du fai).
Le juge a décidé que les tords étaient partagés et que les plaignants n'avaient qu'à mieux protéger leur marque (je vois pas bien comment faire mieux que l'inpi!) et leur réseau (les gars avaient commencé la migration et créé leur boite dans le secret avant que quitter la première, donc pas vraiement de possibilité de bloquer leurs accès).
Le plus cocasse dans l'histoire c'est que chaque partie a été condamnée à payer à l'autre la même somme pour dommages et interrêts.
[/malife]
[^] # Re: oui mais non
Posté par Zenitram (site web personnel) . Évalué à 2.
puisque tu y tiens,
Le problème dans ton discours est que quoi que tu dises, j'aurai... Que ton discours.
La justice, c'est quand l'autre peut se défendre, ici tu attaques en étant sûr de ton droit, et la partie adverse est absence.
Quoique tu dises, on ne pourra avoir une opinion objective, du fait qu'il manque une partie des protagonistes.
J'ai déja vu trop souvent un élément omis par celui qui dit "le juge est nul, il n'a pas compris" que le juge lui a vu car discuté avec la partie adverse, et cet élément change tout...
--> Non, je ne tiens pas à ton discours, car je sais que c'est non factuel si les faits racontés sont vrai, rien ne dit qu'ils sont les seuls), ce n'est que ta version.
Un beau jour, 2 associés ont quitté la société pour créer la leur
et
La défense de la partie adverse était : "nous on savait pas qu'ils existaient (...)
--> Ca ne colle pas, ton avocat aurait simplement pu dire "mensonge en direct : il ne connaissent pas le nom de l'entreprise pour laquelle ils étaient associés, surprenant non?", et le juge aurait bien été contraint de reconnaitre ce fait, sans aucune connaissance informatique.
[^] # Re: oui mais non
Posté par jeffcom . Évalué à 5.
bien qu'étant totalement d'accord avec ton discours sur la partialité, je me doit de te faire aussi comprendre qu'il est, lui aussi, partial : ton discours est lui aussi biaisé, car tu pars d'un postulat faux : ce n'est pas mon histoire, ni mon avocat ou ma boite : j'ai vécu ce fait en spectateur, tout comme le juge l'a fait. Le fait est que j'avais une affaire qui s'est déroulé aux mêmes séances que celle que je rapporte. Je n'ai rien à voir avec cette affaire : j'en ai simplement été témoin.
Quelques années plus tard j'ai rencontré le plaignant de manière fortuite et nous sommes aujourd'hui amis, c'est pourquoi je connais bien cette affaire.
D'autre part tu oublies une grande part de l'intentionnalité des actes : je n'ai aucun intérêt dans le fait de "raconter" une histoire en omettant certains éléments : ça a été jugé, ça ne le sera pas de nouveau, encore moins ici. Mon commentaire visait simplement à faire comprendre à certains que la justice n'est pas aussi inflexible qu'un compilateur : elle est administrée par des hommes, et dans le cas d'affaires concernant l'informatique, par des hommes ignorants. En d'autres termes : lorsqu'une affaire basée sur des faits "informatiques" est jugée, on a de fortes chances d'être incompris et mal jugé.
[^] # Re: oui mais non
Posté par Axone . Évalué à -1.
euh, certes, néanmoins lorsqu'on intente une action en justice c'est rarement pour des broutilles, étant donné
1) le prix que ça coûte
2) le temps que ça prends
3) les risques que ça comporte
Il n'y a aucun risque et c'est gratuit pour les salariés qui attaquent aux prud'hommes. Et quelques petits malins en profitent. Mais bon, on peut difficilement éviter que certains pervertissent le systeme...
[^] # Re: oui mais non
Posté par Éric (site web personnel) . Évalué à 1.
Sinon pour l'accès aux informations il y a un moment où on considère que la justice a le droit d'aller fouiller pour chercher les preuves justement. Pour que le juge l'accepte il faut qu'il y ait des doutes et des informations sérieuses qui permettent de croire à ta culpabilité, mais oui ta vie privée peut être ouverte à l'instruction.
C'est comme tout, il faut un équilibre, ici entre ta vie privée et le besoin pour la société de vérifier ta culpabilité éventuelle.
[^] # Re: oui mais non
Posté par briaeros007 . Évalué à 1.
Ca c'est la théorie.
