Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Pour James Baker du FBI, « le génie du chiffrement est sorti de sa bouteille »

Une dure réalité

Pour James Baker du FBI, « le génie du chiffrement est sorti de sa bouteille »

Le 05 novembre 2015 à 13h00

James Baker, conseiller général du FBI, était hier à une conférence sur la cybersécurité. Accompagné d’autres intervenants importants, il a brossé un portrait général de la sécurité, du chiffrement et des différentes facettes d’une équation délicate à résoudre. En définitive, il estime que ce sera au peuple américain de choisir s’il veut être espionné ou non.

Aux États-Unis, un faisceau particulier de conséquences a débuté avec les révélations d’Edward Snowden sur l’état de la surveillance et de l’espionnage aux États-Unis. Les activités de la NSA, placardées au grand jour, ont provoqué diverses réactions, notamment sur le plan technique avec une montée en flèche de l’utilisation du chiffrement. Jusqu’à ce qu’Apple et Google notamment fassent de cette technologie un cheval de bataille pour leurs plateformes mobiles, au grand dam de James Comey, directeur du FBI.

Les révélations ont poussé le chiffrement, qui a poussé à son tour l’ensemble des forces de l’ordre à s’interroger sur la faisabilité tant des enquêtes que de la poursuite de la surveillance elle-même. La principale inquiétude, comme en témoigne actuellement un procès dans lequel Apple a été invitée à donner son avis, est que les enquêtes criminelles soient bloquées à cause de terminaux mobiles au chiffrement trop complexe à contourner. Un contexte qui avait un temps fait réfléchir la Maison Blanche à des « portes dérobées officielles » dans les mesures de chiffrement, idée finalement abandonnée… mais dont le spectre n’est jamais très loin.

Le délicat équilibre entre vie privée et sécurité

Hier se tenait la conférence annuelle de l’ACSC (Advanced Cyber Security Center), à laquelle participait notamment James Baker, conseiller général du FBI. Il a souhaité aborder l’ensemble de la question du chiffrement, et ce de manière beaucoup plus consensuelle et récapitulative que ce à quoi le Bureau était habitué jusque-là. Comment conjuguer le chiffrement, la vie privée et la sécurité publique ?

Pour Baker, le FBI est une émanation du peuple américain et il en est donc le serviteur, comme l'indique Ars Technica. Mais ce même peuple doit prendre en compte une conséquence directe de l’arrivée globale du chiffrement un peu partout : les enquêtes ont parfois de grosses difficultés à avancer. Le processus n’a pas changé : le Bureau demande un mandat à un juge pour procéder à l’extraction de données. Mais ce processus échoue parfois, même s’il existe d’autres moyens d’obtenir des informations.

Contourner le chiffrement par le cloud

C’est ici qu’entre en piste le cloud. Oui les enquêteurs peuvent être frustrés par des données locales bloquées sur un terminal, mais ces mêmes informations peuvent avoir un autre point d’accès. La grande majorité des smartphones sont connectés en permanence et sont liés à des environnements de synchronisation chez Apple, Google ou Microsoft. L’idée est à chaque fois identique : l’utilisateur doit pouvoir accéder à ses données depuis un simple navigateur. Du coup, si les données sur un iPhone ne sont pas accessibles, elles le seront peut-être dans le compte iCloud. Et cette fois, l’impossibilité de contourner le chiffrement n’aura pas d’importance.

La récupération des données dans le cloud tombe bien entendu à plat dès qu’un utilisateur utilise des applications sans synchronisation ou qu’il a désactivé cette dernière sur l’ensemble des fonctionnalités. James Baker indique que les enquêteurs doivent se débrouiller, et qu’il devient forcément tentant de faire voter des lois qui obligeraient l’ensemble des entreprises à introduire des solutions à ce problème, comme les fameux fragments de clés dont il avait été question cet été.

Clés fragmentées : une solution impraticable

Comme le rapportent nos confrères, le conseiller du FBI semble clairement s’être fait une raison sur ce point : « Il est tentant d’espérer que, par magie, l’extraordinaire secteur technologique que nous avons aux États-Unis peut trouver une solution, c’est peut-être un point simplement trop grand à construire. C’est peut-être scientifiquement et mathématiquement impossible ». L’avis d’Eric Wenger, directeur de la cybersécurité et de la vie privée chez Cisco, est nettement plus tranché : « Plus le système est complexe, plus il est difficile à sécuriser. Je ne vois pas comment vous pourriez développer une solution basée sur des clés, qui sécurise les choses comme nous le souhaitons sans créer en même temps une grande dose de complexité dans la capacité à donner accès au gouvernement ». Une question de beurre et d’argent du beurre, en somme.

Et si tous les pays se lançaient dans cette voie ? Pour Susan Landau, professeur de cybersécurité à l’institut polytechnique de Worcester, ce serait impossible : « La complexité d’avoir 200 nations, chacune avec son accès aux clés, est simplement inimaginable ».

Il est selon ces experts impossible de marier l’idée d’une sécurité et d’un chiffrement efficaces avec un accès simple par les forces de l’ordre. Toute tentative de contournement se solderait par un affaiblissement de la sécurité, alors même qu’elle joue un rôle crucial. Une entreprise pourrait par exemple se faire dérober de la propriété intellectuelle. Et les enjeux économiques du monde professionnel sont également en jeu, surtout quand on considère par exemple que plus de la moitié du chiffre d’affaires de Cisco provient d’autres pays.

« C’est la réalité, nous devons l’accepter »

Enfin, devant la possibilité pour les terroristes de mieux se protéger grâce à un chiffrement plus répandu, les avis du FBI et des autres experts s’éloignent. Baker estime ainsi que laisser ce chiffrement progresser comme il le fait actuellement revient à rendre les criminels pratiquement invisibles pour la loi. Susan Landau n’est pas d’accord : une hausse de la difficulté n’équivaut pas à une impossibilité. Elle possède une anecdote amusante à ce sujet, une personne de la NSA lui ayant dit un jour : « Écoutez, la loi en cas de mandat pour une mise sur écoute nous donne le droit de collecter l’information, elle ne dit pas que ça devrait être facile ».

Dans tous les cas, le FBI semble s’être fait une raison, estimant selon Baker que « le génie du chiffrement est sorti de sa bouteille » et que cette technologie est « largement disponible dans le monde ». Il a ajouté : « C’est la réalité, nous devons l’accepter ». Cela étant, si un tel avis montre une évolution profonde de la manière de considérer le chiffrement, le terrain juridique sera peut-être amené à changer dans le futur. Il suffit de se rappeler comment les attentats du 11 septembre ont puissamment modifié les lois américaines relatives à la sécurité.

Commentaires (142)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Et donc ?

votre avatar

Bah pareil qu’avant mais maintenant on le sait !

votre avatar

 Ben c’est un bon résumé de la situation



Version TLDR: “bon ok on va pas empêcher les gens de chiffrer, car c’est nécessaire. Exit aussi le double chiffrement avec utilisation de clefs d’états. On va juste devoir mettre les moyens pour apprendre à casser tout les chiffrements”

votre avatar

Enfin, les difficultés soulevées par le chiffrement restent très relatives.



Certes,le cryptage de tes données peut rendre toute tentative de piratage très difficile.

Mais, comme pour tout système, à quoi sert-il de vouloir casser une porte d’entrée hyper-résistante quand récupérer la clé te demande bien moins d’efforts?



Et la faiblesse est souvent là, les données sont protégées, la clé pour protéger ces données, elle, l’est beaucoup moins.

votre avatar

Le problème est que dans le cas du chiffrement introduit par Apple et Google ils ne possèdent pas la clé.

votre avatar







Vincent_H a écrit :



Le problème est que dans le cas du chiffrement introduit par Apple et Google ils ne possèdent pas la clé.





Parce que dans le cas de tous les autres chiffrements, ils auraient déjà les clés ?


votre avatar

Et ça ne change rien.

