Évite de te focaliser sur la comparaison: comparaison n’est pas raison.

La comparaison ici est pour souligner un élément logique équivalent, pour t’aider à comprendre la logique:

• dans le cas de l’exemple du revolver:
  
  on a un outil avec un aspect positif (faire un trou) utilisé par les “gentils” et un aspect négatif (tuer) utilisé par les “méchants”
  
  et on trouve une solution où l’aspect positif peut être utilisé sans l’aspect négatif.
  


• dans le cas de l’exemple du E2E:
  
  on a un outil avec un aspect positif (protéger sa vie privée) utilisé par les “gentils” et un aspect négatif (se cacher de la justice) utilisé par les “méchants”
  
  et on trouve une solution où l’aspect positif peut être utilisé sans l’aspect négatif.
  
  
  
  Dans mon exemple, initialement, la foreuse n’existe pas, donc, le revolver n’est pas spécifiquement fabriqué pour menacer.
  
  
  
  Je trouve l’exemple du couteau incorrect: si le couteau ne coupe pas, il ne peut pas être utilisé dans son aspect positif.
  
  La comparaison permet justement de souligner ça: on a une solution où l’aspect négatif disparaît totalement. Le E2E n’est pas un couteau, ou alors, c’est un couteau avec une mitraillette montée dessus: le E2E permet de faire des choses négatives (se cacher de la justice) alors que ces choses négatives ne sont PAS indispensables pour faire ce qu’on veut faire de positif (protéger sa vie privée).
  
  
  
  
  
    j’ai du mal à avoir suffisamment confiance dans un système de
  
  cryptographie qui admet  des golden keys. Je préfère que tout le monde
  
  puisse utiliser des systèmes cryptographiques sans backdoor.
  
  
  
  J’imagine que c’est pareil pour les Ayant Droits quand ils font face au piratage: ils ont été éduqué à concevoir un élément comme indispensable et “bien”, et ils n’arrivent pas à remettre ça en question.
  
  Ici, comme discuté avec Helmutt, il n’y a pas de vrais arguments qui permettent de dire que les golden keys sont dangereuses: la seule façon qu’elles soient dangereuses, c’est si on compromet le système, mais compromettre le système est désastreux dans TOUT les systèmes.
  
  Un golden key peut être dangereuse en soi, mais ça ne veut pas dire qu’elle l’est dans toutes les circonstances.
  
   
  
  Ma question initiale était d’ailleurs: est-ce que ce système est un système avec backdoor ?
  
  Pour moi, ce n’est pas vraiment une backdoor: personne ne peut en deux clics arriver au milieu des infos et faire ce qu’il lui chante.
  
   

Dans ce cas, Signal lui aussi est voué à l’échec: il ne suffit qu’il n’y ait qu’une seule personne de malveillante: celui qui gère le serveur qui fait les mises à jour du logiciel.



Si tu utilises l’argument “l’humain est corruptible”, tu dois l’utiliser dans tout les cas que tu compares: si tu ne peux faire confiance à personne dans le système que je propose, tout les autres systèmes sont forcément pires, car dans le système que je propose, il y a un contre-pouvoir interne: chacune des personnes ayant reçu une clé a tout intérêt à dénoncer les agissements des autres. Ce contre-pouvoir interne n’existe pas dans ce qui existe actuellement.



Après, si on met en place un tel système, il suffit de donner les clés à Amnesty International, The Guardian, Wikileaks, … Ceux-ci n’ont pas revendu les informations qu’ils avaient à leur disposition (information qu’ils avaient, car il est indispensable de vérifier que les documents reçus ne sont pas des faux) alors que ça intéressait énormément de monde.

Bref, l’argument du “monde anti-bisounours” est tout aussi stupide que l’argument bisounours: il faut être stupide pour faire confiance à quelqu’un aveuglement, mais il faut être tout aussi stupide pour penser que tout le monde est toujours motivé pour faire le mal et violer la vie privée.





ps: si tu te souviens d’un lien pour les propos de Zimmerman sur ce sujet, je suis preneur. Moi, je pensais plutôt aux idées de Chaum (le type qui a inventé le concept “en oignon” reprit par Tor)

ouais enfin le code est ouvert sur signal, et vérifiable.

du coup le mec qui pousse des MAJ foireuses, ça risque de se voir assez vite.





Premièrement, l’exécutable mis-à-jour est compilé, donc, on peut voir les sources, rien ne prouve que l’exécutable mis-à-jour est issu exactement de ces mêmes sources. Pour vérifier ça, il faut recompiler dans exactement les mêmes conditions (une option d’optimisation du compilateur différente, et le binaire sera différent), et c’est loin d’être trivial.