C'est comme "la présomption d'innocence" etc... Une belle théorie, mais visiblement assez rarement mis en pratique (suffit de regarder les personnes victimes de "détention provisoire").
Ensuite une perquisition ne se fait pas forcément avec une commission rogatoire.
[^] # Re: oui mais non
Posté par Matthieu . Évalué à 4.
Le plus dur, c'est de les avoir, parce que si on me demande mes clés, je ne sais pas si je serais capable de les donner, surtout si les clés ont été générées lors de la session.
[^] # Re: oui mais non
Posté par Aldoo . Évalué à 5.
[^] # Re: oui mais non
Posté par briaeros007 . Évalué à 3.
Et si tu les connais pas/dans l'incapacité de le faire ? (oublie, pas toi qui la fait et/ou qui l'utilise, une partition chiffré dans un poste d'entreprise où tout le monde y accède : tout le monde est coupable ?...)
Et si tu es en "deniable cryptography", ils te condamnent préventivement ? (bon ok pour les mails c'est pas facile, mais pour une partoch chiffré c'est faisable)
C'est un chef d'inculpation bancale, semblable a la loi dati "on sait pas ce qu'il y a, donc tu cache forcément quelque chose, donc on te condamne".
Tu es en train de dire qu'il aurait été bien de tout chiffrer afin de ne pas pouvoir être pris par la justice. D'un point de vue moral c'est assez peu soutenable.
La détention provisoire est assez peu soutenable moralement (emprisonner quelqu'un "au cas ou"), mais ça gêne pas la justice en tout cas.
[^] # Re: oui mais non
Posté par Éric (site web personnel) . Évalué à 1.
Tout est question de compromis. Ton droit à a liberté est forcément limité par les droits des autres, qui seraient éventuellement niés si on te libère.
La détention provisoire elle doit avoir une justification, et justement jugée par un "juge des libertés", qui tente de tracer la limite entre tes libertés et celles des autres, dans une situation ou tout le monde a théoriquement raison (vu que personne n'a encore officiellement tort).
Et si tu les connais pas/dans l'incapacité de le faire ?
Si je me souviens bien c'état justement ce qui était reproché à la loi. Pas la peine de me retourner l'argument, je ne fais que constater notre système, ce n'est pas moi qui l'ait fait.
Maintenant pour ton exemple d'entreprise : aies un minimum confiance dans le juge pour ne pas être complètement stupide. D'autant qu'il sait très bien que pour obtenir un disque d'entreprise c'est à l'entreprise qu'il doit demander (et elle elle a les clefs de crypto de ses propres disques ou les moyens de les avoir).
On s'en remet à l'appréciation humaine du juge, mais l'inverse (autoriser quelqu'un a refuser toute enquête simplement en chiffrant tout) n'est pas non plus forcément souhaitable.
[^] # Re: oui mais non
Posté par briaeros007 . Évalué à 0.
Elle est pas "jugée" vu que c'est une décision arbitraire d'une personne, sans que tu ais le droit à un procés équitable.
qui tente de tracer la limite entre tes libertés et celles des autres,
Tant que tu n'as pas été jugé dans un procés équitable, tu as exactement les mêmes libertés que les autres!
dans une situation ou tout le monde a théoriquement raison (vu que personne n'a encore officiellement tort).
Faux. Le juge des libertés ne PEUT avoir raison, car il te juge sans procés équitable, et renie ton statut d'innocent en te "jugeant plus dangereux qu'un citoyen ordinaire" sans autre forme de procés.
aies un minimum confiance dans le juge pour ne pas être complètement stupide.
Ai confiance dans une profession qui ne dois rendre des comptes a personne si ils se trompent. Ai confiance dans une profession ou quand tu pousse les gens au suicide ca n'a aucune répercution pour toi. Ai confiance dans une profession qui peut, parce que tu ne leur plait pas, supprimer toutes tes libertés.
Euh désolé mais je suis pas maso. De la méfiance est normale dans ce genre de cas.
(autoriser quelqu'un a refuser toute enquête simplement en chiffrant tout) n'est pas non plus forcément souhaitable.