La clé est sur le terminal téléphonique, souvent peu protégé et piratable.



 On change juste la méthode d’action au final.

votre avatar







js2082 a écrit :



Et ça ne change rien.

La clé est sur le terminal téléphonique, souvent peu protégé et piratable.



 On change juste la méthode d’action au final.





C’est la méthode de chiffrement qui est sur la machine, pas la clé, sur un iPhone c’est du AES 256, bon courage pour casser une clé privé.


votre avatar

@js2082: Tu peux être plus précis? je vois mal avec quelle facilité tu peux avoir cette clé, comment est-ce que tu procèderais?

votre avatar

Pour les moyens :

Soit on révolutionne les maths, on fait une nouvelle découverte sur les nombres premiers rendant inopérant le chiffrement RSA.

Soit ça implique des ordinateurs quantiques qui te retrouve la clé privé d’un seul coup.



Dans les 2 cas, je crois que l’on aura sûrement quelque chose de plus grave à s’inquiéter que notre “simple” vie privé. Dans les 2 cas, c’est presque tous les systèmes chiffrés qui tombent. La sécurité des communication entre les banques tombe, SSL devient inutile…

votre avatar

Si les USA arrêtaient leurs conneries à travers le monde, il y aurait certainement moins de terroristes déjà.

votre avatar







Vincent_H a écrit :



Le problème est que dans le cas du chiffrement introduit par Apple et Google ils ne possèdent pas la clé.









Zyami a écrit :



C’est la méthode de chiffrement qui est sur la machine, pas la clé, sur un iPhone c’est du AES 256, bon courage pour casser une clé privé.





NOOOOOOOON ne le relancer pas… Il vas repartir comme quoi Apple crée des backdoor pour que la NSA récupère la clé! :‘(


votre avatar







tazvld a écrit :



Pour les moyens :

Soit on révolutionne les maths, on fait une nouvelle découverte sur les nombres premiers rendant inopérant le chiffrement RSA.

Soit ça implique des ordinateurs quantiques qui te retrouve la clé privé d’un seul coup.



Dans les 2 cas, je crois que l’on aura sûrement quelque chose de plus grave à s’inquiéter que notre “simple” vie privé. Dans les 2 cas, c’est presque tous les systèmes chiffrés qui tombent. La sécurité des communication entre les banques tombe, SSL devient inutile…







Genre par exemple les nombres premiers décimaux négatifs ? ^^


votre avatar







FunnyD a écrit :



J’aurais plutôt pensé aux nombres premiers à virgule.







Quelle est la différence entre un nombre décimal et un nombre à virgule ? <img data-src=" />


votre avatar







FunnyD a écrit :



le problème du cloud est que l’on dépend d’un tiers (généralement)







A quel niveau ?



Pake forcément en informatique, on dépend toujours d’un tiers.


votre avatar

Tu sais , concernant le chiffrement on en parlé avec un collègue gendarme, vers les années 2000. Lui utilisait “snow tiger”, il y avait une rafle, à cet époque.



Il me disait “tout le monde va chiffrer , on ne pourra plus faire nos enquêtes pour protéger les gens honnêtes ….” ça laisse songeur n’est ce pas ?



On en est où en 2015 ? …. bingo.



La sécurité n’est PAS la solution (en tout cas moi j’ai baissé les bras) : le chiffrement encore moins. C’est dingue cette capacité qu’à l’être humain de ne voir et d’analyser que les conséquences d’un problème : jamais de remonter aux fondements du problème !

votre avatar

Êtes vous prêts pour cela :



youtube.com YouTube… moi pas, je suis trop vieux pour cela.

votre avatar







eliumnick a écrit :



Quelle est la différence entre un nombre décimal et un nombre à virgule ? <img data-src=" />





fr.wikipedia.org Wikipedia<img data-src=" /> mais je n’ai pas tout compris <img data-src=" />





eliumnick a écrit :



A quel niveau ?



Pake forcément en informatique, on dépend toujours d’un tiers.





ben non, si tu stockes tout en local et que tu crées toi même ton OS, tes programmes, etc…. <img data-src=" />


votre avatar

Le fond du problème c’est l’humanité, mais j’évite de remonter aux fondements d’un humain… généralement c’est un coin obscur qui ne sent pas bon …

votre avatar

Non. non … juste non.



En 90’ on faisait des lan partie on s’éclatait

des salles de 15 gars du boutonneux au zicos (comme moi). Tous en train de s’affronter virtuellement , sans internet , juste heureux de partager ces moments fabuleux avec pizza et coca (déjà le coca … pfff) et binouse.



Il n’y a avait pas de cloud , de live etc …



je peux vivre sans le web chez moi, j’ai mon nas (serveur de fichier) et mon dépot debian, la base wikipedia (90go) : si ca coupe on peut installer , jouer, travailler sans le moindre souci.

votre avatar







FunnyD a écrit :



fr.wikipedia.org Wikipedia<img data-src=" /> mais je n’ai pas tout compris <img data-src=" />



ben non, si tu stockes tout en local et que tu crées toi même ton OS, tes programmes, etc…. <img data-src=" />







Et que tu as aussi créé tout ton matériel informatique <img data-src=" />


votre avatar

Vite, un attentat avec pleins de morts (des enfants blancs de préférence), histoire d’agir vite et dans l’émotion.<img data-src=" />

votre avatar







ledufakademy a écrit :



Non. non … juste non.



En 90’ on faisait des lan partie on s’éclatait

des salles de 15 gars du boutonneux au zicos (comme moi). Tous en train de s’affronter virtuellement , sans internet , juste heureux de partager ces moments fabuleux avec pizza et coca (déjà le coca … pfff) et binouse.



Il n’y a avait pas de cloud , de live etc …



je peux vivre sans le web chez moi, j’ai mon nas (serveur de fichier) et mon dépot debian, la base wikipedia (90go) : si ca coupe on peut installer , jouer, travailler sans le moindre souci.







Et donc vous aviez créé tout votre matos informatique + les logiciels + produire vous même votre électricité ?


votre avatar







eliumnick a écrit :



Et que tu as aussi créé tout ton matériel informatique <img data-src=" />



Evidement, avec de l’étain et un fer à souder, on peut créer son propre ordinateur. <img data-src=" />


votre avatar
votre avatar

Le cloud et le cloud GAFA? Si tu es encore capable de faire la différence, c’est tout simplement que les autres solutions cloud n’ont pas encore été totalement rachetées par GAFA..<img data-src=" />

votre avatar







FunnyD a écrit :



&nbsp; ben non, si tu stockes tout en local et que tu crées toi même ton OS, tes programmes, etc…. <img data-src=" />





Ouais, !a s’appelle un papier et un crayon, ça avait pourtant bien fonctionné pendant des années voir des siècles <img data-src=" />



Tiens la blague des russes aux américains :&nbsp; “Quand la NASA a envoyé les premiers astronautes dans l’espace, ils se

sont vite aperçus que les stylos ne fonctionnaient pas en absence de

gravité. Pour résoudre ce problème, la NASA a commissionné une étude à

Andersen Consulting (aujourd’hui Accenture). Après 10 années de travail

et 12 millions de dollars, les Américains tenaient dans leurs mains un

stylo capable d’écrire dans n’importe quelle position, en absence de

gravité et avec une température comprise entre -80 et 300 degrés…



Les Russes, eux, ont utilisé des crayons à papier…”


votre avatar

… voici ce que pense les responsables et auditeurs de l’IT :



http://www.silicon.fr/sysadmin-metier-condamne-115136.html

votre avatar







maestro321 a écrit :



Le cloud et le cloud GAFA? Si tu es encore capable de faire la différence, c’est tout simplement que les autres solutions cloud n’ont pas encore été totalement rachetées par GAFA..<img data-src=" />







ET c’est bien connu, à partir du moment ou un GAFA achète une solution, tout outil équivalent disparait immédiatement….


votre avatar

Les carottes sont cuites



Ok, je sors [ ]

votre avatar

&nbsp;On est seulement jeudi, vous trichez!

votre avatar

j’avais pas l’info. mais je me disais que le message se voulait trop rassurant pour être honnête.



