Journal De l'utilité de chiffrer ses messages...

Posté par  (site web personnel) .
Étiquettes : aucune
-1
9
fév.
2008
"Des messages électroniques instantanés échangés entre le courtier et Jérôme Kerviel ont été versés au dossier d'instruction par la Société Générale, indique une source proche du dossier." [1]

Je crois que tout est dis :)

J'en profite pour poser une question en rapport : si on chiffre ses mails ou sa messagerie instantanée en entreprise, est-ce légal?
Ensuite si ce n'est pas légal, qu'est-ce qui vaut plus le coup : se faire taper sur les doigts à cause du message incriminé ou pour avoir chiffré le message qui ne peut donc pas être lu?

[1] Tiré de : http://www.lesechos.fr/info/finance/300240774.htm
  • # dechiffrage

    Posté par  . Évalué à 4.

    A ma connaissance, si tu es sous le coup d'une procedure judiciaire, tu as l'obligation de fournir toutes les preuves en ta possession ainsi que tout moyen pour les exploiter si necessaire (cles de chiffrement justement) sinon tu risques d'aggraver serieusement ton cas si tu entraves deliberement la justice...
    Et je crois aussi que suivant le chef d'inculpation initial, ca peut vraiment aller tres tres haut.

    A moins que tu sois absolument sur qu'il n'y a qu'une seule preuve qui peut te faire plonger et qu'elle est chiffree et qu'il n'y a absolument aucun moyen de l'obtenir autrement qu'avec la cle qui n'est stockee absolument nulle part ailleurs que dans ta tete alors tu peux essayer de tenter le coup :)
    • [^] # Re: dechiffrage

      Posté par  (site web personnel) . Évalué à 4.

      > A moins que tu sois absolument sur qu'il n'y a qu'une seule preuve qui peut
      > te faire plonger[...]

      Ou si tu es innocent.
      • [^] # Re: dechiffrage

        Posté par  . Évalué à 3.

        Si tu es innocent, la question ne devrait pas se poser puisque le message crypté ne contient pas quelque chose qui t'incrimine.
        • [^] # Re: dechiffrage

          Posté par  (site web personnel) . Évalué à 6.

          Je suis curieux de voir en combien de temps tu vas recevoir une réponse du type "ce n'est pas parce que tu n'as rien à cacher qu'il faut accepter des caméras partout etc..."
          • [^] # Re: dechiffrage

            Posté par  . Évalué à 8.

            ce n'est pas parce que tu n'as rien à cacher qu'il faut accepter des caméras partout etc..

            J'ai gagné quoi ? :P
          • [^] # Re: dechiffrage

            Posté par  . Évalué à 2.

            J'ai pas dit qu'il fallait ne pas crypter, j'ai dit que ca n'avait rien à voir avec la question posée 2-3 commentaires avant :)
        • [^] # Re: dechiffrage

          Posté par  . Évalué à 10.

          Ce n'est pas à toi de prouver ton innocence, mais à l'accusation de démontrer ta culpabilité: leur donner l'accès à tes mails c'est leur donner les moyens de bricoler une accusation bancale. Donc la question se pose quand même.
          • [^] # Re: dechiffrage

            Posté par  . Évalué à -1.

            Ouais mais entre un mec qui se dit innocent et qui cache ses mails et un mec innocent qui montre ses mails qui parlent des couches de son gamins, de la partie de warsow qu'il a fait la veille ou encore du projet qu'il doit rendre pour dans moins de 24h, je pense qu'il est plus facile de monter une accusation sur le premier :)
            • [^] # Re: dechiffrage

              Posté par  . Évalué à 6.

              Un jour, une personne bien informé m'a dit qu'il valait mieux ne rien reconnaître/dévoiler, au risque de subir une garde à vue, que de dire quelque chose qui aurait des conséquences bien plus lourdes par la suite.

              Moins tu en dis, moins ils en savent, et moins tu risqueras. Et dans le pire des cas, moins ils auront d'éléments et mieux tu pourras défendre tes intérêts.
              • [^] # Re: dechiffrage

                Posté par  . Évalué à -1.

                C'est sûr que s'ils savent que tu as un projet à rendre dans 24h et un môme à changer, tu risques gros !
            • [^] # Re: dechiffrage

              Posté par  . Évalué à 5.

              S'ils n'ont que toi sous la main, ou que tu as une tête qui leur revient pas, ils feront avec ce qu'ils ont sous la main, ne t'inquiète pas pour eux.
            • [^] # Re: dechiffrage

              Posté par  . Évalué à 6.

              C'est toujours le même problème du "je n'ai rien a cacher".
              Si on te demande un toucher rectal pour prouver ton innocence, tu t'y plieras sans sourciller même si tu sais que tu es innocent ? (OK, j'aurai pu la faire plus soft avec le détecteur de mensonge)
              • [^] # Re: dechiffrage

                Posté par  . Évalué à 5.

                ou plus hard, façon inquisition :
                "Si tu es innocent, dieu t'aidera, donc on va te torturer et si tu souffre pas c'est que tu es innocent.

                Comme tu es innocent (ie que tu n'as rien à cacher), tu n'as rien à craindre n'est ce pas ?"
                • [^] # Re: dechiffrage

                  Posté par  . Évalué à 7.

                  "dieu reconnaîtra les siens"
                  on te torture, tu en meurs, mais comme tu es innocent, tu es un martyr, tu vas au paradis, donc tout est bien qui finit bien
          • [^] # Re: dechiffrage

            Posté par  . Évalué à 2.

            Pourquoi pas, mais alors dans ce cas peux tu refuser de laisser la police perquisitionner ton appartement, même si tu es innocent ?
            Non, c'est de l'entrave à la justice.
            Et amha c'est la même chose avec l'accès aux mails.
            • [^] # Re: dechiffrage

              Posté par  . Évalué à 1.

              la perquisition c'est encore autre chose :
              tu ne peux pas t'opposer à a une perquisition ... MÊME illégal !
              Par contre, en cas de perquisition illégal, tu peux l'indiquer.

              Bref rien a voir avec la protection de la présomption d'innocence etc. C'est amha considéré comme de la rebellion le refus de perquisition, et non plus une simple "entrave à la justice"
    • [^] # Re: dechiffrage

      Posté par  . Évalué à 8.

      Il y a quand même un truc dans la déclaration des droits de l'homme, c'est que nul ne peut être forcé à témoigner contre soi-même.

      Donc quelle que soit la situation tu es en droit de ne rien dire ni rien donner à la justice (par exemple les clefs de chiffrement, etc.).

      Mais si elle réussit à prouver ta culpabilité (ce qui est fort possible), tu as peu de chances de voir ta peine réduite pour collaboration avec la justice : entre quelqu'un qui reconnaît sa faute et quelqu'un qui cherche à tous prix à la dissimuler pour se soustraire à la justice justement...
      Elle peut même être aggravée pour utilisation d'un moyen de cryptographie forte, cf le très bon commentaire https://linuxfr.org//comments/843477.html#843477 qui cite http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=ECO(...)
  • # oui mais non

    Posté par  (site web personnel) . Évalué à 3.

    Sauf erreur tu es obligé de donner tes clefs sur demande. Ne pas le faire est un chef d'inculpation à part entière.