Fallait y penser avant de considérer tout le monde comme des coupables en puissance, avant d'autoriser les société privée à faire la justice, avant de s'être considéré comme dieu en ayant aucun contre pouvoir, avant d'avoir fait des peines disproportionné (des années de prison pour "contrefaçon de mp3". Des frais de justice à payer pour l'affaire milka. Des retraits de points et des amendes produites en milliers d'exemplaire, automatiquement, et constaté par le même opj... même si tu dépasse de 1 km/h ... et qu'il faut payer avant meme de contester. Ou encore une accusation de rebellion si tu refuse de te soumettre à un controle de police illégal).
Bref il aurait fallu que la justice soit un peu plus propre sur soi pour pouvoir s'offusquer que les gens essaient de se protéger.
[^] # Re: oui mais non
Posté par Éric (site web personnel) . Évalué à 3.
C'est beau, mais un procès équitable ça ne se fait pas en instantané non plus. Pour caricaturer si on accuse quelqu'un de tirer au fusil régulièrement sur les gens, tu as le choix entre :
- l'empêcher de tirer (donc probablement l'enfermer), mais empiètes sur sa liberté et la présomption d'innocence
- le laisser continuer, mais tu risques des conséquences graves pour d'autres gens, et ça aussi ça reviendrait à nier leurs libertés de vivre en sécurité
Alors tu fais quoi ? oui, on pourrait prendre une décision de justice avec débat contradictoire complet et tout et tout, mais ça prendrait autant de temps que le procès et on resterait avec la question "on fait quoi en attendant" ?
Donc si, le juge des libertés est bien là pour tracer (certes arbitrairement) la limite temporaire entre ta liberté et celle des autres en attendant un jugement sur le fond.
C'est même plus complexe que ça parce que parfois te laisser en liberté risque de provoquer des conséquences même si tu es innocent. La limite entre tes libertés et celles des autres n'est pas forcément lié à ta probabilité de culpabilité.
Alors effectivement, la décision du JDL est "forcément mauvaise" puisqu'elle va limiter quelqu'un sur la base de l'accusation d'un présumé innocent. Mais c'est aussi nécessaire pour sauvegarder les libertés d'autres, qui sont toutes aussi importantes. Il s'agit juste de regarder ce qui est potentiellement le plus grave/genant.
Tu peux aussi te barder de principe sur la responsabilité de cette décision arbitraire (mais contradictoire), mais le principe même c'est de juger du potentiel et du risque. Vouloir imputer la responsabilité parce que un des deux risques en jeu s'est réalisé et pas l'autre ... ça me parait totalement crétin tant qu'il n'y a pas "faute" (et non, une mauvaise évaluation n'est pas une faute tant qu'elle a été menée avec tout le sérieux possible et les moyens adaptés).
Pour ton dernier gros paragraphe, c'est un mélange étonnant de contradiction et de choses qui n'ont rien à voir :
- Tu peux aussi raler contre l'inflation des peines mais ton dernier gros paragraphe ne fait pas grand chose à part encourager l'escalade.
- Tu peux aussi raler contre les PV pour 1km/h de trop mais ça reviendrait soit à décaler la limite de quelques km/h avec le même problèmes plus loin ou faire une règle souple mais du coup arbitraire pile l'inverse.
- Tu peux raler contre l'accusation de rebellion mais si tu ne peux pas en même temps refuser les mesures conservatoires (parce que refuser un controle en attendant qu'il soit jugé illégal c'est justement une mesure conservatoire)
Après il y a un procès équitable qui a pour seule erreur de ne pas te contenter quant au résultat, etc.
Bref, c'est facile de tout rejeter en bloc, je me contenterai de constater que tu rejettes mais que ce que tu acceptes en réaction non seulement ne résoud rien mais risque de faire empirer ce qui te gêne.
[^] # Re: oui mais non
Posté par Vincent (site web personnel) . Évalué à 8.
cf : http://linuxfr.org/~palm123/26104.html
# On s'en fout un peu du cryptage...
Posté par Pierrick C. (site web personnel) . Évalué à 3.
A voir si c'est bien légal ??? Est-ce que les employés sont au courant, ont donné leur accord ???
Si oui, J. Kerviel a fait une grosse boulette (de plus, on pourrai dire...).
[^] # Re: On s'en fout un peu du cryptage...
Posté par nonas . Évalué à 2.
Ces messages ne seraient apparus alors qu'au cours de l'analyse de ses ordinateurs.
(Le plus dingue dans cette affaire puisque j'en parle c'est que d'après une déclaration de Kerviel, la messagerie interne qu'ils utilisent à la SocGen lui permettait de changer des entêtes afin de faire passer certains courriers pour des autorisations venant de ses supérieurs, à quand la généralisation des emails signés ?)