Bouhou on peut pas craker, citoyen aide nous, nous sommes garants de ta sécurité, on a fait des choses pas belles mais on refera plus, juré, craché sur Snowden, .blabla …

votre avatar

&nbsp;désolé, demain ça sera froid, je préfère consommer tout de suite. <img data-src=" />

votre avatar

Source? :p

votre avatar







AlbertSY a écrit :



La NSA n’a pas besoin de la clé. C’est ça que vous n’avez pas compris.

Ils ont la fonction inverse pour trouver la clé ou le process inverse à partir du chiffrage.



En gros ils ont un scanner qui permet de voir l’empreinte de la clé en scannant la serrure.

Si ce n’est pas une serrure à clé, mais à digicode. C’est encore plus trivial…

Vous comprennez mieux maintenant les gens ???







T’es en train de dire que, si par exemple je leur envoie une archive 7z avec un password, ils vont détecter l’empreinte du password ????


votre avatar







Patch a écrit :



chiffrement.





Ils disent qu’ils ne peuvent rien mais c’est des conneries avec les moyens financier et humains à leur disposition, puis pourquoi un organisme spécialisé dans le contre espionnage et la sécurité irait dire publiquement on ne peut rien faire contre le chiffrement, veuillez s’il vous plait ne plus utiliser cela merci monsieur les terroristes.


votre avatar

Il parait qu’on peut obtenir beaucoup de choses en étant poli et courtois. De plus, ça ne coûte rien d’essayer <img data-src=" />

votre avatar

Oui, entièrement d’accord :-)

D’ailleurs les chiites contre les sunites, c’est aussi les ricains.

Les kurdes contre les chiites, c’est aussi les ricains.

On me dit que la Chine contre Taiwan, c’est aussi les ricains.

Au passage, Allah akbar c’est l’anagramme de Coca Cola quand tu remplaces certaines lettres ;) Les ricains !

votre avatar

selon Baker «&nbsp;le génie du chiffrement est sorti de sa bouteille&nbsp;»





&nbsp;Fallait pas astiquer la lampe dans laquelle il était enfermé.&nbsp; ça lui apprendra à vouloir jouer les Aladin …

votre avatar

C’est complètement faux, étant passionné d’aviation je peux juste te dire que tu raconte n’importe quoi. La seule fois ou ils ont eu un souci c’était sur le B2 problème réglé depuis quasi 20 ans …

votre avatar







teddyalbina a écrit :



C’est complètement faux, étant passionné d’aviation je peux juste te dire que tu raconte n’importe quoi. La seule fois ou ils ont eu un souci c’était sur le B2 problème réglé depuis quasi 20 ans …







lien 1

lien 2



Pour rappel, le point de départ est que la furtivité coute très cher pour un faible gain.


votre avatar

Certains ici ne distinguent pas les différents modèles d’avion, la F35 c’est du multi rôle pas un chasseur pure style F16. De même que le F15 est fait pour l’attaque au sol, le A10 est un avion anti char etc.



En outre, le programme F35 a apporté énormément de percés technique sont coût n’est pas un problème la mise au point de la version STOLV a pris un sacré bout de temps mais les ingés ont relevés le défis haut la main. Au final ils ont acquis une forte expérience sur les problèmes STOLV (couplage du réacteur avec le système de poussé vertical, expérience niveau software (contrôle de la stabilité etc.) les retombés sont pas mal. Il ne faut pas perdre de vu que ce type de programme possède une grosse partie de R&D pur qui est par nature gourmande en argent et en temps.



De la même façon que la mise au point d’un bombardier furtif type aile volante couterait moins cher maintenant qu’à l’époque de la mise au point du B2. Ils ont déjà les usines, l’expérience et tout un tas de trucs réutilisable. A l’époque les CPU civile (intel etc.) était pas suffisamment avancés pour le B2, ils ont du mettre au point leur propre CPU, l’intérêt est là tout ça a fini chez intel et AMD.

votre avatar

Ton lien wikipedia est bidon, concrètement il est obsolète le problème a été résolé il y a perpète.



Le seconde lien n’apporte strictement rien, la technologie de furtivité évolue tout le temps au fur et à mesure des avancés dans le domaine des radars. Tu enfonce des portes ouvertes

votre avatar







teddyalbina a écrit :



Ton lien wikipedia est bidon, concrètement il est obsolète le problème a été résolé il y a perpète.



Le seconde lien n’apporte strictement rien, la technologie de furtivité évolue tout le temps au fur et à mesure des avancés dans le domaine des radars. Tu enfonce des portes ouvertes







Admettons.



As tu des liens pour prouver tes dires ?



edit : et puis, qu’ils aient ou non résolu leur problèmes avec la furtivité, en quoi est ce un gain stratégiquement ?


votre avatar

Les américains sont responsables de tout les chatons coincés dans les arbres et de la mort des mémés lol. Alors que le reste du monde est peuplé de bisounours chantant “liberté égalité et mon c sur la commode”.

votre avatar







eliumnick a écrit :



Ils fondent des puces, certes, mais ils ne les conçoivent pas.





En fait ils conçoivent les outils de production, ce qui revient sensiblement au même, le budget R&D dans ce domaine est certainement plus important que la conception des puces.


votre avatar







Vincent_H a écrit :



Le problème est que dans le cas du chiffrement introduit par Apple et Google ils ne possèdent pas la clé.





Si par contre ils possèdent le device..


votre avatar

La question n’est pas de savoir si le grand publique pourra effectivement se procurer des ordis quantiques ou pas . Mais de bien savoir que cela est possible à décrypter et le deviendra encore plus à terme.&nbsp;Perdre un standard de chiffrement comme le SSL/AES est quelque chose de dramatique pour la collectivité. Surtout quand des gouvernements l’affaiblisse intentionnellement pour y pénétrer de force.&nbsp;

votre avatar

Pfff n’importe quoi !



Les admin font ce qu’il veulent des données. J’ai fait assez longtemps ce job pour savoir que quand on maitrise les machines on fait ce qu’on veut des données.



En sécurité fût une époque on nous apprenait qu’une fois accessible physiquement une machine était compromise …

votre avatar







eliumnick a écrit :



Genre par exemple les nombres premiers décimaux négatifs ? ^^





Ouai par exemple. Ils ont bien trouver un nombre tel que son carrée est égale à -1.







eliumnick a écrit :



Et bien évidement, les ordinateurs quantiques sont en vente libre ^^





Pas totalement pour tablette, pas totalement pour destop, mais un peu les deux à la fois, Windows 8 ! L’OS quantique.


votre avatar

Tu pars du principe où le système choisi permet à l’Admin de tout faire (dont l’exploitation des données), en quoi un système ne permettant pas à l’admin de voir les données serait impossible?



“En sécurité fût une époque on nous apprenait qu’une fois accessible physiquement une machine était compromise … ”

Les choses bougent tellement vite de nos jours, j’évite (à titre personnel) de rester sur mes acquis, généralement on se retrouve avec une guerre de retard.

votre avatar







tazvld a écrit :



Ouai par exemple. Ils ont bien trouver un nombre tel que son carrée est égale à -1





Ca existe bel et bien avec les nombres complexes ;)


votre avatar







tazvld a écrit :



Ouai par exemple. Ils ont bien trouver un nombre tel que son carrée est égale à -1.







Tu parles d’un nombre irréel la ^^







tazvld a écrit :



Pas totalement pour tablette, pas totalement pour destop, mais un peu les deux à la fois, Windows 8 ! L’OS quantique.







<img data-src=" /> <img data-src=" />


votre avatar

” Il suffit de se rappeler comment les attentats du 11 septembre ont puissamment modifié les lois américaines relatives à la sécurité.”