    Si je me souviens bien ça avait d'ailleurs prêter à des critiques de la part des informaticiens vu que le texte te rendait responsable de tout contenu crypté en ta possession, même si tu n'en as effectivement pas la clef. Des malins avaient envoyé des textes cryptés à des parlementaires en leur signalant que vu qu'ils n'ont pas la clefs, ils pouvaient être condamnés par al loi.

    Bref, à part empirer ton cas ...


    Sinon perso c'est bien le dernier argument que j'emploierai pour démocratiser le chiffrage. Tu es en train de dire qu'il aurait été bien de tout chiffrer afin de ne pas pouvoir être pris par la justice. D'un point de vue moral c'est assez peu soutenable.
    • [^] # Re: oui mais non

      Posté par  (site web personnel) . Évalué à 5.

      Tu es en train de dire qu'il aurait été bien de tout chiffrer afin de ne pas pouvoir être pris par la justice. D'un point de vue moral c'est assez peu soutenable.

      Même si on a rien à se reprocher, on n'a peut-être pas envie de donner toutes ces informations privées. Et si on est innocent, pourquoi donner accès à ces informations? S'il n'y a pas de preuve de culpabilité par ailleurs, autant ne rien donner: on ne peut pas être condamné sans preuve, si?
      • [^] # Re: oui mais non

        Posté par  . Évalué à 4.

        Si tu ne donnes rien, tu seras condamné pour entrave à la justice.
        • [^] # Re: oui mais non

          Posté par  . Évalué à 8.

          tu peux toujours répondre que tu ne sais pas d'où tu sors ce dvd et que tu n'as aucun moyen de savoir ce qu'il y a dessus (que tu pensais que c'était un dvd avec des clips de ABBA), même si cela faisait 3 ans que tu te trimballait avec.

          Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

        • [^] # Re: oui mais non

          Posté par  . Évalué à 3.

          on crois rêver : si tu ne donne rien qui t'incrimine (peuvent dire que tu n'as pas tout donné vu qu'ils ont pas trouvé ce qu'il cherchait), tu es condamné pour entrave a la justice, et si tu donne quelque chose qui t'incrimine, tu es condamné pour le premier chef d'accusation.

          Elle est belle la justice.

          Moi on m'a toujours dit que c'était aux enquéteurs de chercher des preuves, pas aux accusés de les apporter.
          • [^] # Re: oui mais non

            Posté par  (site web personnel) . Évalué à 1.

            Si tu es vraiment l'auteur du crime ou délit, qu'est-ce qu'il y a d'injuste à être condamné pour celui-ci ?
            • [^] # Re: oui mais non

              Posté par  (site web personnel) . Évalué à 4.

              Justement, tu as dit "si". Et si je suis innocent, il ne devrait pas y avoir de preuves contre moi et c'est à l'accusation de trouver ces preuves. Je ne vois pas pourquoi je donnerai des preuves de mon innocence: ça ne devrait pas être utile puisque c'est à l'accusation de trouver les preuves de culpabilité.
              • [^] # Re: oui mais non

                Posté par  . Évalué à 2.

                Oui enfin cacher les preuves de ton innocence, c'est pas pour autant très malin :P
                • [^] # Re: oui mais non

                  Posté par  . Évalué à 3.

                  euh ... normalement en pénal tu ne dois pas apporter des preuves de ton innocence, mais la justice qui doit apporter des preuves de ta culpabilité!
                  • [^] # Re: oui mais non

                    Posté par  (site web personnel) . Évalué à 3.

                    Je suis assez d'accord avec Guillaume, si tu es innocent, que tu peux le prouver et que cette preuve n'est pas dangereuse pour toi d'une autre manière (bah oui, si ta preuve, c'est une relation extra-conjugale, tu n'as pas forcément envie que ton épouse le sache), ne pas la présenter n'est pas forcément très malin.

                    La justice doit prouver que tu es coupable, mais si tu peux, de ton côté, prouver que tu es innocent, pourquoi ne pas le faire?
                    • [^] # Re: oui mais non

                      Posté par  . Évalué à 4.

                      La justice doit prouver que tu es coupable, ou que tu es innocent. À ce que je sache l'enquête se fait à charge et à décharge en France.
                      • [^] # Re: oui mais non

                        Posté par  . Évalué à 2.

                        justement tu peux apporter du poids à la décharge, tu t'en prives ? ou alors tu laisse le juge monter la chagre comme c'est trop souvent le cas en France ( cf Outreau)
                      • [^] # Re: oui mais non

                        Posté par  (site web personnel) . Évalué à 3.

                        Briaeros007: "normalement en pénal tu ne dois pas apporter des preuves de ton innocence, mais la justice qui doit apporter des preuves de ta culpabilité!"

                        ZeBob: "La justice doit prouver que tu es coupable, ou que tu es innocent. À ce que je sache l'enquête se fait à charge et à décharge en France."

                        Mettez-vous d'accord ou expliquez-vous. Je ne suis pas juriste et ne faisait que réagir au post de Briaeros. Même si, comme il l'affirme, c'est uniquement à la justice d'apporter des preuves de culpabilité, je ne vois pas en quoi apporter des preuves de son innocence est mauvais pour l'accusé.
                        • [^] # Re: oui mais non

                          Posté par  . Évalué à 2.

                          si tu peux en apporter, ce n'est pas forcément mauvais ...
                          Mais il faut voir qu'il y a deux risques principaux :
                          1°) c'est pas dis qu'elle soit utilisée/considérée par le juge.
                          2°) si en dévoilant ces preuves, tu en dévoile en même temps qui peuvent t'incriminer pour autre chose (même si tu n'y es pour rien) , ...
                          • [^] # Re: oui mais non

                            Posté par  . Évalué à 4.

                            D'où l'intérêt de bien très trier ses documents pour pouvoir montrer ceux qui te disculpent sans dévoiler ceux qui t'incriminent :P
                  • [^] # Re: oui mais non

                    Posté par  . Évalué à 2.

                    ça fait une sacrée différence dans une société:

                    Quand on te considère coupable, sauf si tu peux apporter les preuves de ton innocence.

                    Quand on te considère innocent, et que l'on apporte les preuves de ta culpabilité.

                    Alors ou en est-t-on ? Es-ce la même règle qui s'applique selon la personne jugée ?

                    J'ai l'impression d'entendre différents sons de cloches, que la règle est à géométrie variable.

                    ===> Y a-t-il des juriste dans la salle ? ---> []
      • [^] # Re: oui mais non

        Posté par  . Évalué à 3.

        on ne peut pas être condamné sans preuve, si?
        si... et même avec des preuves montrant ton innocence parfois... il suffit d'un "expert près la cour" un peu léger ou qui n'arrive pas à rédiger des rapports compréhensibles, un juge un peu trop con(descendant) avec la partie adverse et/ou une tête qui reviens pas audit juge c'est s'en est terminé pour toi. [malife] c'est du vécu [/malife] après faut avoir les ressources (ie: tiempo,pesetas y corones) pour interjetter appel et/ou pourvoir en cassation si besoin...
        • [^] # Re: oui mais non

          Posté par  (site web personnel) . Évalué à 2.

          [malife] c'est du vécu [/malife]
          Warning habituel de circonstance dans ce cas : le posteur étant impliqué, et étant à priori un être humain avec des émotions, il ne peut être considéré comme une source fiable d'exemple (un être humain qui perd un procès, ça pense toujours que le juge a fait une erreur, qui'l n'a pas vu que. Et quand cet être humain raconte, il ne montre que le coté qui l'arrange, on n'a donc pas de vue complète de la situation, contrairement au juge qui a vu les deux parties.)
          • [^] # Re: oui mais non

            Posté par  . Évalué à 2.