[^] # Re: On s'en fout un peu du cryptage...
Posté par Zenitram (site web personnel) . Évalué à 3.
C'est une "fonctionnalité" de Outlook, si si... Je me suis déja fait avoir.
Ceux qui me transférait la chose aussi, car ils ne le faisaient pas exprès.
Ca provoque des situations cocasses :
- Salut, tu as vu? je viens de t'envoyer une invit' pour demain
- euh... Oui, j'ai recu une invit de quelqu'un pour demain, mais pas de toi... Du big chef. Qu'est-ce que tu racontes? Mais c'est vrai que c'était bizarre, le big chef me tutoyait... Ah.. OK.
Ben oui, dans mon cas, quand tu transfère une invitation, c'est le nom de l'inviteur orignal qui est mis dans l'en-tête... Et tu ne vois pas qui a modifié la chose et écrit quelque chose de plus (ou supprimé). Et sans faire quelque chose de spécial.
J'imagine que pour un mail il doit y avoir moyen de faire pareil (mais c'est moins évident alors...)
[^] # Re: On s'en fout un peu du cryptage...
Posté par 태 (site web personnel) . Évalué à 2.
Ce n'est pas vraiment moins évident, c'est le comportement par défaut d'eudora par exemple, le fait de retransmettre un message peut soit se faire par "redirect" qui ne change pas la plupart des champs de l'entête (dont le From) mais en rajoute, soit par forward.
J'ai du mal à comprendre pourquoi on peut vouloir faire du redirect par contre...
[^] # Re: On s'en fout un peu du cryptage...
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 1.
Utilité: revoyer un mail a quelqu'un qui l'a pas recu pour une raison x ou y (car tu as une copie dans "sent"), faire un .foward a la volee...
Bref, tant de choses si simples a comprendre quand on utilise mutt (et où on se rend compte que le mail, c'est bidon).
Ca permet aussi, justement, de refourguer un mail sans le saloper de moulte ">" a chaque transfert...
[^] # Re: On s'en fout un peu du cryptage...
Posté par 태 (site web personnel) . Évalué à 3.
Si tu réexpédies un mail que tu envoies toi-même, pourquoi pas... Mais le mot rediriger ne décrit pas ce comportement.
> faire un .foward a la volee...
Comme les bounces du serveur, il s'agit d'un comportement automatique, pas d'un choix que fait l'utilisateur, je comprends que ce soit dans le protocole, pas qu'un utilisateur veuille le faire (ou que le premier bouton qui promet de faire suivre un mail utilise ce comportement).
> Bref, tant de choses si simples a comprendre quand on utilise mutt (et où on se rend compte que le mail, c'est bidon).
Ça veut dire quoi bidon ? Et je suis vexé de ne pas comprendre tant de choses simples alors que j'utilise mutt.
> Ca permet aussi, justement, de refourguer un mail sans le saloper de moulte ">" a chaque transfert...
Forward le fait très bien. (et moult sécrit moult). Mais je continue de penser que lorsque l'on fait suivre ou redirige un courrier (que l'on a lu), il est malsain de ne pas le signaler dans l'entête et le corps du message.
[^] # Re: On s'en fout un peu du cryptage...
Posté par beagf (site web personnel) . Évalué à 1.
tu ajoute dans ton fichier .muttrc la ligne suivante :
set edit_headers
et tu vas voir que tu peux éditer les headers des mail que tu envoies et notament tu peu mettre absolument ce que tu veu dans from : ton adresse mail, une déclaration d'amour et même l'adresse mail de ton chef.
Les mails ne sont pas bidon, mais par contre lorsque l'on reçoit un mail, à moins qu'il ne soit signé, on ne peut absolument pas savoir qui l'a envoyé.
[^] # Re: On s'en fout un peu du cryptage...
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 1.
2/ Bouncer un message permet de ne pas l'envelopper dans les headers de l'envoyeur, et donc de passer par d'autres règles de filtrage de mail. En gros, ca permet à l'utilisateur de "se faire passer pour le dernier relai SMTP", alors que le forward est un passage de message qui passe plus explicitement par la couche application. Pour moi, ca a du sens...
L'application la plus répandue du bounce, c'est en fait les mailing-lists d'ailleurs... Heureusement que c'est pas du forward !