Et comme l’absence de chiffrement n’avait rien empêché…

votre avatar

Le cloud est un “piège pour cons”.

C’est mon avis.



Je ne crois pas en le “Cloud”. Je n’adhère pas à ce concept qui est de tout contrôler en un point.

C’est une hérésie , un danger pour nos libertés et surtout la vie privée (certains courants de pensée voudraient même nous dire que la vie privée cela est ringard) !



Google est juste en train d’enchainer les peuples.



Je remercie Microsoft d’avoir fait bougé les lignes dans les années 90’ (c’est dire, pour un linuxien) car IBM bull etc proposaient une informatique centralisée à outrance.



a titre perso. : je commence à ne plus adhérer à ce que va devenir mon métier et le but avoué par certains , de l’informatique, … tu vois j’en suis là !

votre avatar







ledufakademy a écrit :



Le cloud est un “piège pour cons”.

C’est mon avis.



Je ne crois pas en le “Cloud”. Je n’adhère pas à ce concept qui est de tout contrôler en un point.

C’est une hérésie , un danger pour nos libertés et surtout la vie privée (certains courants de pensée voudraient même nous dire que la vie privée cela est ringard) !



Google est juste en train d’enchainer les peuples.



Je remercie Microsoft d’avoir fait bougé les lignes dans les années 90’ (c’est dire, pour un linuxien) car IBM bull etc proposaient une informatique centralisée à outrance.



a titre perso. : je commence à ne plus adhérer à ce que va devenir mon métier … tu vois j’en suis là !







Ne pas confondre cloud et cloud par les GAFA ?


votre avatar







eliumnick a écrit :



Genre par exemple les nombres premiers décimaux négatifs ? ^^





J’aurais plutôt pensé aux nombres premiers à virgule.


votre avatar

Qu’est-ce qui t’empêche de changer ton métier où la façon de le faire pour qu’il corresponde à tes valeurs? Alors oui je suis d’accord c’est loin d’être simple, mais tu ne dois pas être le seul à penser cela du cloud, il doit bien y avoir des boites qui ont pris le chemin inverse car tout comme toi,&nbsp;ils ont vu le danger venir. Ca serait dommage d’être dégouté de son métier&nbsp; à cause d’une façon de faire qui, je pense n’est pas unique.

votre avatar

tu as raison. j’ai omis ce bémol.



Il y a des points positifs : mais les “vautours” tournent autours du pouvoir de communication et de rapprochement des peuples, de la possibilités offertes aux plus petits de pouvoir encore prendre le micro pour s’exprimer : que propose Internet. Ce bon vieux Internet.



J’ai parfois des doutes sur la direction que certains (puissants) prennent … ils ont peut être raison et moi tord : je ne sais pas (plus) trop.



J’ai vu “Terminator Genysis” … ca en parle un peu. “Matrix” aussi en parlait aussi. “The Giver “

votre avatar

Le grand drame des logiciels de crypto est qu’il ne sont pas codés par des matheux spécialisé en crypto

votre avatar







eliumnick a écrit :



Ne pas confondre cloud et cloud par les GAFA ?



le problème du cloud est que l’on dépend d’un tiers (généralement)


votre avatar







eliumnick a écrit :



Genre par exemple les nombres premiers décimaux négatifs ? ^^





Non mais par exemple la fonction (mathématique, pas algorithmique) qui te dit quels sont les nombres 1er.


votre avatar







11h10 a écrit :



Tu sais, chiffrer pour éviter d’être déchiffré, c’est un métier et c’est bien plus compliqué que tu ne le penses.







Tu sais, fabriquer une serrure pour éviter d’être cambriolé, c’est un métier et c’est bien plus compliqué que tu ne le penses.



Par contre, n’importe qui peut se faire installer une serrure de sécurité sur une porte blindée, tout en laissant une fenêtre entrouverte pour le chat et en laissant le double des clés à la femme de ménage.



La sécurité n’est pas juste une question de serrure, tout comme ce n’est pas juste une question d’algo AES


votre avatar







127.0.0.1 a écrit :



Tu sais, fabriquer une serrure pour éviter d’être cambriolé, c’est un métier et c’est bien plus compliqué que tu ne le penses.



Par contre, n’importe qui peut se faire installer une serrure de sécurité sur une porte blindée, tout en laissant une fenêtre entrouverte pour le chat et en laissant le double des clés à la femme de ménage.



La sécurité n’est pas juste une question de serrure, tout comme ce n’est pas juste une question d’algo AES







Justement, tu dis la même chose que moi. Par exemple, dans une entreprise, lorsqu’on décide de protéger l’information, on ne se contente pas simplement d’utiliser AES mais on va beaucoup plus loin que ce que tu annonces (voir un de mes posts précédents). On veille aussi à fermer les fenêtres. Bien sur, c’est une image.


votre avatar

Et avant l’utilisation d’Internet, téléphone, etc. les experts “amis-amis”, ils faisaient comment ? on va leur offrir les coffrets de Derrick, Colombo, Poireau, Agatha Christie, Maigret, etc. Les classiques pour se réformer ou réformer lol

votre avatar







eliumnick a écrit :



En même temps blague ou pas, il suffit de voir comment ils se démerdent pour leur avions de chasse pour voir que cette “fausse” histoire de crayon est super crédible.





Moi j’adore celle du phare par contre et elle semble plus que crédible :youtube.com YouTube


votre avatar

ca ne va pas vous plaire mes amis de NExtInpact :



http://www.silicon.fr/comment-nsa-probablement-casse-chiffrement-vpn-129367.html

(il suffit juste de rendre les RAN , pas si random(nombre aléatoire) que çà … et tout est faussé .. ils ont juste tout faussé dés le départ à la base ….



bonne digestion !

votre avatar

&nbsp; Çame fait pensé à la gaffe de valls qui parlait de “méthode de chiffrement légale”… sous entendu, dans un futur proche, elles ne seront pas toute légales…

votre avatar







Zyami a écrit :



Ouais, !a s’appelle un papier et un crayon, ça avait pourtant bien fonctionné pendant des années voir des siècles <img data-src=" />



Tiens la blague des russes aux américains :  “Quand la NASA a envoyé les premiers astronautes dans l’espace, ils se

sont vite aperçus que les stylos ne fonctionnaient pas en absence de

gravité. Pour résoudre ce problème, la NASA a commissionné une étude à

Andersen Consulting (aujourd’hui Accenture). Après 10 années de travail

et 12 millions de dollars, les Américains tenaient dans leurs mains un

stylo capable d’écrire dans n’importe quelle position, en absence de

gravité et avec une température comprise entre -80 et 300 degrés…



Les Russes, eux, ont utilisé des crayons à papier…”



Crayons à papier produisant de la poudre de graphite, ce qui provoque énormément de problèmes dans une zone sous apesanteur… <img data-src=" />


votre avatar

euh, F35 ? l’avion a plus de 280 Millions de $

pas taper.

votre avatar







Sheepux a écrit :





  1. la logique mathématique, démontrée “inviolable”





    Non, seules quelques propriétés sont démontrées, qui sont généralement considérées comme garanties de qualité.



    En pratique 100% des algos de chiffrement inventés ces dernières décennies étaient accompagnés de telles preuves, 99,9% de ces algos ont été rendus obsolètes par des percées mathématiques. A l’exception du vénérable RSA les algorithmes de chiffrement ont une durée de vie très éphémère. A cause des maths, pas de Moore.





  2. l’implémentation par un humain sur lequel … on a souvent plus de chance de trouver une erreur (tout comme dit plus haut, la possibilité de trouver des éléments coté destinataire ou coté expéditeur).



    Les problèmes liés à la mise en oeuvre ne sont pas seulement le fait d’erreurs humaines.