 

Et le type qui fait pression pour obtenir les clés, là, ça ne se verra pas, sans doute ?

D’autant plus que les autres personnes qui possèdent les clés ont tout intérêt à dénoncer ce genre de comportement.





je vois pas pourquoi chacun aurait intérêt à dénonces les agissements des autres. quel est l’intérêt?





Quel est l’intérêt d’Amnesty International de ne pas dénoncer (ou vendre) les infos sur les dissidents qui les contactent à la Chine ?

Quel est l’intérêt de FDN de ne pas stoquer les informations de leurs utilisateurs et les donner à la police ?

Quel est l’intérêt des créateurs de Signal de ne pas avoir créé une porte dérobées sur leur logiciel (sur la version compilée distribuée, par dans les sources).

Quel est l’intérêt des paquageurs d’Ubuntu de ne pas inclure des portes dérobées dans les paquets qu’ils distribuent ?



Avec un tel raisonnement, AUCUNE solution n’est viable.



L’intérêt, c’est simplement que ces gens ont eux-mêmes envie d’avoir une vie privée, pour eux et leur entourage, et ils n’ont absolument aucun intérêt à foutre en l’air leur réputation (qui leur permet d’avoir un poste), de risquer des représailles juridiques (je doute que tu puisses faire pression sur n’importe qui pour qu’il te donne les moyens d’espionner quelqu’un sans pouvoir être condamné) et de foutre en l’air un système dont ils ont en pratique eux-mêmes besoin et qu’ils défendent idéologiquement.

 



(demande à un russe s’il considère Amnesty comme une “personne” de confiance, ou un américain avec Wikileaks)



Tu n’as PAS à avoir confiance dans tout les détenteurs de clé, juste dans une minorité, c’est ça l’astuce.

Comme tu le dis, il n’existe AUCUNE personne dont tout le monde à confiance. C’est pour ça que ton raisonnement est stupide: tu fais 100% confiance à une seule personne (à moins que tu ais construit ton smartphone toi-même, mais dans ce cas, tu n’as personne à qui communiquer).

Ici, le principe, c’est que tu as l’inverse d’un système à maillon faible: la seule façon pour le système de ne pas fonctionner, c’est que TOUT les détenteurs violent ta confiance. Au final, la confiance totale est celle que tu accordes au détenteurs auquel tu fais le plus confiance.

 

Si tu n’aimes pas Signal, remplace le nom par n’importe quel autre et le problème sera le même: à moins que tu crées ton propre logiciel et que tu le donnes à tout tes correspondants, tu continues à faire confiance aux créateurs de ton logiciel et du logiciel de ton correspondant. (oh, et n’oublie pas de créer aussi toi-même ton smartphone pièce par pièce ainsi que tout les logiciels dessus. Vu qu’un détenteur de clé n’a aucun intérêt à violer ta vie privée, un constructeur de smartphone aussi)



Du coup, si tu remets en cause la confiance dans un détenteur de clé du système que je propose, alors, soit tu es un gros crétin, soit tu dois remettre en cause la confiance dans le créateur du logiciel, et du coup, ton système n’est pas plus sécurisé que le mien.



Bref, ton argument de la confiance est tout aussi problématique (et est même plus problématique) dans ton cas que dans le mien.

(à vrai dire, dans mon système, tu dois aussi utiliser un logiciel, donc, le problème est le même. Mais tu ne peux pas critiquer le concept des clés multiples sous prétexte que c’est troué alors que tu utilises toi-même des outils qui sont encore plus troués.)





 quant à te répondre sur le fait que la seule chose que le E2E apporte

c’est de permettre aux méchants de se cacher de la justice, c’est

vendredi hein. ^^



Et bien explique moi ce que E2E permet et que mon système ne permet pas. Et ne va pas répondre: la vie privée, car si mon système ne permet pas la vie privée, alors, le E2E non plus (car si tout le monde est méchant et va secrètement essayer de violer ta vie privée, tu es déjà compromis: tout les logiciels que t’as installé ont installé des key-loggeurs, sans même parler de ton hardware).

 



(sinon, bien sur, ce protocol n’existe pas. Mais certains y pensent, comme Chaum, le type qui a inventé le concept de routage en oignon, ou Zimmerman. Mais bien sur t’es plus malin que tout ceux-là)

Tiens, au fait, pour rebondir sur le fait qu’un tel système n’existe pas encore: est-ce que tu t’es demandé pourquoi ce concept est défendu (ou du moins envisagé) par des gens comme Zimmerman ou Chaum et pas par des politiciens ?