3/ STMP est "bidon" dans le sens où tu peux en faire à la main par telnet, et forger ton premier mail en 1 minute montre en main. Tu t'appeçois que c'est un protocol extrèment simple, et m^eme pas garanti. Y'a d'autres protocoles de messages bien plus aboutis.
4/ J'ai pas mis un "e" en trop à "moult", j'ai oublié un "s" à "moultes", n'en déplaise à certains.
[^] # Re: On s'en fout un peu du cryptage...
Posté par msbro . Évalué à 5.
C'est pas spécialement un problème spécifique à la messagerie de la SG, c'est généralisable à tous les serveurs de mail, qu'on emploie Outlook, Thunderbird ou même un bon vieux telnet sur le port 25.
C'est là où on se rend compte que les protocoles qui ont encore cours sur le net ont été créé pour une poignée de militaires et des universitaires, des gens responsables et identifiés quoi... tout le contraire d'un produit de masse.
[^] # Re: On s'en fout un peu du cryptage...
Posté par defdrek . Évalué à 6.
Il est bon de resituer le contexte : on parle ici de personnes qui font des deals de plusieurs millions en utilisant ces moyens de communication. Il est donc nécessaire de garder une trace de ces discussions ne serait-ce que pour avoir une preuve que le deal a eu lieu.
[^] # Re: On s'en fout un peu du cryptage...
Posté par cedbor . Évalué à 2.
On peut noter d'ailleurs les notes de téléphone perso de M Kerviel : plus de 1000€/mois sur son portable perso, alors que sa banque lui fournit 14 lignes de téléphone...
[^] # Re: On s'en fout un peu du cryptage...
Posté par Anonyme . Évalué à 7.
Et il ne faudrait pas faire l'erreur de croire que tout le monde arrête de bosser en dehors des heures de travail, surtout lorsqu'il y a prime de résultat ou intéressement à la clé.
Moi ça ne me choque absolument pas, au contraire, et si l'on en est rendu à nous jeter ce genre d'arguments accusateurs en pâture, c'est qu'il doit vraiment y avoir très peu d'éléments pour justifier cette mascarade publique.
Au passage, je trouve que dans toutes cette affaire, un coupable a bien vite été désigné, et la présomption d'innocence complètement ignorée.
[^] # Re: On s'en fout un peu du cryptage...
Posté par cedbor . Évalué à 2.
Pour le portable, je répète quand meme qu'utiliser un téléphone perso quand ta boite te paye tout un tas de bonus, dont surement un portable pro, c'est étonnant, surtout de la part de quelqu'un qui est censé rendre compte de ce qu'il fait. Or le portable pro, c'est aussi un moyen de fliquer ses employés.
cette mascarade publique.
Ben non, c'est une instruction française, normalement secrète et sereine...
Au passage, je trouve que dans toutes cette affaire, un coupable a bien vite été désigné, et la présomption d'innocence complètement ignorée.
Je reprends le fil cryptographie : M Kerviel devrait théoriquement etre considéré comme un gosse par ses directeurs et controleurs, ce qu'il fait ne devrait pas leur etre inconnu et ils ne devraient jamais le laisser sortir de son "bac à sable". On a déliré à un moment sur mél d'instruction aux employés que les employeurs pourraient effacer en cas de problème, cette enquète devrait etre l'occasion de regarder comment se passe ce genre de débordement, s'il s'avère que la hiérarchie était au courant. On pourrait regarder si les appels n'allaient pas tout simplement court-circuiter les liaisons normales employé-chef.
p.s. : comment on fait l'accent circonflexe dans la boite de saisie?
[^] # Re: On s'en fout un peu du cryptage...
Posté par briaeros007 . Évalué à 3.
La SG a dis que c'était lui en même temps que de porter plainte.
Tous les journaux considère qu'il est coupable sans qu'il soit jugé.
normalement secrète et sereine..
Faut qu'on m'explique comment alors tout le monde connais son nom, et l'emploi du temps de ses 5 derniers mois*, qui est paru à la une de tous les journaux.
*exagération bien entendu.
[^] # Re: On s'en fout un peu du cryptage...
Posté par modr123 . Évalué à 2.
tu t'imagines qu'un type qui gere les gros clients envoit un mail X achete tant d'actions a tel prix envois ses infos a un autre trader ?
on appelle ça du delit d'initié
[^] # Re: On s'en fout un peu du cryptage...