    C’est aussi que ces algorithmes s’exécutent sur des circuits électroniques extraordinairement complexes, nécessairement imparfaits et avant tout conçus pour d’autres besoins (performances). Le tout au sein de d’environnements logiciels de plusieurs milliards de lignes de code, pour interagir avec des machines parfois âgées qui ne peuvent consacrer que de maigres ressources financières au chiffrement, en interaction avec d’autres algos de sécurité qui peuvent parfois se fragiliser réciproquement, et en compétition avec d’autres besoins comme le cache (CDN).







    Zyami a écrit :



    C’est la méthode de chiffrement qui est sur la machine, pas la clé, sur un iPhone c’est du AES 256, bon courage pour casser une clé privé.





    AES est recommandé par la NSA et la NSA est connue pour ses efforts de sdabotage des méthodes de chiffrement. En conséquence il y a davantages de probabilités que la NSA sache cracker AES que l’inverse.



    Aujourd’hui il est communément admis qu’il faudrait 2^100 secondes à une entité comme la NSA pour cracker une clé AES256. Et bien il ne semble pas du tout impossible qu’ils aient trouvé un moyen de passer de 256 bits à 156 bits.



    Et ne parlons même pas du fait qu’ils ont pourri nombre d’implémentations de ces algorithmes ou que dans bien des cas ils n’ont rien à cracker du tout parce qu’ils peuvent s’infiltrer dans ta machine sans clé.


votre avatar







Wikus a écrit :



Ils ont oublié les trains d’aterrissage ? <img data-src=" />







Le revêtement furtif par exemple. Les avions US furtifs ne peuvent pas voler sous la pluie, et ne peuvent même pas stationner sous la pluie pake celle ci abime ce revêtement.

ET qu’on fait les russes ? Ils ont abandonné le furtif, et ce sont concentré sur la manœuvrabilité.


votre avatar







ledufakademy a écrit :



euh, F35 ? l’avion a plus de 280 Millions de $

pas taper.







Celui qui ne fonctionne pas c’est ca ? ^^


votre avatar

+1

votre avatar







Vincent_H a écrit :



Le problème est que dans le cas du chiffrement introduit par Apple et Google ils ne possèdent pas la clé.





Bah, si après avoir fait acquisition de l’appareil, le mot de passe de l’utilisateur ne fait pas parti des 150’000 mots de passe les plus utilisés, il reste toujours 2 solutions:




  • 1) Demander poliment.

  • 2) Demander poliment avec un bottin dans la main.


votre avatar

en tant que pilote de chasse raté : un sukhoi 27 , ca claque !

votre avatar

Il fonctionne super bien, y a qu’à voir Die Hard 4 <img data-src=" />

votre avatar

j’ai pas trop suivi pour les perfs etc mais pour info un rafale export c’est 110 millions d’euros …

votre avatar







ledufakademy a écrit :



en tant que pilote de chasse raté : un sukhoi 27 , ca claque !







En tout cas dans tous les jeux d’avions de chasses, les modèles russes sont bien plus efficaces ^^


votre avatar







ledufakademy a écrit :



j’ai pas trop suivi pour les perfs etc mais pour info un rafale export c’est 110 millions d’euros …







Nan mais il me semble que le F35 a des problèmes de production, mais ptet que je confond (non je ne pense pas au Harrier)


votre avatar

« Pour les implémentations les plus courantes de Diffie-Hellman (clefs de 1024 bits), cela coûterait une poignée de centaines de millions de dollars de construire une machine, basée sur du matériel spécifique, qui serait en mesure de casser un primitif Diffie-Hellman chaque année », estiment Alex Halderman et Nadia Heninger.



En savoir plus surhttp://www.silicon.fr/comment-nsa-probablement-casse-chiffrement-vpn-129367.html…



Alors sur une grille de calcul comme celle de bruyères-les chatel (simulateur essai nucléaire): lol.

http://www-physique-chimie.cea.fr/science-en-ligne/application-du-calcul-haute-p…

votre avatar

Ce serait pour cela qu’ils cherchent de partenaires mondiaux pour le produire ! (ca je l’ai lu)

votre avatar







ledufakademy a écrit :



euh, F35 ? l’avion a plus de 280 Millions de $

pas taper.





Surtout c’est un avion multi-rôles (*) qui vole comme un paquebot et qui paraît de plus en plus obsolète avant même d’avoir été produit. La faute aux drones et à la furtivité de moins en moins efficace.



Ils sont supposés sortir 2500 avions pour un total de 950 milliards de dollars, dont 400 déjà dépensés.



(*) Comme le rafale et le F16. Par opposition aux F15, SU27 et eurofighter qui sont des avions de chasse.







ledufakademy a écrit :



j’ai pas trop suivi pour les perfs etc mais pour info un rafale export c’est 110 millions d’euros …





Et ce serait beaucoup moins si on pouvait en produire 2500. ^^


votre avatar

Ce que je sais c’est que Rafale est un “Mirage 4000” low cost(j’ai volé sur cap 10 à bourges avord : certains comprendrons), … c vous dire l’avance que l’on avait à l’époque : triste de voir un pays s’être fait ruiné ainsi.

votre avatar

Je propose de créer une haute autorité et un backdoor sur tout pc/tablette/téléphone. La police/nsa doit informer cette haute autorité lors de la surveillance d’une personne et cette dernière informe obligatoirement après enquête, que la personne a été surveillé.



Ca permet de ne plus s’embêter avec x solutions de cryptage/anonymat et l’utilisateur honnête est averti qu’il a été suspecté à tord, tandis que la police peut arrêter plus facilement les terroristes.

&nbsp;

votre avatar







Haemy a écrit :



Je propose de créer une haute autorité et un backdoor sur tout pc/tablette/téléphone. La police/nsa doit informer cette haute autorité lors de la surveillance d’une personne et cette dernière informe obligatoirement après enquête, que la personne a été surveillé.



Ca permet de ne plus s’embêter avec x solutions de cryptage/anonymat et l’utilisateur honnête est averti qu’il a été suspecté à tord, tandis que la police peut arrêter plus facilement les terroristes.







les hackers adorent cette solution!


votre avatar

@js2082 :C’est sur la machine en physique (niveau puce), a moins d’avoir des pointes directement connecté sur la puce là où il faut, tu ne verras rien. Car oui il faut bien générer la clé, et le faire de manière physique est le plus safe à ma connaissance. Ca demanderait des moyens monstrueux pour un résultat plus qu’hasardeux.

votre avatar

Moi je propose de mettre des backdoor dans les banques, comme ça on surveille les mouvements de pognon et on stoppe le terrorisme/grand banditisme à la source plutôt que de courir après les traces de poudre..

Non? Bha non, biensûr que non..<img data-src=" />

votre avatar







ledufakademy a écrit :



ca ne va pas vous plaire mes amis de NExtInpact :



http://www.silicon.fr/comment-nsa-probablement-casse-chiffrement-vpn-129367.html

(il suffit juste de rendre les RAN , pas si random(nombre aléatoire) que çà … et tout est faussé .. ils ont juste tout faussé dés le départ à la base ….



bonne digestion !





C’est bien le problème de la sécurité, tu peux avoir les meilleurs algo du monde, si la génération des clés n’est pas parfaite, ça ne sert pas à grand chose…


votre avatar

<img data-src=" />



moi j’aime plus … jouer à la guerre. peace.

votre avatar

&nbsp;







HarmattanBlow a écrit :



&nbsp;Aujourd’hui il est communément admis qu’il faudrait 2^100 secondes à une entité comme la NSA pour cracker une clé AES256. Et bien il ne semble pas du tout impossible qu’ils aient trouvé un moyen de passer de 256 bits à 156 bits.&nbsp;&nbsp;





2^100 secondes ça fait en gros 40 196 936 841 331 475 186 983 années.

Donc si la NSA casse ma clé dans 40 mille milliards de milliards d’années, je peux considérer que le risque tend franchement vers 0. <img data-src=" />



A mon avis ils font comme tu dis juste après: corruption d’algos. vachement plus efficace. ^^


votre avatar







Vincent_H a écrit :



Le problème est que dans le cas du chiffrement introduit par Apple et Google ils ne possèdent pas la clé.