            Certes, mais il suffit de voir différentes affaire qui ont fait grand bruit en leur temps.
            Il y avait le cas de la josacine, ou juste un faisceau de présomption existait, mais aucune preuve directe.

            Une autre affaire (je ne me souviens plus trop comment elle s'appelle) où ils ont essayé de faire porter le chapeau au simplet du village.
            Lors du procés, une personne est "revenue" sur sa déposition, en indiquant que la police avait fait pression pour modifier les horaires, et à affirmer, avec photo du coucher du soleil le jour dit à l'appui, que cette personne était bien passé par tel route à tel heure, et non pas une demi heure plus tot/tard. (Ce qui a entrainé bien entendu suspension du procés, avec enquêtes itou...).
            Ici, si cette personne n'avait rien dis (et il doit en falloir des couille pour dire ça en plein tribunal quand même), ben le juge aurait fait une erreur, même si c'était de bonne foi.

            Allez encore deux pour se marrer : Outreau et l'affaire des trois irlandais!
          • [^] # Re: oui mais non

            Posté par  . Évalué à 5.

            un être humain qui perd un procès, ça pense toujours que le juge a fait une erreur, qui'l n'a pas vu que

            euh, certes, néanmoins lorsqu'on intente une action en justice c'est rarement pour des broutilles, étant donné
            1) le prix que ça coûte
            2) le temps que ça prends
            3) les risques que ça comporte

            et lorsqu'on a pas assez en poche pour se payer la rolls des cabinets d'avocats, et qu'on va quand même au procès, c'est qu'à priori on a des preuves et qu'on est pour le moins confiant.

            [malife]
            puisque tu y tiens, l'affaire concernait une SII proposant des services web (héberg, sites web toussa) en SARL avec un nom commercial déposé à l'inpi avant même la création de la boite et des clients. Un beau jour, 2 associés ont quitté la société pour créer la leur en :
            1) utilisant le nom de l'ancienne société pour composer le nom de la leur (exemple, l'ancienne société s'appelait 'toto' la nouvelle 'totonet'
            2) en proposant strictement les mêmes services
            3) en emportant avec eux des clients (en faisant migrer sur leurs serveurs leur hébergement et leurs services)

            Les preuves n'étaient autre que les logs de connexion et les témoignages des clients.
            La défense de la partie adverse était : "nous on savait pas qu'ils existaient, on les connaissait pas, et puis le nom de la boite on l'a inventé hein, on vous promet msieur".

            Un expert a été nommé, il a pas été capable de lire les logs montrant les connexions depuis les adresse ip de l'autre boite, et a donné comme conclusion que ça aurait pu être n'importe qui, alors qu'ils ont des ip fixes (nous avions une attestation du fai).
            Le juge a décidé que les tords étaient partagés et que les plaignants n'avaient qu'à mieux protéger leur marque (je vois pas bien comment faire mieux que l'inpi!) et leur réseau (les gars avaient commencé la migration et créé leur boite dans le secret avant que quitter la première, donc pas vraiement de possibilité de bloquer leurs accès).
            Le plus cocasse dans l'histoire c'est que chaque partie a été condamnée à payer à l'autre la même somme pour dommages et interrêts.
            [/malife]
            • [^] # Re: oui mais non

              Posté par  (site web personnel) . Évalué à 2.

              [malife]
              puisque tu y tiens,

              Le problème dans ton discours est que quoi que tu dises, j'aurai... Que ton discours.
              La justice, c'est quand l'autre peut se défendre, ici tu attaques en étant sûr de ton droit, et la partie adverse est absence.
              Quoique tu dises, on ne pourra avoir une opinion objective, du fait qu'il manque une partie des protagonistes.
              J'ai déja vu trop souvent un élément omis par celui qui dit "le juge est nul, il n'a pas compris" que le juge lui a vu car discuté avec la partie adverse, et cet élément change tout...
              --> Non, je ne tiens pas à ton discours, car je sais que c'est non factuel si les faits racontés sont vrai, rien ne dit qu'ils sont les seuls), ce n'est que ta version.

              Un beau jour, 2 associés ont quitté la société pour créer la leur
              et
              La défense de la partie adverse était : "nous on savait pas qu'ils existaient (...)
              --> Ca ne colle pas, ton avocat aurait simplement pu dire "mensonge en direct : il ne connaissent pas le nom de l'entreprise pour laquelle ils étaient associés, surprenant non?", et le juge aurait bien été contraint de reconnaitre ce fait, sans aucune connaissance informatique.
              • [^] # Re: oui mais non

                Posté par  . Évalué à 5.

                c'est ce qui a été fait : le juge a dit "en effet, ils me prennent pour un jambon" néanmoins ça n'a rien changé : tords partagés.

                bien qu'étant totalement d'accord avec ton discours sur la partialité, je me doit de te faire aussi comprendre qu'il est, lui aussi, partial : ton discours est lui aussi biaisé, car tu pars d'un postulat faux : ce n'est pas mon histoire, ni mon avocat ou ma boite : j'ai vécu ce fait en spectateur, tout comme le juge l'a fait. Le fait est que j'avais une affaire qui s'est déroulé aux mêmes séances que celle que je rapporte. Je n'ai rien à voir avec cette affaire : j'en ai simplement été témoin.
                Quelques années plus tard j'ai rencontré le plaignant de manière fortuite et nous sommes aujourd'hui amis, c'est pourquoi je connais bien cette affaire.

                D'autre part tu oublies une grande part de l'intentionnalité des actes : je n'ai aucun intérêt dans le fait de "raconter" une histoire en omettant certains éléments : ça a été jugé, ça ne le sera pas de nouveau, encore moins ici. Mon commentaire visait simplement à faire comprendre à certains que la justice n'est pas aussi inflexible qu'un compilateur : elle est administrée par des hommes, et dans le cas d'affaires concernant l'informatique, par des hommes ignorants. En d'autres termes : lorsqu'une affaire basée sur des faits "informatiques" est jugée, on a de fortes chances d'être incompris et mal jugé.
            • [^] # Re: oui mais non

              Posté par  . Évalué à -1.


              euh, certes, néanmoins lorsqu'on intente une action en justice c'est rarement pour des broutilles, étant donné
              1) le prix que ça coûte
              2) le temps que ça prends
              3) les risques que ça comporte


              Il n'y a aucun risque et c'est gratuit pour les salariés qui attaquent aux prud'hommes. Et quelques petits malins en profitent. Mais bon, on peut difficilement éviter que certains pervertissent le systeme...
      • [^] # Re: oui mais non

        Posté par  (site web personnel) . Évalué à 1.

        En france si je ne m'abuse le juge décide en son ame et conscience. Une "preuve" c'est rarement/jamais un élément objectif inattaquable. C'est souvent quelque chose qui rend extrêmement peu crédible les aternatives.

        Sinon pour l'accès aux informations il y a un moment où on considère que la justice a le droit d'aller fouiller pour chercher les preuves justement. Pour que le juge l'accepte il faut qu'il y ait des doutes et des informations sérieuses qui permettent de croire à ta culpabilité, mais oui ta vie privée peut être ouverte à l'instruction.