Posté par Jean-Baptiste Mayer . Évalué à 4.
En salle de marchés, les seuls téléphones mobiles autorisés sont ceux fournis par l'employeur. Ces téléphones sont enregistrés par un système assez intéressant (un genre de man in the middle).
Toutes les communications sont enregistrées, c'est écrit noir sur blanc sur chaque téléphone.
Les mails sont enregistrés, les communications instantanées aussi. Tous les personnels sensibles y sont contraints et informés. S'ils refusent, ils iront bosser ailleurs.
Par contre, il n'y a pas de micros dans les ascenseurs et à la machine à café à ma connaissance...
# Re:
Posté par IsNotGood . Évalué à 2.
Ce n'était pas des mails personnels. C'était du boulot (et en plus avec le pognon des autres). Il est très normal que la justice y ait accès (chiffré ou non), du moins dans ce cas précis.
# qui
Posté par Troy McClure (site web personnel) . Évalué à 3.
[^] # Re: qui
Posté par z a . Évalué à 2.
j'utilise pas donc je sais pas mais je croyais que yavait des trucs qui gardent le mot de passe pour une "session" et ainsi ne te forcent pas à le retaper à chaque fois dans cette session.
ça n'est pas vraiment compatible avec les moteurs d'indexation si pratiques
il suffit que la base de données du moteur d'indexation soit sur un système de fichiers cryptés.
[^] # Re: qui
Posté par Ellendhel (site web personnel) . Évalué à 2.
> > la seule fois ou j'ai essayé de chiffrer par gpg ça m'a saoulé de devoir entrer
> > une passphrase a chaque mail envoyé
> j'utilise pas donc je sais pas mais je croyais que yavait des trucs qui gardent
> le mot de passe pour une "session" et ainsi ne te forcent pas à le retaper
> à chaque fois dans cette session.
Enigmail, l'extension de chiffrement via GPG pour Mozilla Thunderbird propose effectivement une option pour mémoriser sa phrase secrète pendant une certaine durée (cinq minutes par défaut).
Par contre d'autres logiciels tels que Sylpheed ne proposent rien de ce genre et demandent effectivement une saisie par message envoyé.
Personnellement, je ne trouve pas ça plus mal, ça oblige à mémoriser la phrase secrète et ça laisse parfois deux secondes de répit pour relire son message avant qu'il ne parte bêtement avec une faute ou un fichier attaché manquant.
- Enigmail : http://enigmail.mozdev.org/home/index.php
[^] # Re: qui
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
j'ouvre un terminal
je lance gpg-agent
je lance mutt.
il me demande une seule fois ma passphrase.
Quand je pars (dîner, souper, fumer...) je ferme le terminal, et l'agent est tué. Simple et efficace.
[^] # Re: qui
Posté par 태 (site web personnel) . Évalué à 3.
Ah bon ? mauvais logiciel. gpg-agent, gnome-seahorse et d'autres agents retiennent ta passphrase et selon ta configuration la réutilise tous seuls.
> et puis ça n'est pas vraiment compatible avec les moteurs d'indexation si pratiques, avec les webmails etc..
Ah bon ? Si tu envoies un message chiffré gpg, seul ton correspondant pourra le lire, donc ce n'est pas vraiment indispensable d'en garder une copie que quoi que tu fasses tu ne sauras pas lire, c'est pourquoi les bons logiciels te proposent de conserver une copie en clair.
C'est pour les mails reçus que ça peut te poser un problème, mais si ton mail doit être chiffré uniquement lors du trajet et que tu t'en fiches qu'il puisse être lu par quelqu'un assis devant ta machine, il n'y a pas de raison de ne pas le sauvegarder sous forme déchiffrée...
[^] # Re: qui
Posté par Tonton Benoit . Évalué à 4.
Les bons logiciels proposent d'en garder une copie chiffrée vers soit-même.
Perso je ne chiffre pas systématiquement mais uniquement si je sais que mon correspondant saura le lire. Par contre je signe toujours.
[^] # Re: qui
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 3.
Il faut savoir que les cours de crypto ou de maths disent que la crypto qssymetrique utilise une paire de clef, mais qu'en pratique, dans des cas comme le courriel, on utilise en fait aussi souvent *deux* paires.