La NSA n’a pas besoin de la clé. C’est ça que vous n’avez pas compris.

Ils ont la fonction inverse pour trouver la clé ou le process inverse à partir du chiffrage.



En gros ils ont un scanner qui permet de voir l’empreinte de la clé en scannant la serrure.

Si ce n’est pas une serrure à clé, mais à digicode. C’est encore plus trivial…

Vous comprennez mieux maintenant les gens ???


votre avatar







Haemy a écrit :



Ca permet de ne plus s’embêter avec x solutions de cryptage/anonymat et l’utilisateur honnête est averti qu’il a été suspecté à tord, tandis que la police peut arrêter plus facilement les terroristes.



chiffrement.


votre avatar

en gros on est tous foutus et toutes leurs histoires de chiffrement c’est juste pour amuser la galerie?

monde de merde <img data-src=" />

votre avatar







hellmut a écrit :



2^100 secondes ça fait en gros 40 196 936 841 331 475 186 983 années.

Donc si la NSA casse ma clé dans 40 mille milliards de milliards d’années, je peux considérer que le risque tend franchement vers 0. <img data-src=" />



A mon avis ils font comme tu dis juste après: corruption d’algos. vachement plus efficace. ^^





Mais des failles mathématiques capables de descendre la complexité de 100 bits, ça n’a rien d’impossible. Surtout pour un organisme comme la NSA qui est proéminent dans la recherche cryptographique américaine et mondiale.



Cela dit il n’y a pas que les algos qui sont corrompus. Le matériel aussi, justement pour abaisser la complexité de certaines clés. ;)


votre avatar

J’ai résumé la situation ici, cela date un peu mais …. , simplement :http://www.ledufakademy.fr/?p=392

votre avatar







tazvld a écrit :



Pour les moyens :

Soit on révolutionne les maths, on fait une nouvelle découverte sur les nombres premiers rendant inopérant le chiffrement RSA.

Soit ça implique des ordinateurs quantiques qui te retrouve la clé privé d’un seul coup.



Dans les 2 cas, je crois que l’on aura sûrement quelque chose de plus grave à s’inquiéter que notre “simple” vie privé. Dans les 2 cas, c’est presque tous les systèmes chiffrés qui tombent. La sécurité des communication entre les banques tombe, SSL devient inutile…





Il y a les attaques par dico&nbsp; qui fonctionnent aujourd’hui il me semble (et le social engineering) ?

Après je crois qu’au niveau des proco, on atteint tout doucement la limite, de mémoire Intel et Samsung commence à créer des proco sur plusieurs étage (3D) mais ça va pas révolutionner de suite le secteur.


votre avatar

Dans un chiffrement il y a




  1. la logique mathématique, démontrée “inviolable”

  2. l’implémentation par un humain sur lequel … on a souvent plus de chance de trouver une erreur (tout comme dit plus haut, la possibilité de trouver des éléments coté destinataire ou coté expéditeur).



    Entre théorie et pratique il y a souvent tout un monde <img data-src=" />

votre avatar







latlanh a écrit :



NOOOOOOOON ne le relancer pas… Il vas repartir comme quoi Apple crée des backdoor pour que la NSA récupère la clé! :‘(





Oh purée, j’avais pas fait gaffe&nbsp; <img data-src=" />


votre avatar

Zyami: AES 256 “ approuvé par la NSA” est truffé de backdoor’s ( portes dérobées). De plus, quelqu’un qui possède du temps, de l’argent et un ordinateur quantique n’aura aucun mal à le décrypter.



Le problème étant bel et bien dans la clé, elles transit via le net et sont donc exploitables.

votre avatar







Zyami a écrit :



Il y a les attaques par dico  qui fonctionnent aujourd’hui il me semble (et le social engineering) ?

Après je crois qu’au niveau des proco, on atteint tout doucement la limite, de mémoire Intel et Samsung commence à créer des proco sur plusieurs étage (3D) mais ça va pas révolutionner de suite le secteur.







Samsung ? :x



Edit : et puis la limite “actuelle” reste tester cette quantité inimaginable de possibilité. Pour l’instant, seul le quantique permet de tester toutes ces possibilités.


votre avatar

Non, pas bon courage … les un algo sont ricain ils savent les casser ou “les” faire parler !



Rappel :youtube.com YouTube

votre avatar







BlindEagleAddict a écrit :



Zyami: AES 256 “ approuvé par la NSA” est truffé de backdoor’s ( portes dérobées). De plus, quelqu’un qui possède du temps, de l’argent et un ordinateur quantique n’aura aucun mal à le décrypter.



Le problème étant bel et bien dans la clé, elles transit via le net et sont donc exploitables.







Et bien évidement, les ordinateurs quantiques sont en vente libre ^^


votre avatar

Je ne comprends pas pourquoi l’article fait une différence entre des données stockées sur un téléphone et sur le cloud de Google/Apple/Microsoft. De la même manière qu’il est possible de chiffrer un téléphone sans que personne d’autre que l’utilisateur ne puisse accéder aux données, il est parfaitement possible de faire un service cloud ou les données sont accessible uniquement par l’utilisateur et pas par l’administrateur du service.



Ce n’est pas par ce que c’est plus complexe à mettre en oeuvre et très difficilement vérifiable par les utilisateurs que le cloud est forcément troué de backdoors à la disposition de la justice ou autre.

votre avatar







eliumnick a écrit :



Samsung ? :x





Oui, ils fondent les puces, c’est principalement au niveau de la production que ça coince d’ailleurs, en labo, ils y arrivent déjà sur des prototypes.

De mémoire c’est aussi la dissipation de chaleur qui est problématique avec de genre de produit, on peut très facilement refroidir les couches externes, pas celles internes.


votre avatar







BlindEagleAddict a écrit :



De plus, quelqu’un qui possède du temps, de l’argent et un ordinateur quantique n’aura aucun mal à le décrypter.





Autrement dit : personne à l’heure actuelle, et c’est pas pour demain.


votre avatar







ledufakademy a écrit :



Non, pas bon courage … les un algo sont ricain ils savent les casser ou “les” faire parler !



Rappel :youtube.com YouTubeCa date de 2013…


votre avatar







eliumnick a écrit :



Et bien évidement, les ordinateurs quantiques sont en vente libre ^^





Non ya 3 gus dans un garage qui… <img data-src=" />


votre avatar







Zyami a écrit :



Oui, ils fondent les puces, c’est principalement au niveau de la production que ça coince d’ailleurs, en labo, ils y arrivent déjà sur des prototypes.

De mémoire c’est aussi la dissipation de chaleur qui est problématique avec de genre de produit, on peut très facilement refroidir les couches externes, pas celles internes.







Ils fondent des puces, certes, mais ils ne les conçoivent pas.


votre avatar







Wikus a écrit :



Autrement dit : personne à l’heure actuelle, et c’est pas pour demain.









Zyami a écrit :



Non ya 3 gus dans un garage qui… <img data-src=" />







En labo, il est possible de faire un ordi quantique hein. Par contre niveau perf, pour le moment, un 486 est plus efficace ^^


votre avatar

et alors ?

AES date de quand ?



Tout ce qui est protocole Américain est backdooré ou prédictible avec les bonnes conditions.

Dés qu’un nouveau protocole voit le jour et qu’il est implémenté dans un appliance sécurité : immédiatement. une boite US rachète la startup puis dégage le protocole.



Les US orientent les normes niveau sécurité cela est aussi bien connu.

votre avatar

Je suis d’accord que ça rende le travail d’un gendarme (par exemple) plus difficile, dans ce cas là, il faudrait innover aussi en donnant de nouveaux outils qui répondent aux problématiques des gendarmes. Comme tu le dis, remonter au fondement et pas aux conséquences du problème.