        C'est comme tout, il faut un équilibre, ici entre ta vie privée et le besoin pour la société de vérifier ta culpabilité éventuelle.
        • [^] # Re: oui mais non

          Posté par  . Évalué à 1.

          il faut qu'il y ait des doutes et des informations sérieuses qui permettent de croire à ta culpabilité,
          Ca c'est la théorie.
          C'est comme "la présomption d'innocence" etc... Une belle théorie, mais visiblement assez rarement mis en pratique (suffit de regarder les personnes victimes de "détention provisoire").

          Ensuite une perquisition ne se fait pas forcément avec une commission rogatoire.
    • [^] # Re: oui mais non

      Posté par  . Évalué à 4.

      Sauf erreur tu es obligé de donner tes clefs sur demande.

      Le plus dur, c'est de les avoir, parce que si on me demande mes clés, je ne sais pas si je serais capable de les donner, surtout si les clés ont été générées lors de la session.
      • [^] # Re: oui mais non

        Posté par  . Évalué à 5.

        ... ou si c'est la clé publique du destinataire dans un système asymétrique !
    • [^] # Re: oui mais non

      Posté par  . Évalué à 3.

      Sauf erreur tu es obligé de donner tes clefs sur demande. Ne pas le faire est un chef d'inculpation à part entière.
      Et si tu les connais pas/dans l'incapacité de le faire ? (oublie, pas toi qui la fait et/ou qui l'utilise, une partition chiffré dans un poste d'entreprise où tout le monde y accède : tout le monde est coupable ?...)
      Et si tu es en "deniable cryptography", ils te condamnent préventivement ? (bon ok pour les mails c'est pas facile, mais pour une partoch chiffré c'est faisable)

      C'est un chef d'inculpation bancale, semblable a la loi dati "on sait pas ce qu'il y a, donc tu cache forcément quelque chose, donc on te condamne".

      Tu es en train de dire qu'il aurait été bien de tout chiffrer afin de ne pas pouvoir être pris par la justice. D'un point de vue moral c'est assez peu soutenable.
      La détention provisoire est assez peu soutenable moralement (emprisonner quelqu'un "au cas ou"), mais ça gêne pas la justice en tout cas.
      • [^] # Re: oui mais non

        Posté par  (site web personnel) . Évalué à 1.

        La détention provisoire est assez peu soutenable moralement (emprisonner quelqu'un "au cas ou"), mais ça gêne pas la justice en tout cas

        Tout est question de compromis. Ton droit à a liberté est forcément limité par les droits des autres, qui seraient éventuellement niés si on te libère.
        La détention provisoire elle doit avoir une justification, et justement jugée par un "juge des libertés", qui tente de tracer la limite entre tes libertés et celles des autres, dans une situation ou tout le monde a théoriquement raison (vu que personne n'a encore officiellement tort).

        Et si tu les connais pas/dans l'incapacité de le faire ?

        Si je me souviens bien c'état justement ce qui était reproché à la loi. Pas la peine de me retourner l'argument, je ne fais que constater notre système, ce n'est pas moi qui l'ait fait.

        Maintenant pour ton exemple d'entreprise : aies un minimum confiance dans le juge pour ne pas être complètement stupide. D'autant qu'il sait très bien que pour obtenir un disque d'entreprise c'est à l'entreprise qu'il doit demander (et elle elle a les clefs de crypto de ses propres disques ou les moyens de les avoir).
        On s'en remet à l'appréciation humaine du juge, mais l'inverse (autoriser quelqu'un a refuser toute enquête simplement en chiffrant tout) n'est pas non plus forcément souhaitable.
        • [^] # Re: oui mais non

          Posté par  . Évalué à 0.

          et justement jugée par un "juge des libertés",
          Elle est pas "jugée" vu que c'est une décision arbitraire d'une personne, sans que tu ais le droit à un procés équitable.

          qui tente de tracer la limite entre tes libertés et celles des autres,
          Tant que tu n'as pas été jugé dans un procés équitable, tu as exactement les mêmes libertés que les autres!

          dans une situation ou tout le monde a théoriquement raison (vu que personne n'a encore officiellement tort).
          Faux. Le juge des libertés ne PEUT avoir raison, car il te juge sans procés équitable, et renie ton statut d'innocent en te "jugeant plus dangereux qu'un citoyen ordinaire" sans autre forme de procés.


          aies un minimum confiance dans le juge pour ne pas être complètement stupide.
          Ai confiance dans une profession qui ne dois rendre des comptes a personne si ils se trompent. Ai confiance dans une profession ou quand tu pousse les gens au suicide ca n'a aucune répercution pour toi. Ai confiance dans une profession qui peut, parce que tu ne leur plait pas, supprimer toutes tes libertés.

          Euh désolé mais je suis pas maso. De la méfiance est normale dans ce genre de cas.

          (autoriser quelqu'un a refuser toute enquête simplement en chiffrant tout) n'est pas non plus forcément souhaitable.
          Fallait y penser avant de considérer tout le monde comme des coupables en puissance, avant d'autoriser les société privée à faire la justice, avant de s'être considéré comme dieu en ayant aucun contre pouvoir, avant d'avoir fait des peines disproportionné (des années de prison pour "contrefaçon de mp3". Des frais de justice à payer pour l'affaire milka. Des retraits de points et des amendes produites en milliers d'exemplaire, automatiquement, et constaté par le même opj... même si tu dépasse de 1 km/h ... et qu'il faut payer avant meme de contester. Ou encore une accusation de rebellion si tu refuse de te soumettre à un controle de police illégal).


          Bref il aurait fallu que la justice soit un peu plus propre sur soi pour pouvoir s'offusquer que les gens essaient de se protéger.
          • [^] # Re: oui mais non

            Posté par  (site web personnel) . Évalué à 3.

            > Faux. Le juge des libertés ne PEUT avoir raison, car il te juge sans procés équitable, et renie ton statut d'innocent en te "jugeant plus dangereux qu'un citoyen ordinaire" sans autre forme de procés.

            C'est beau, mais un procès équitable ça ne se fait pas en instantané non plus. Pour caricaturer si on accuse quelqu'un de tirer au fusil régulièrement sur les gens, tu as le choix entre :
            - l'empêcher de tirer (donc probablement l'enfermer), mais empiètes sur sa liberté et la présomption d'innocence
            - le laisser continuer, mais tu risques des conséquences graves pour d'autres gens, et ça aussi ça reviendrait à nier leurs libertés de vivre en sécurité

            Alors tu fais quoi ? oui, on pourrait prendre une décision de justice avec débat contradictoire complet et tout et tout, mais ça prendrait autant de temps que le procès et on resterait avec la question "on fait quoi en attendant" ?

            Donc si, le juge des libertés est bien là pour tracer (certes arbitrairement) la limite temporaire entre ta liberté et celle des autres en attendant un jugement sur le fond.
            C'est même plus complexe que ça parce que parfois te laisser en liberté risque de provoquer des conséquences même si tu es innocent. La limite entre tes libertés et celles des autres n'est pas forcément lié à ta probabilité de culpabilité.


            Alors effectivement, la décision du JDL est "forcément mauvaise" puisqu'elle va limiter quelqu'un sur la base de l'accusation d'un présumé innocent. Mais c'est aussi nécessaire pour sauvegarder les libertés d'autres, qui sont toutes aussi importantes. Il s'agit juste de regarder ce qui est potentiellement le plus grave/genant.