Deux paires de clés :
C’est dans ce cas que le concept de PKI commence à prendre du sens. S’il y deux paires de clés, c’est parce que celle privée de chiffrement doit éventuellement pouvoir être recouvrée (pour que toutes les données chiffrées d’un utilisateur ne soient pas définitivement perdues suite à un oubli de mot de passe ou une altération de la clé) et donc sauvegardée sur le serveur, et que la clé privée de signature doit, elle, rester rigoureusement en possession de l’utilisateur, ce qui est incompatible.
(source: http://cryptosec.lautre.net/article.php3?id_article=1 en licence FDL)
[^] # Re: qui
Posté par briaeros007 . Évalué à 2.
Moi, entre le boulot et chez moi.... et quiconque qui m'a donné sa clé XD
[^] # Re: qui
Posté par Benjamin Lannoy . Évalué à 4.
Les chiffrer… J'aimerais bien, mais presque aucun de mes destinataire habituels ne pratique ces outils de chiffrement, donc n'a de clé publique pour que je chiffre les messages. :/
Finalement, les signatures n'ont guère servi qu'à soulever des interrogations, des questions, et quelques explications.
Explications qui ont un peu sensibilisées face au problème des messages qui transitent en clair, et dont il est difficile de s'assurer de l'identité de l'expéditeur, mais qui n'ont pas eu beaucoup d'effets plus « pratiques ».
Bref, je n'utilise pas, mais ça ne dépend pas de moi.
# Le chiffrement, est-ce vraiment efficace ?
Posté par Mes Zigues . Évalué à -2.
De plus, je soupçonne que les clefs de session sont enregistrées à un moment sur le disque dur, cela est suffisant pour accélérer le décryptage.
[^] # Re: Le chiffrement, est-ce vraiment efficace ?
Posté par Mes Zigues . Évalué à -2.
Cela ne plaît pas de dire que quand on met les moyens aucun chiffrement ne résiste ?
[^] # Re: Le chiffrement, est-ce vraiment efficace ?
Posté par briaeros007 . Évalué à 3.
Mais 50 milliards c'est pas si énorme que ça. Regarde le budget de la défense américaine (je parle pas de celui de la NSA qui passe par un autre circuit que l'habituel).
Ensuite, on conçoit des chiffrement pour qu'ils résistent à l'état de l'art publique. Si il suffisait d'aligner 50 milliards sur la table pour péter n'importe quel algo, crois moi que les gouvernement l'aurait déja fait!
(c'est d'ailleur ce qu'essaie de faire les usa avec la NSA).
En plus, ils reposent sur des hyptohèses de 128 bits. Les vrai parano chiffrent pas en 128 bits :)
Ensuite, les clés de sessions sont stocké dans la ram. Dans le dur seulement si tu swap, et encore, tu vas pas swapper ca en premier.
Bref, assez peu de chance que ca se retrouve sur le dur.
[^] # Re: Le chiffrement, est-ce vraiment efficace ?
Posté par Mes Zigues . Évalué à 1.
Dans le cas qui nous intéresse, ce sont les conversations au travers de la messagerie instantanée qui semble avoir été utilisée. Dans ce cas, le chiffrement doit être continu, le programme est toujours dans la mémoire de travail et donc il sera fatalement swappé et donc les clefs de chiffrement avec. Dans ce cas, pas besoin de mettre des moyens fantastiques pour déchiffrer tout ça.
[^] # Re: Le chiffrement, est-ce vraiment efficace ?
Posté par briaeros007 . Évalué à 3.
Sauf si il chiffre sa swappe, ce qui n'est pas très dur à faire. Pour chiffrer ta swap tu peux meme mettre un mdp aléatoire a chaque démarrage, ça t'évite de le connaitre !
(bon faut pas vouloir hiberner par contre).
[^] # Re: Le chiffrement, est-ce vraiment efficace ?
Posté par Mes Zigues . Évalué à 1.
Quel est le générateur aléatoire ? Est-il vraiment aléatoire ?
Pour que les correspondances chiffrées ne soient pas déchiffrables, il faut que tous les composants de la chaîne soient fiables :
- Système d'exploitation
- Logiciel de chiffrement
- logiciels de transports
- bibliothèques utilisées par tous ces composants.
Cela chez l'émetteur et chez le(s) destinataire(s) !
Sans oublier que tout cela est servi par des humains.
Donc pas besoin de BlueGene ( http://www.top500.org/system/8968 ) pour casser tout cela, un fin hacker limier sera tout aussi efficace.