Le problème n’est pas de ne plus pouvoir protéger les gens honnêtes, mais que des gens malhonnêtes se sont mis à jouer à Dieu sous couvert&nbsp;de raison d’état&nbsp;et que les gens honnêtes n’avaient pas d’outil pour se protéger. Alors est-ce que la sécurité est la solution? il est clair que ce n’est pas parfait, mais à moins de remettre le système à plat et de ne pas donner de pouvoir aux états, je vois mal à quoi va ressembler la solution. Oui la sécurité n’est clairement pas la solution SI on s’arrête là.



Quand à ton dernier lien youtube je dois regarder avant de me prononcer.

EDIT : Tes 3 derniers liens pardon, ça bouge vite ici.

votre avatar

ne soit pas extrême non plus !<img data-src=" />

je ne suis pas (encore :mdr) un hermite !

votre avatar







ledufakademy a écrit :



ne soit pas extrême non plus !<img data-src=" />

je ne suis pas (encore :mdr) un hermite !







C’est pour ca que je demandais à FunnyD de préciser son post #45 ^^


votre avatar

.. pas mieux.

votre avatar

moi j’y crois encore … un tout petit peu, pas beaucoup .. mais juste un peu.

votre avatar







Zyami a écrit :



Ouais, !a s’appelle un papier et un crayon, ça avait pourtant bien fonctionné pendant des années voir des siècles <img data-src=" />



Tiens la blague des russes aux américains :  “Quand la NASA a envoyé les premiers astronautes dans l’espace, ils se

sont vite aperçus que les stylos ne fonctionnaient pas en absence de

gravité. Pour résoudre ce problème, la NASA a commissionné une étude à

Andersen Consulting (aujourd’hui Accenture). Après 10 années de travail

et 12 millions de dollars, les Américains tenaient dans leurs mains un

stylo capable d’écrire dans n’importe quelle position, en absence de

gravité et avec une température comprise entre -80 et 300 degrés…



Les Russes, eux, ont utilisé des crayons à papier…”





Je connais l’anecdote, mais on peut la voir dans l’autre sens aussi, les US essayent d’innover alors que les russes non. <img data-src=" />


votre avatar







FunnyD a écrit :



Je connais l’anecdote, mais on peut la voir dans l’autre sens aussi, les US essayent d’innover alors que les russes non. <img data-src=" />







Ou qu les US ne savent pas faire une étude cout/gain correctement ? ^^


votre avatar

Légende urbain (au passage)



Un crayon à papier dans l’espace c’est trop dangereux, les grains de graphites (conducteurs) peuvent se fourrer dans un circuit électronique. Un style à encre ou un feutre est donc nécessaire.



(fin HS)

votre avatar

Ou que l’histoire est fausse, simplement

EDIT : grilled

votre avatar







Zyami a écrit :



Tiens la blague des russes aux américains :  “Quand la NASA a envoyé les premiers astronautes dans l’espace, …”









FunnyD a écrit :



Je connais l’anecdote, mais on peut la voir dans l’autre sens aussi, les US essayent d’innover alors que les russes non. <img data-src=" />





Ce n’est pas une anecdote, juste une légende urbaine.


votre avatar







eliumnick a écrit :



Ou qu les US ne savent pas faire une étude cout/gain correctement ? ^^





ou que parfois on ne voit pas la solution la plus simple. <img data-src=" />



Avygeil a écrit :



Légende urbain (au passage)



Un crayon à papier dans l’espace c’est trop dangereux, les grains de graphites (conducteurs) peuvent se fourrer dans un circuit électronique. Un style à encre ou un feutre est donc nécessaire.



(fin HS)



Ah ? J’ignorais cela. <img data-src=" />



fr.wikipedia.org Wikipedia



Effectivement. <img data-src=" />


votre avatar







Wikus a écrit :



Ce n’est pas une anecdote, juste une légende urbaine.









Avygeil a écrit :



Légende urbain (au passage)



Un crayon à papier dans l’espace c’est trop dangereux, les grains de graphites (conducteurs) peuvent se fourrer dans un circuit électronique. Un style à encre ou un feutre est donc nécessaire.



(fin HS)





Oui, une blague donc ;)


votre avatar







Avygeil a écrit :



Légende urbain (au passage)



Un crayon à papier dans l’espace c’est trop dangereux, les grains de graphites (conducteurs) peuvent se fourrer dans un circuit électronique. Un style à encre ou un feutre est donc nécessaire.





Sans parler des mines qui cassent, du bois inflammable…

Les “space pen” ont été inventés par une société indépendante de la NASA, et utilisent des cartouches pressurisées pour fontionner dans toutes les positions. Par ailleurs, les russes ont acheté les mêmes pour leurs programmes spaciaux.





Zyami a écrit :



Oui, une blague donc ;)





oui voilà <img data-src=" />


votre avatar

En même temps blague ou pas, il suffit de voir comment ils se démerdent pour leur avions de chasse pour voir que cette “fausse” histoire de crayon est super crédible.

votre avatar







eliumnick a écrit :



En même temps blague ou pas, il suffit de voir comment ils se démerdent pour leur avions de chasse pour voir que cette “fausse” histoire de crayon est super crédible.





Ils ont oublié les trains d’aterrissage ? <img data-src=" />


votre avatar

Mec j’ai des livres et de la doc aéronautique, tu sais avant l’ADSL il y avait bien moins d’infos parasites ^^

votre avatar







teddyalbina a écrit :



Mec j’ai des livres et de la doc aéronautique, tu sais avant l’ADSL il y avait bien moins d’infos parasites ^^







Ok devant un tel argumentaire je suis totalement convaincu :x


votre avatar

Tu sais de quoi tu parles avant de dire ce genre de choses ? Depuis le début de la décolonisation les pays occidentaux ont largement contribués à déstabiliser le Moyen-Orient en écrasants les régimes trop dangereux pour leurs intérêts, laissant un boulevard à l’opposition religieuse.



Je ne peux pas te faire un cours d’histoire ici, si tu veux comprendre quelque chose il va falloir te documenter, mais la tension entre chiites et sunnites par exemple est indissociable de la révolution irannienne, révolution causée en grande partie par l’affaiblissement du pouvoir en Iran suite au coup d’état permis par l’opération ajax.

Évidement ce n’est qu’un événement, je ne vais pas faire l’histoire de la région dans un commentaire NXI, mais gratte un peu et tu verras qu’en 1950 des pays comme l’Égypte ou l’Iran n’avaient pas du tout le visage qu’ils ont aujourd’hui, et que l’islamisation qui à suivie n’est pas une cause mais un effet.

votre avatar

Heu … le dernier problème(parmi beaucoup d’autres, certains parlent encore de 200 bugs) vient d’être trouvé il y a un mois. Entre autre choses croquignolettes, il a fallu créer des camions essences spéciaux,&nbsp; il est interdit de les laisser à l’air libre trop longtemps, la crosse d’appontage a été mal placée etc.



&nbsp;Sans compter que le chef des tueurs de petits chats a bien précisé, il y a peu, que le F35 ne pourrait jamais se débrouiller&nbsp; tout seul pour voler mais qu’il lui faudrait toujours être accompagné de F22 parce que les vieux radars repèrent facilement les furtifs (une question de fréquence) même s’ils ont une porté bien moindre que les radars d’aujourd’hui (30 ou 40 bornes maxi).



Et chez les ricains c’est le projet à 1000 milliards (maintien en condition opérationnelle pour 40 ans&nbsp; inclus)



tout ça pour s’apercevoir que les avions comportaient des pièces d’origines&nbsp; chinoises <img data-src=" />

votre avatar







BlindEagleAddict a écrit :



Zyami: AES 256 “ approuvé par la NSA” est truffé de backdoor’s ( portes dérobées). De plus, quelqu’un qui possède du temps, de l’argent et un ordinateur quantique n’aura aucun mal à le décrypter. 




 Le problème étant bel et bien dans la clé, elles transit via le net et sont donc exploitables.












js2082 a écrit :



La clé est sur le terminal téléphonique, souvent peu protégé et piratable.