            Tu peux aussi te barder de principe sur la responsabilité de cette décision arbitraire (mais contradictoire), mais le principe même c'est de juger du potentiel et du risque. Vouloir imputer la responsabilité parce que un des deux risques en jeu s'est réalisé et pas l'autre ... ça me parait totalement crétin tant qu'il n'y a pas "faute" (et non, une mauvaise évaluation n'est pas une faute tant qu'elle a été menée avec tout le sérieux possible et les moyens adaptés).

            Pour ton dernier gros paragraphe, c'est un mélange étonnant de contradiction et de choses qui n'ont rien à voir :
            - Tu peux aussi raler contre l'inflation des peines mais ton dernier gros paragraphe ne fait pas grand chose à part encourager l'escalade.
            - Tu peux aussi raler contre les PV pour 1km/h de trop mais ça reviendrait soit à décaler la limite de quelques km/h avec le même problèmes plus loin ou faire une règle souple mais du coup arbitraire pile l'inverse.
            - Tu peux raler contre l'accusation de rebellion mais si tu ne peux pas en même temps refuser les mesures conservatoires (parce que refuser un controle en attendant qu'il soit jugé illégal c'est justement une mesure conservatoire)

            Après il y a un procès équitable qui a pour seule erreur de ne pas te contenter quant au résultat, etc.

            Bref, c'est facile de tout rejeter en bloc, je me contenterai de constater que tu rejettes mais que ce que tu acceptes en réaction non seulement ne résoud rien mais risque de faire empirer ce qui te gêne.
    • [^] # Re: oui mais non

      Posté par  (site web personnel) . Évalué à 8.

      Villepin apparement n'a pas été contraint de donner les clefs de ses DVD Cryptés.
      cf : http://linuxfr.org/~palm123/26104.html
  • # On s'en fout un peu du cryptage...

    Posté par  (site web personnel) . Évalué à 3.

    ... ben oui, ce qui fout le plus les boules dans cette histoire, c'est le fait que la Société Général enregistrait les messages (chiffrés ou non)...

    A voir si c'est bien légal ??? Est-ce que les employés sont au courant, ont donné leur accord ???

    Si oui, J. Kerviel a fait une grosse boulette (de plus, on pourrai dire...).
    • [^] # Re: On s'en fout un peu du cryptage...

      Posté par  . Évalué à 2.

      C'est pas forcément la Société Générale qui a enregistré, peut-être que ce courtier "expert en informatique" a laissé l'enregistrement automatique de ses conversations dans son client msn favori.
      Ces messages ne seraient apparus alors qu'au cours de l'analyse de ses ordinateurs.
      (Le plus dingue dans cette affaire puisque j'en parle c'est que d'après une déclaration de Kerviel, la messagerie interne qu'ils utilisent à la SocGen lui permettait de changer des entêtes afin de faire passer certains courriers pour des autorisations venant de ses supérieurs, à quand la généralisation des emails signés ?)
      • [^] # Re: On s'en fout un peu du cryptage...

        Posté par  (site web personnel) . Évalué à 3.

        (Le plus dingue dans cette affaire puisque j'en parle c'est que d'après une déclaration de Kerviel, la messagerie interne qu'ils utilisent à la SocGen lui permettait de changer des entêtes afin de faire passer certains courriers pour des autorisations venant de ses supérieurs, à quand la généralisation des emails signés ?)

        C'est une "fonctionnalité" de Outlook, si si... Je me suis déja fait avoir.
        Ceux qui me transférait la chose aussi, car ils ne le faisaient pas exprès.
        Ca provoque des situations cocasses :
        - Salut, tu as vu? je viens de t'envoyer une invit' pour demain
        - euh... Oui, j'ai recu une invit de quelqu'un pour demain, mais pas de toi... Du big chef. Qu'est-ce que tu racontes? Mais c'est vrai que c'était bizarre, le big chef me tutoyait... Ah.. OK.

        Ben oui, dans mon cas, quand tu transfère une invitation, c'est le nom de l'inviteur orignal qui est mis dans l'en-tête... Et tu ne vois pas qui a modifié la chose et écrit quelque chose de plus (ou supprimé). Et sans faire quelque chose de spécial.
        J'imagine que pour un mail il doit y avoir moyen de faire pareil (mais c'est moins évident alors...)
        • [^] # Re: On s'en fout un peu du cryptage...

          Posté par  (site web personnel) . Évalué à 2.

          > J'imagine que pour un mail il doit y avoir moyen de faire pareil (mais c'est moins évident alors...)

          Ce n'est pas vraiment moins évident, c'est le comportement par défaut d'eudora par exemple, le fait de retransmettre un message peut soit se faire par "redirect" qui ne change pas la plupart des champs de l'entête (dont le From) mais en rajoute, soit par forward.

          J'ai du mal à comprendre pourquoi on peut vouloir faire du redirect par contre...
          • [^] # Re: On s'en fout un peu du cryptage...

            Posté par  (site web personnel) . Évalué à 1.

            Ben, "redirect", c'est "bounce". Ca conserve tous es entetes originaux, modulos ceux que tu modifie volontairement.

            Utilité: revoyer un mail a quelqu'un qui l'a pas recu pour une raison x ou y (car tu as une copie dans "sent"), faire un .foward a la volee...

            Bref, tant de choses si simples a comprendre quand on utilise mutt (et où on se rend compte que le mail, c'est bidon).

            Ca permet aussi, justement, de refourguer un mail sans le saloper de moulte ">" a chaque transfert...
            • [^] # Re: On s'en fout un peu du cryptage...

              Posté par  (site web personnel) . Évalué à 3.

              > Utilité: revoyer un mail a quelqu'un qui l'a pas recu pour une raison x ou y (car tu as une copie dans "sent"),

              Si tu réexpédies un mail que tu envoies toi-même, pourquoi pas... Mais le mot rediriger ne décrit pas ce comportement.

              > faire un .foward a la volee...

              Comme les bounces du serveur, il s'agit d'un comportement automatique, pas d'un choix que fait l'utilisateur, je comprends que ce soit dans le protocole, pas qu'un utilisateur veuille le faire (ou que le premier bouton qui promet de faire suivre un mail utilise ce comportement).

              > Bref, tant de choses si simples a comprendre quand on utilise mutt (et où on se rend compte que le mail, c'est bidon).

              Ça veut dire quoi bidon ? Et je suis vexé de ne pas comprendre tant de choses simples alors que j'utilise mutt.

              > Ca permet aussi, justement, de refourguer un mail sans le saloper de moulte ">" a chaque transfert...

              Forward le fait très bien. (et moult sécrit moult). Mais je continue de penser que lorsque l'on fait suivre ou redirige un courrier (que l'on a lu), il est malsain de ne pas le signaler dans l'entête et le corps du message.
              • [^] # Re: On s'en fout un peu du cryptage...

                Posté par  (site web personnel) . Évalué à 1.

                Ça veut dire quoi bidon ? Et je suis vexé de ne pas comprendre tant de choses simples alors que j'utilise mutt.

                tu ajoute dans ton fichier .muttrc la ligne suivante :
                set edit_headers

                et tu vas voir que tu peux éditer les headers des mail que tu envoies et notament tu peu mettre absolument ce que tu veu dans from : ton adresse mail, une déclaration d'amour et même l'adresse mail de ton chef.