J'ai eu un -2 et un -1 ces arguments, vous permettront-ils de réviser vos jugements ?
[^] # Re: Le chiffrement, est-ce vraiment efficace ?
Posté par briaeros007 . Évalué à 1.
Ensuite, si tu estime que c'est si "simple" de hacker un message chffré, parce que pleins de composants de la chaine sont "vulnérables". Je t'en prie, sors une attaque.
-OS :
L'OS n'a pas accès à la mémoire des autres processus : c'est gérer par le noyau.
De plus l'OS et le noyau gère les permissions.
Il faudrait donc soit avoir les bonnes permissions, soit pouvoir asser en ring0 et/ou utiliser strace.
-Logiciel de chiffrement :
Il s'agit d'un logiciel classique. Il doit respecter les normes. Il est toujours possible que le logiciel soit buggé, mais les composantes cryptogaphiques peuvent être prouvée semi-formellement.
Elles sont même quelque fois intégré directement dans le noyau (partition chiffré,...)
-Logiciel de transport :
Il voit du contenu chiffré. Il n'interagit pas avec la des données clairs ou avec le processss. Aucun risque sur la sécurité du message chiffré sur cette brique.
- bibliothèques utilisées par tous ces composants.
Il ne faut pas tomber non plus dans le mythe du "bug partout tout le temps". Renvoi à l'OS vu que ça fait partie de l'os.
un fin hacker limier sera tout aussi efficace.
Si tu le crois, c'est bien.... mais ça a assez peu de chance de marcher. Ce n'est pas en répétant "y a des bugs partout".
Mais si tu en es aussi persuadé, pourquoi n'écris tu pas un papier dessus ?
Tu prend un client mail stock gérant la crypto sous une debian etch par exemple. Tu t'envoi a toi même un message chiffré, et tu indique comment tu as réussi à le casser.
[^] # Re: Le chiffrement, est-ce vraiment efficace ?
Posté par Mes Zigues . Évalué à 2.
Ensuite, dans la cas de la Société Générale, les enquêteurs ont saisi les matériels, ils ont donc tout le temps d'en analyser le contenu sans passer par le système d'exploitation de la machine, sans avoir les contrainte de droits d'accès et les limitations du système quand il est en marche, il est par exemple possible de faire une analyse des traces magnétiques sur le disque dur... et donc de reconstituer le swap dans le temps.
De plus sur un bureau de banque, je ne pense pas que les systèmes généralement utilisés passent la barre EAL2 des critères communs (il y en a peut-être au delà, mais ce ne seront pas les outils de bureautique). Donc Jérôme Kerviel n'aurait pas pu faire du chiffrement quasiment indécryptable avec les matériels qui lui étaient fournis.
[^] # Re: Le chiffrement, est-ce vraiment efficace ?
Posté par Mes Zigues . Évalué à 1.
[^] # Re: Le chiffrement, est-ce vraiment efficace ?
Posté par briaeros007 . Évalué à 1.
Tu as trop vu les experts toi. D'autant plus si la swap est chiffrée.
Tu sais ce que ca coute de faire une recherche de fichier après un vrai formatage ? un désassemblage total du disque, avec nouvelle tête de lecture, bien entendu ça en atmosphère controlé.
Et c'est sans compter la capacité largement supérieur à un fs normal qu'a la swap de réecrire sur le mêmes secteurs
Pour l'EAL, avoir jusqu'au 4 c'est "facile".
EAL1 : testé fonctionnellement
EAL2 : testé structurellement
EAL3 : testé et vérifié méthodiquement
EAL4 : conçu, testé et vérifié méthodiquement
EAL5 : conçu de façon semi-formelle et testé
EAL6 : conception vérifiée de façon semi-formelle et système testé
EAL7 : conception vérifiée de façon formelle et système testé
, un des opérateurs fera une erreur (pour ne pas en faire, une équipe d'experts est nécessaire de chaque côté).
Je t'en prie, je ne suis pas un "expert" au sens propre, donc ce que je te propose, je chiffre un disque. Je t'envoie l'os avec lequel je l'ai chiffré et le disque , et tu me le déchiffre .
Ca a l'air d'être simple vu ce que tu nous dis.
[^] # Re: Le chiffrement, est-ce vraiment efficace ?
Posté par Mes Zigues . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.