La réponse est que ce système est très mauvais pour les puissants.

1. tant que la cryptographie permet de cacher les activités des “méchants”, les politiciens ont un argument pour faire pression sur tout les systèmes qui défendent la vie privée, dans le but d’accéder à cette vie privée même dans les cas non-“méchants”. Si on a un système qui permet la vie privée aux non-“méchants” mais qui coupe sous le pied l’argument “terroriste/pédophile”, ils ne peuvent plus mettre en place leur boîtes noires hors du contrôle citoyen.
   


2. découpler un système garantissant la vie privée tout en permettant les enquêtes policières est mauvais pour eux: ils ont eux-mêmes bcp de trucs à cachés, et ils ne veulent pas que la justice s’en mêle. Ils utilisent donc eux-mêmes des systèmes chiffrés qui ne peuvent pas être atteint par la justice. Si demain on a un système garantissant la vie privée mais permettant les enquêtes, ils auront du mal à justifier qu’ils n’utilisent pas celui-ci.
   


3. les entreprises elles-mêmes ont aussi intérêt à défendre une zone où les règles juridiques locales n’ont plus court: dans le réseau d’Apple, Apple a la golden key, et écrit lui-même les règles. C’est le rêve d’un bon libertarien: les démocraties ne servent plus à rien, ce sont les entreprises qui décident des règles.
   


4. finalement, la défense de la vie privée reste aux mains des puissants: soit des politiciens qui font pression sur les entreprises qui fournissent des éléments qui peuvent être utilisé pour espionner (pas que le logiciel de messagerie, mais aussi l’OS, l’hardware, …), soit des grands groupes qui ont la majorité des communication. Avec le concept que je cite, on crée une association citoyenne (à la façon d’Amnesty Internationale), créé pour et par les citoyen, avec une charte qui garantit la transparence et les protocoles de contrôle.
   
    

 Quels seraient les moyens de contrôles que l’on pourrait exercer en tant

que citoyen pour nous assurer que ces golden keys soient utilisés à bon

escient ?  Comment serait choisi les détenteurs ? Sur quels critères ?

Par qui ? Par rapport à quels lois ? Quels seraient leurs droits ? Quels

seraient leur devoirs ? On est plus sur un problème technique là mais

sur un problème de gouvernance assez majeur. 





L’utilisateur choisira lui-même le réseau auquel il fait confiance.

On aurait ainsi un premier réseau de, disons, 5 clés, géré par 5 organismes citoyens: A, B, C, D et E.

Ceux-ci auront signé une charte préalable, définissant quels sont les critères qu’ils reconnaissent comme valides pour transmettre les données. Par exemple, il est assez simple d’imposer le critère d’une demande d’un juge, ce qui empêche déjà la surveillance illégale. Et il est simple également d’ajouter les critères de respect des droits de l’homme, comme le fait Amnesty, par exemple. Et ainsi que des critères de transparence (toutes les demandes seront rendue publique après 1 an, par exemple)

L’utilisateur pourra alors choisir d’utiliser ce réseau ABCDE.

Si l’utilisateur n’est pas d’accord ou n’a pas confiance, il pourra créé lui-même son propre organisme citoyen, disons F, avec sa propre charte. Il pourra s’associer avec G, H, I et J qui partagent la même charte.



Au final, on peut donc avoir plein de réseau, du plus strict au plus laxiste. C’est ensuite aux gouvernements de choisir à quel point ils tolèrent le réseau ABCDE, FGHIJ, … Tout comme c’est aux gouvernements de choisir à quel point ils tolèrent n’importe quel organisme, allant de Amnesty International jusqu’aux associations nationalistes ou aux sectes.

Les faits prouvent que les gouvernements ne peuvent pas réellement s’opposer à Amnesty International ou à The Guardian parce qu’ils n’ont pas d’arguments pour montrer que leurs intentions ne sont pas dans le sens du respect de l’être humain ou de la démocratie.



On n’est en effet plus sur un problème technique, et c’est souvent là que les techniciens perdent pieds: ces problèmes de gouvernance existent et ont existé depuis la nuit des temps, et les solutions existent déjà: il suffit de faire comme on a toujours fait: créer un réseau citoyen, et laisser les citoyens décidés de qui sont les “gentils”.





Je ne crois pas qu’il soit possible de créer des protocoles qui

permettent d’assurer un échange sécurisé pour les gens qui respectent

pas la loi tout en cassant les conversations chiffrés des gens qui ne la

respectent pas.