                Les mails ne sont pas bidon, mais par contre lorsque l'on reçoit un mail, à moins qu'il ne soit signé, on ne peut absolument pas savoir qui l'a envoyé.
              • [^] # Re: On s'en fout un peu du cryptage...

                Posté par  (site web personnel) . Évalué à 1.

                1/ Je me mets toujours en CC des emails que j'envois. Le bounce permet de renvoyer le mail comme si c'etait la premiere fois. (le forward a bien d'autres effets sur les headers... Pour t'en convaincre, envoie-toi un message, puis bounce le toi et forwarde le toi)

                2/ Bouncer un message permet de ne pas l'envelopper dans les headers de l'envoyeur, et donc de passer par d'autres règles de filtrage de mail. En gros, ca permet à l'utilisateur de "se faire passer pour le dernier relai SMTP", alors que le forward est un passage de message qui passe plus explicitement par la couche application. Pour moi, ca a du sens...

                L'application la plus répandue du bounce, c'est en fait les mailing-lists d'ailleurs... Heureusement que c'est pas du forward !


                3/ STMP est "bidon" dans le sens où tu peux en faire à la main par telnet, et forger ton premier mail en 1 minute montre en main. Tu t'appeçois que c'est un protocol extrèment simple, et m^eme pas garanti. Y'a d'autres protocoles de messages bien plus aboutis.

                4/ J'ai pas mis un "e" en trop à "moult", j'ai oublié un "s" à "moultes", n'en déplaise à certains.
      • [^] # Re: On s'en fout un peu du cryptage...

        Posté par  . Évalué à 5.

        Le plus dingue dans cette affaire puisque j'en parle c'est que d'après une déclaration de Kerviel, la messagerie interne qu'ils utilisent à la SocGen lui permettait de changer des entêtes afin de faire passer certains courriers pour des autorisations venant de ses supérieurs

        C'est pas spécialement un problème spécifique à la messagerie de la SG, c'est généralisable à tous les serveurs de mail, qu'on emploie Outlook, Thunderbird ou même un bon vieux telnet sur le port 25.
        C'est là où on se rend compte que les protocoles qui ont encore cours sur le net ont été créé pour une poignée de militaires et des universitaires, des gens responsables et identifiés quoi... tout le contraire d'un produit de masse.
    • [^] # Re: On s'en fout un peu du cryptage...

      Posté par  . Évalué à 6.

      Non seulement les mails et les historiques de messagerie instantanée sont enregistrées, mais aussi les conversations téléphoniques des traders (et c'est archivé pendant plusieurs années). C'est de notoriété publique donc on peut supposer qu'ils sont au courant.

      Il est bon de resituer le contexte : on parle ici de personnes qui font des deals de plusieurs millions en utilisant ces moyens de communication. Il est donc nécessaire de garder une trace de ces discussions ne serait-ce que pour avoir une preuve que le deal a eu lieu.
    • [^] # Re: On s'en fout un peu du cryptage...

      Posté par  . Évalué à 2.

      Oui, comme les ordres sont oraux, et que les bordereaux ne sont pas la source de toutes les transactions, l'enregistrement n'est pas permis, mais à ma connaissance obligatoire. Ca fait partie des bonnes pratiques bancaires.
      On peut noter d'ailleurs les notes de téléphone perso de M Kerviel : plus de 1000€/mois sur son portable perso, alors que sa banque lui fournit 14 lignes de téléphone...
      • [^] # Re: On s'en fout un peu du cryptage...

        Posté par  . Évalué à 7.

        Lorsque tu as des bonus de plusieurs centaines de milliers d'€ par an, et que ces derniers dépendent de bonnes informations que tu récupères éventuellement lors de tes nombreux contacts téléphoniques, 1000 € de téléphone par mois c'est un investissement rentable.

        Et il ne faudrait pas faire l'erreur de croire que tout le monde arrête de bosser en dehors des heures de travail, surtout lorsqu'il y a prime de résultat ou intéressement à la clé.

        Moi ça ne me choque absolument pas, au contraire, et si l'on en est rendu à nous jeter ce genre d'arguments accusateurs en pâture, c'est qu'il doit vraiment y avoir très peu d'éléments pour justifier cette mascarade publique.

        Au passage, je trouve que dans toutes cette affaire, un coupable a bien vite été désigné, et la présomption d'innocence complètement ignorée.
        • [^] # Re: On s'en fout un peu du cryptage...

          Posté par  . Évalué à 2.

          Moui, plutot d'accord pour la présomption d'innocence, ok.
          Pour le portable, je répète quand meme qu'utiliser un téléphone perso quand ta boite te paye tout un tas de bonus, dont surement un portable pro, c'est étonnant, surtout de la part de quelqu'un qui est censé rendre compte de ce qu'il fait. Or le portable pro, c'est aussi un moyen de fliquer ses employés.
          cette mascarade publique.
          Ben non, c'est une instruction française, normalement secrète et sereine...

          Au passage, je trouve que dans toutes cette affaire, un coupable a bien vite été désigné, et la présomption d'innocence complètement ignorée.
          Je reprends le fil cryptographie : M Kerviel devrait théoriquement etre considéré comme un gosse par ses directeurs et controleurs, ce qu'il fait ne devrait pas leur etre inconnu et ils ne devraient jamais le laisser sortir de son "bac à sable". On a déliré à un moment sur mél d'instruction aux employés que les employeurs pourraient effacer en cas de problème, cette enquète devrait etre l'occasion de regarder comment se passe ce genre de débordement, s'il s'avère que la hiérarchie était au courant. On pourrait regarder si les appels n'allaient pas tout simplement court-circuiter les liaisons normales employé-chef.


          p.s. : comment on fait l'accent circonflexe dans la boite de saisie?
          • [^] # Re: On s'en fout un peu du cryptage...

            Posté par  . Évalué à 3.

            Ben non, c'est une instruction française,

            La SG a dis que c'était lui en même temps que de porter plainte.

            Tous les journaux considère qu'il est coupable sans qu'il soit jugé.


            normalement secrète et sereine..
            Faut qu'on m'explique comment alors tout le monde connais son nom, et l'emploi du temps de ses 5 derniers mois*, qui est paru à la une de tous les journaux.

            *exagération bien entendu.
    • [^] # Re: On s'en fout un peu du cryptage...

      Posté par  . Évalué à 2.

      oui c'est légal
      tu t'imagines qu'un type qui gere les gros clients envoit un mail X achete tant d'actions a tel prix envois ses infos a un autre trader ?
      on appelle ça du delit d'initié
    • [^] # Re: On s'en fout un peu du cryptage...

      Posté par  . Évalué à 4.

      C'est plus que légal, c'est obligatoire même, en particulier pour la lutte anti-blanchiment.

      En salle de marchés, les seuls téléphones mobiles autorisés sont ceux fournis par l'employeur. Ces téléphones sont enregistrés par un système assez intéressant (un genre de man in the middle).

      Toutes les communications sont enregistrées, c'est écrit noir sur blanc sur chaque téléphone.

      Les mails sont enregistrés, les communications instantanées aussi. Tous les personnels sensibles y sont contraints et informés. S'ils refusent, ils iront bosser ailleurs.

      Par contre, il n'y a pas de micros dans les ascenseurs et à la machine à café à ma connaissance...
  • # Re:

    Posté par  . Évalué à 2.

    Je ne vois pas le problème.
    Ce n'était pas des mails personnels. C'était du boulot (et en plus avec le pognon des autres). Il est très normal que la justice y ait accès (chiffré ou non), du moins dans ce cas précis.
  • # qui

    Posté par  (site web personnel) . Évalué à 3.

    Qui ici utilise au quotidien des mails chiffrés, professionnellement ou pas ? (c'est une vraie question -- la seule fois ou j'ai essayé de chiffrer par gpg ça m'a saoulé de devoir entrer une passphrase a chaque mail envoyé -- et puis ça n'est pas vraiment compatible avec les moteurs d'indexation si pratiques, avec les webmails etc..)
    • [^] # Re: qui

      Posté par  . Évalué à 2.

      la seule fois ou j'ai essayé de chiffrer par gpg ça m'a saoulé de devoir entrer une passphrase a chaque mail envoyé
      j'utilise pas donc je sais pas mais je croyais que yavait des trucs qui gardent le mot de passe pour une "session" et ainsi ne te forcent pas à le retaper à chaque fois dans cette session.

      ça n'est pas vraiment compatible avec les moteurs d'indexation si pratiques
      il suffit que la base de données du moteur d'indexation soit sur un système de fichiers cryptés.
      • [^] # Re: qui

        Posté par  (site web personnel) . Évalué à 2.


        > > la seule fois ou j'ai essayé de chiffrer par gpg ça m'a saoulé de devoir entrer
        > > une passphrase a chaque mail envoyé

        > j'utilise pas donc je sais pas mais je croyais que yavait des trucs qui gardent
        > le mot de passe pour une "session" et ainsi ne te forcent pas à le retaper
        > à chaque fois dans cette session.


        Enigmail, l'extension de chiffrement via GPG pour Mozilla Thunderbird propose effectivement une option pour mémoriser sa phrase secrète pendant une certaine durée (cinq minutes par défaut).

        Par contre d'autres logiciels tels que Sylpheed ne proposent rien de ce genre et demandent effectivement une saisie par message envoyé.

        Personnellement, je ne trouve pas ça plus mal, ça oblige à mémoriser la phrase secrète et ça laisse parfois deux secondes de répit pour relire son message avant qu'il ne parte bêtement avec une faute ou un fichier attaché manquant.

        - Enigmail : http://enigmail.mozdev.org/home/index.php
        • [^] # Re: qui

          Posté par  (site web personnel) . Évalué à 2.

          Autre solution:

          j'ouvre un terminal
          je lance gpg-agent
          je lance mutt.
          il me demande une seule fois ma passphrase.
          Quand je pars (dîner, souper, fumer...) je ferme le terminal, et l'agent est tué. Simple et efficace.
    • [^] # Re: qui

      Posté par  (site web personnel) . Évalué à 3.

      > ça m'a saoulé de devoir entrer une passphrase a chaque mail envoyé

      Ah bon ? mauvais logiciel. gpg-agent, gnome-seahorse et d'autres agents retiennent ta passphrase et selon ta configuration la réutilise tous seuls.

      > et puis ça n'est pas vraiment compatible avec les moteurs d'indexation si pratiques, avec les webmails etc..

      Ah bon ? Si tu envoies un message chiffré gpg, seul ton correspondant pourra le lire, donc ce n'est pas vraiment indispensable d'en garder une copie que quoi que tu fasses tu ne sauras pas lire, c'est pourquoi les bons logiciels te proposent de conserver une copie en clair.

      C'est pour les mails reçus que ça peut te poser un problème, mais si ton mail doit être chiffré uniquement lors du trajet et que tu t'en fiches qu'il puisse être lu par quelqu'un assis devant ta machine, il n'y a pas de raison de ne pas le sauvegarder sous forme déchiffrée...
      • [^] # Re: qui

        Posté par  . Évalué à 4.

        c'est pourquoi les bons logiciels te proposent de conserver une copie en clair.
        Les bons logiciels proposent d'en garder une copie chiffrée vers soit-même.


        Perso je ne chiffre pas systématiquement mais uniquement si je sais que mon correspondant saura le lire. Par contre je signe toujours.
        • [^] # Re: qui

          Posté par  (site web personnel) . Évalué à 3.

          exact, ca sauve une copie chiffrée par soi-même.

          Il faut savoir que les cours de crypto ou de maths disent que la crypto qssymetrique utilise une paire de clef, mais qu'en pratique, dans des cas comme le courriel, on utilise en fait aussi souvent *deux* paires.

          Deux paires de clés :
          C’est dans ce cas que le concept de PKI commence à prendre du sens. S’il y deux paires de clés, c’est parce que celle privée de chiffrement doit éventuellement pouvoir être recouvrée (pour que toutes les données chiffrées d’un utilisateur ne soient pas définitivement perdues suite à un oubli de mot de passe ou une altération de la clé) et donc sauvegardée sur le serveur, et que la clé privée de signature doit, elle, rester rigoureusement en possession de l’utilisateur, ce qui est incompatible.
          (source: http://cryptosec.lautre.net/article.php3?id_article=1 en licence FDL)
    • [^] # Re: qui

      Posté par  . Évalué à 2.

      Qui ici utilise au quotidien des mails chiffrés, professionnellement ou pas ?
      Moi, entre le boulot et chez moi.... et quiconque qui m'a donné sa clé XD
    • [^] # Re: qui

      Posté par  . Évalué à 4.

      Les signer : tous mes courriels ou presque.

      Les chiffrer… J'aimerais bien, mais presque aucun de mes destinataire habituels ne pratique ces outils de chiffrement, donc n'a de clé publique pour que je chiffre les messages. :/

      Finalement, les signatures n'ont guère servi qu'à soulever des interrogations, des questions, et quelques explications.
      Explications qui ont un peu sensibilisées face au problème des messages qui transitent en clair, et dont il est difficile de s'assurer de l'identité de l'expéditeur, mais qui n'ont pas eu beaucoup d'effets plus « pratiques ».

      Bref, je n'utilise pas, mais ça ne dépend pas de moi.
  • # Le chiffrement, est-ce vraiment efficace ?

    Posté par  . Évalué à -2.

    Dans ce cas les montants mis en cause s'élèvent à 50 milliards. Vu les intérêts en jeu, le décryptage n'aurait pas posé de problèmes.

    De plus, je soupçonne que les clefs de session sont enregistrées à un moment sur le disque dur, cela est suffisant pour accélérer le décryptage.
    • [^] # Re: Le chiffrement, est-ce vraiment efficace ?

      Posté par  . Évalué à -2.

      -1 ! sans une explication.

      Cela ne plaît pas de dire que quand on met les moyens aucun chiffrement ne résiste ?
      • [^] # Re: Le chiffrement, est-ce vraiment efficace ?

        Posté par  . Évalué à 3.

        je t'ai pas moinssé, donc je sais pas.
        Mais 50 milliards c'est pas si énorme que ça. Regarde le budget de la défense américaine (je parle pas de celui de la NSA qui passe par un autre circuit que l'habituel).

        Ensuite, on conçoit des chiffrement pour qu'ils résistent à l'état de l'art publique. Si il suffisait d'aligner 50 milliards sur la table pour péter n'importe quel algo, crois moi que les gouvernement l'aurait déja fait!
        (c'est d'ailleur ce qu'essaie de faire les usa avec la NSA).