Cela n’existe pas, tout comme il est impossible de créer une serrure qui empêche réellement quiconque de rentrer. Cela ne veut pas dire que lorsque je ferme ma porte, la police peut rentrer chez moi. Simplement, si elle fait ça, elle démontre, aux yeux de tous, qu’elle ne travaille pas pour le bien commun.

Avec le concept dont je parle, la défense de la vie privée sera dans les mains d’individus qui ont tout intérêt à la défendre. Et le fait qu’il y a de multiples acteurs permet de choisir le réseau qui a un bon contrôle interne, c-à-d celui où tu sais que si le détenteur de la clé X fait une connerie, le détenteur de la clé Y ne va pas hésiter à sonner l’alarme.

L’argument bidon d’hellmut, c’est que de tel acteur n’existe pas, mais ça veut dire que tout les acteurs du monde sont donc indigne de confiance et que donc tout est déjà fichu. Mais en réalité, on constate que de tels acteurs existent.



De nouveau, j’ai l’impression que les techniciens ne font que découvrir ça. Pourtant, c’est un modèle qui existe depuis la nuit des temps, les techniciens sont juste incompétents dans ce domaine pour se rendre compte de la réalité.





Et puis si les clés se font volés ont fait quoi ? Tout le système est apte à être déchiffré par n’importe qui. 





La seule façon, c’est de voler toutes les clés en même temps, ainsi que toutes les données stoquées (ce qui risque de ne pas passer inaperçu). Mais si quelqu’un est capable de faire ça, il est d’autant plus capable de corrompre n’importe quel élément de ton système traditionnel. Pourquoi va-t-on se casser le cul à hacker N ordinateurs, plutôt que de simplement hacker celui qui s’occupe de la mise-à-jour du logiciel le plus utilisé pour lui ajouter une back door.

(on peut aussi rechiffrer tout les mois, ce qui implique que des données volées en janvier seront inutilisables avec une clé volée en février)



On notera que “demander à voir le contenu d’un message qu’on sait compromettant” n’est pas la même chose que “demander à voir le contenu de tout les message pour y trouver quelque chose de compromettant”.

C’est le premier que fait ce système. Le politicien Y est accusé de malversation, on fait une demande pour son ID et une demande pour tout les messages ayant cet ID, demande faite par un juge sur base des accusations (dans ce cas, ces accusations peuvent même être publiques, donc, les détenteurs des clés peuvent être transparent).

Par contre, on ne peut pas demander “tiens, j’aime pas les gens qui disent ‘chocolatine’, je veux créer une liste de noms de ceux qui font ça pour pouvoir aller les arrêter”. Si tu veux faire ça, tu dois TOUT voler, et ça, ça ne passe pas inaperçu.





 Alors oui c’est dur, oui c’est à la porté de tout le monde mais c’est

bien plus simple à contrôler qu’une espèce de gouvernance opaque et

tentaculaire. Je préfère une multitude de distributeurs que je peux

mettre en concurrence sur l’implémentation d’un protocole, plutôt qu’un

protocoles troué par conception et dont la responsabilité, sous la forme

d’un consortium, est très centralisé.



Je pense que mes réponses, ici, montrent que ta vision de l’implémentation du concept dont je parle est très réductrices, et qu’une “espèce de gouvernance opaque et tentaculaire” n’est en rien une fatalité.





 Et pour ma part ils iront se brosser et si un jour je me retrouve dans

une situation où la loi m’oblige  d’implémenter ce genre de protocole

pourri chez les clients bein j’arrêterai la sécurité informatique pour

faire de la pizza car tout ça n’aura plus de sens.



C’est intéressant de voir qu’un tel concept, qui a été reprit par Chaum et Zimmerman, est maintenant décrit comme un outil du gouvernement, par le gouvernement.

L’idée, c’est simplement de créer des organismes citoyens auquel le gouvernement doit se soumettre lorsqu’il veut accéder à des données privées.

Cela me semble très très sain (bien plus sain que de jeter le bébé avec l’eau du bain en acceptant le secret de toutes les malversations. Au final, ce sont les puissants qui y gagnent), et cela donne du pouvoir au peuple.

C’est étrange de voir ça tourné à l’envers: cet outil, c’est toi et moi qui décideront de comment il fonctionne: on choisira nous-mêmes à qui ont fait confiance, et si il n’y a personne, on créera notre propre réseau. Si le gouvernement peut empêcher ça, alors, le gouvernement peut également empêcher le E2E.