        En plus, ils reposent sur des hyptohèses de 128 bits. Les vrai parano chiffrent pas en 128 bits :)

        Ensuite, les clés de sessions sont stocké dans la ram. Dans le dur seulement si tu swap, et encore, tu vas pas swapper ca en premier.
        Bref, assez peu de chance que ca se retrouve sur le dur.
        • [^] # Re: Le chiffrement, est-ce vraiment efficace ?

          Posté par  . Évalué à 1.

          Des spécialistes de la sécurité m'avaient expliqué que pour réussir le chiffrement il faut être parano, tout le temps...

          Dans le cas qui nous intéresse, ce sont les conversations au travers de la messagerie instantanée qui semble avoir été utilisée. Dans ce cas, le chiffrement doit être continu, le programme est toujours dans la mémoire de travail et donc il sera fatalement swappé et donc les clefs de chiffrement avec. Dans ce cas, pas besoin de mettre des moyens fantastiques pour déchiffrer tout ça.
          • [^] # Re: Le chiffrement, est-ce vraiment efficace ?

            Posté par  . Évalué à 3.

            Dans ce cas, pas besoin de mettre des moyens fantastiques pour déchiffrer tout ça.
            Sauf si il chiffre sa swappe, ce qui n'est pas très dur à faire. Pour chiffrer ta swap tu peux meme mettre un mdp aléatoire a chaque démarrage, ça t'évite de le connaitre !
            (bon faut pas vouloir hiberner par contre).
            • [^] # Re: Le chiffrement, est-ce vraiment efficace ?

              Posté par  . Évalué à 1.

              "Faut être parano tout le temps !"

              Quel est le générateur aléatoire ? Est-il vraiment aléatoire ?

              Pour que les correspondances chiffrées ne soient pas déchiffrables, il faut que tous les composants de la chaîne soient fiables :
              - Système d'exploitation
              - Logiciel de chiffrement
              - logiciels de transports
              - bibliothèques utilisées par tous ces composants.

              Cela chez l'émetteur et chez le(s) destinataire(s) !

              Sans oublier que tout cela est servi par des humains.

              Donc pas besoin de BlueGene ( http://www.top500.org/system/8968 ) pour casser tout cela, un fin hacker limier sera tout aussi efficace.

              J'ai eu un -2 et un -1 ces arguments, vous permettront-ils de réviser vos jugements ?
              • [^] # Re: Le chiffrement, est-ce vraiment efficace ?

                Posté par  . Évalué à 1.

                je ne t'ai pas moinssé, si c'est ce que tu pense.

                Ensuite, si tu estime que c'est si "simple" de hacker un message chffré, parce que pleins de composants de la chaine sont "vulnérables". Je t'en prie, sors une attaque.

                -OS :
                L'OS n'a pas accès à la mémoire des autres processus : c'est gérer par le noyau.
                De plus l'OS et le noyau gère les permissions.
                Il faudrait donc soit avoir les bonnes permissions, soit pouvoir asser en ring0 et/ou utiliser strace.

                -Logiciel de chiffrement :
                Il s'agit d'un logiciel classique. Il doit respecter les normes. Il est toujours possible que le logiciel soit buggé, mais les composantes cryptogaphiques peuvent être prouvée semi-formellement.
                Elles sont même quelque fois intégré directement dans le noyau (partition chiffré,...)

                -Logiciel de transport :
                Il voit du contenu chiffré. Il n'interagit pas avec la des données clairs ou avec le processss. Aucun risque sur la sécurité du message chiffré sur cette brique.

                - bibliothèques utilisées par tous ces composants.
                Il ne faut pas tomber non plus dans le mythe du "bug partout tout le temps". Renvoi à l'OS vu que ça fait partie de l'os.


                un fin hacker limier sera tout aussi efficace.
                Si tu le crois, c'est bien.... mais ça a assez peu de chance de marcher. Ce n'est pas en répétant "y a des bugs partout".

                Mais si tu en es aussi persuadé, pourquoi n'écris tu pas un papier dessus ?
                Tu prend un client mail stock gérant la crypto sous une debian etch par exemple. Tu t'envoi a toi même un message chiffré, et tu indique comment tu as réussi à le casser.
                • [^] # Re: Le chiffrement, est-ce vraiment efficace ?

                  Posté par  . Évalué à 2.

                  Je maintiens ma théorie, il est quasiment impossible dans la durée à des non experts sur du matériel standard de conserver des communications secrètes par chiffrement. L'ensemble à mettre en œuvre est complexe et fatalement à un moment, un des opérateurs fera une erreur (pour ne pas en faire, une équipe d'experts est nécessaire de chaque côté).

                  Ensuite, dans la cas de la Société Générale, les enquêteurs ont saisi les matériels, ils ont donc tout le temps d'en analyser le contenu sans passer par le système d'exploitation de la machine, sans avoir les contrainte de droits d'accès et les limitations du système quand il est en marche, il est par exemple possible de faire une analyse des traces magnétiques sur le disque dur... et donc de reconstituer le swap dans le temps.


                  De plus sur un bureau de banque, je ne pense pas que les systèmes généralement utilisés passent la barre EAL2 des critères communs (il y en a peut-être au delà, mais ce ne seront pas les outils de bureautique). Donc Jérôme Kerviel n'aurait pas pu faire du chiffrement quasiment indécryptable avec les matériels qui lui étaient fournis.
                  • [^] # Re: Le chiffrement, est-ce vraiment efficace ?

                    Posté par  . Évalué à 1.

                  • [^] # Re: Le chiffrement, est-ce vraiment efficace ?

                    Posté par  . Évalué à 1.

                    et donc de reconstituer le swap dans le temps.
                    Tu as trop vu les experts toi. D'autant plus si la swap est chiffrée.

                    Tu sais ce que ca coute de faire une recherche de fichier après un vrai formatage ? un désassemblage total du disque, avec nouvelle tête de lecture, bien entendu ça en atmosphère controlé.

                    Et c'est sans compter la capacité largement supérieur à un fs normal qu'a la swap de réecrire sur le mêmes secteurs



                    Pour l'EAL, avoir jusqu'au 4 c'est "facile".

                    EAL1 : testé fonctionnellement
                    EAL2 : testé structurellement
                    EAL3 : testé et vérifié méthodiquement
                    EAL4 : conçu, testé et vérifié méthodiquement
                    EAL5 : conçu de façon semi-formelle et testé
                    EAL6 : conception vérifiée de façon semi-formelle et système testé
                    EAL7 : conception vérifiée de façon formelle et système testé


                    , un des opérateurs fera une erreur (pour ne pas en faire, une équipe d'experts est nécessaire de chaque côté).
                    Je t'en prie, je ne suis pas un "expert" au sens propre, donc ce que je te propose, je chiffre un disque. Je t'envoie l'os avec lequel je l'ai chiffré et le disque , et tu me le déchiffre .
                    Ca a l'air d'être simple vu ce que tu nous dis.
                    • [^] # Re: Le chiffrement, est-ce vraiment efficace ?

                      Posté par  . Évalué à 1.

                      Je n'ai pas dit que c'était simple de décrypter un disque mais dans le cas dont on parle, il est difficile de faire du chiffrement de qualité et par conséquent le travail de décryptage sera d'autant plus facilité.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.