FUD et approximations que tout cela !      







Voici comment cela fonctionne pour "chiffrer" une partition. Évidemment,&nbsp; l'O.S. a besoin de lire la partition "en clair" et il a donc besoin à un moment d'avoir la clé "en clair" pour effectuer le déchiffrement. Mais ce serait une faille évidente de stocker la clé de chiffrement "en clair" dans un endroit non chiffré. Ce serait comme avoir une super porte blindée avec une maxi serrure, et cacher la clé sous le paillasson : inutile.      







Donc à l'évidence, la clé permettant de déchiffrer est elle-même chiffrée avec une clé/algo fixe + un élément connu de l'utilisateur (mot de passe par exemple). Et sans cet élément connu, impossible donc de trouver la clé maître, et donc impossible de déchiffrer les volumes chiffrés (aux remarques ci-dessous près).      







(Après il y a tout un tas de variantes symétrique/asymétrique, mais le principe est finalement toujours le même que j'ai expliqué de façon simplifiée/vulgarisée ci-dessus).      







Et bien évidemment, jamais le secret de l'utilisateur ni la clé maître déchiffrée ne transite sur le web, tout cela reste local.      









Mais aucun système n'étant inviolable, quelles sont les méthodes pour le "casser", indépendamment des élucubrations sans fondement :






  • une grande avancée mathématique (par rapport à l’algo utilisé) qui permette de simplifier par un facteur gigantesque l’obtention de la clé par brute force. Cela a déjà fait “tomber” régulièrement des algorithmes. Ainsi, pour certains algos, on sait qu’ils ont des faiblesses et ne doivent plus être utilisés (exemple chez vous : le WEP pour la Wifi… ça se casse en 10 minutes chrono)

  • un immense progrès dans l’informatique permettant de brute-forcer des milliards de fois plus vite (ordi quantique…. humm… pas demain matin… après-demain ?). Même sans immenses progrès, les avancées des ordinateurs font que l’on est sans cesse obligé d’augmenter la taille des clés. Cf pour la France les recommandations de l’ANSSI qui donne les tailles de clé (selon algo) ainsi que la durée pour laquelle c’est présumé sûr (sauf avancée “disruptive”).

  • faire avouer le secret détenu par l’utilisateur (contrainte, ingénierie sociale, etc..)

  • attaque du dico sur le secret de l’utilisateur (s’il a été assez nigaud pour mettre des trucs du genre 123456 ou iloveyou)

  • attaque par un “ver/virus/backdoor/faille” sur la mémoire de l’appareil permettant de lire des zones mémoire… bah oui à un moment la clé est forcément en clair, si on sait l’attraper à ce moment là c’est bon !.. Cette attaque est donc impossible dans une enquête une fois qu’on a “saisi” l’appareil de la personne “surveillée”. En effet, une fois que l’appareil n’est plus en sa possession, il ne va plus taper son mot de passe… C’est éventuellement possible par les vendeurs de matériel/gouvernements si l’appareil est saisi allumé et en marche et qu’on arrive à injecter le code à ce moment là sans éteindre la machine (nécessite probablement une backdoor connu du vendeur pour injecter/activer un code permettant de lire la mémoire). D’ailleurs les “failles” qui permettent de lire de la mémoire sont dangereuses précisément pour ça. Récemment Heartbleed dans SSL qui permettait de “leaker” des bouts de mémoire du serveur dans les échanges. Heureusement largement plus de peur que de mal car les bouts de mémoire récupérés étaient aléatoires, pas de moyen de contrôler précisément ce qu’on voulait récupérer. Mais ça restait tout de même une faille très grave. Bien sûr dans le cas d’une backdoor… on imagine qu’elle est codée pour lire précisément ce qu’on veut.



    &nbsp;

    Donc oui, rien n’est inviolable. La sécurité informatique, comme la sécurité physique, c’est juste une histoire de temps et de moyens. Il faut que le temps et les moyens passés à casser la serrure soient suffisamment dissuasifs en fonction de l’objet à protéger pour que l’on atteigne l’objectif.



    Bien évidemment, pour se sécuriser, il faut être conscient de ce qu’on fait. D’ailleurs l’article le décrit très bien, ça ne sert à rien de vouloir cacher des choses sur une partition chiffrée, si on les a dupliquées en clair dans le cloud !..

    Mais même moi qui suit super parano du côté protection vie privée, je ne vois pas bien quel serait l’intérêt d’Apple et Google de mentir sur le fait de savoir déchiffrer une partition chiffrée.



    … et bien évidemment, si vous avez chopé l’appareil “allumé”, là c’est évident ils ont toutes les backdoors qu’il faut pour dumper la mémoire, dont l’endroit contenant la clé en clair (ou le moyen de la recalculer). Par contre, machine éteinte rien à faire, et du reste ça les arrange, ainsi ils ne peuvent pas être mêlés à des “affaires” qui pourraient ternir leurs noms, et ont une bonne image près de leurs clients.





    Et sinon dans le fond, de l’article, c’est bien fait pour eux (le FBI, NSA, et autres). Ils l’ont finalement bien cherché en généralisant&nbsp; l’espionnage de tout le monde. Et le résultat est finalement que ceux qui avaient “vraiment des choses à cacher” et utilisaient le chiffrement pour cela, se retrouvent maintenant fondus dans la masse : résultat inverse à celui escompté, mais tellement prévisible !..


votre avatar

Ah oui, l’Histoire n’existe que depuis les années 1900, avant ça, l’homme n’existait pas et les ricains non plus ^__^

C’est pour ça que les chiites, sunites, kurdes n’existent que depuis le 20em siècle :-)



Ah mais non ! Je pense qu’au-delà des ricains, c’est certainement à cause de Jesus tout ça. Et d’ailleurs si on creuse encore plus loin, je suis certain que c’est à cause des dinosaurs aussi !

Parce que les dinosaures, c’est devenu de l’energie fossile qui est devenue du pétrole qui est devenu la raison de l’invasion des ricains sur le moyen orient :-)

T’as vu ça, je connais l’histoire =DDDD

votre avatar







Bylon a écrit :



Mais ce serait une faille évidente de stocker la clé de chiffrement “en clair” dans un endroit non chiffré. Ce serait comme avoir une super porte blindée avec une maxi serrure, et cacher la clé sous le paillasson : inutile.







Les 4 façons d’entrer dans un lieu verrouillé par une porte:




  • obtenir la clé

  • forcer la serrure

  • passer par un autre accès

  • se faire ouvrir la porte par qqn



    Transposable aisément au monde de la sécurité informatique.


votre avatar







127.0.0.1 a écrit :



Les 4 façons d’entrer dans un lieu verrouillé par une porte:




  • obtenir la clé

  • forcer la serrure

  • passer par un autre accès

  • se faire ouvrir la porte par qqn



    Transposable aisément au monde de la sécurité informatique.





    Je crois que tu as mal lu ce qu’il a écrit!



    Tu sais, chiffrer pour éviter d’être déchiffré, c’est un métier et c’est bien plus compliqué que tu ne le penses.


votre avatar







eliumnick a écrit :



T’es en train de dire que, si par exemple je leur envoie une archive 7z avec un password, ils vont détecter l’empreinte du password ????







Seulement en sacrifiant 3 poulets juste avant d’essayer :transi:





Pour le posteur original de cette ineptie : Non. C’est mathématiquement impossible sur les algos utilisés. Maintenant si tu démontre le contraire c’est que tu as révolutionné le monde des maths donc je te conseille d’écrire un papier au plus vite, la médaille Fields t’attends.


votre avatar

&nbsp;





Bylon a écrit :



FUD et approximations que tout cela ! 




 Voici comment cela fonctionne pour "chiffrer" une partition. Évidemment,&nbsp; l'O.S. a besoin de lire la partition "en clair" et il a donc besoin à un moment d'avoir la clé "en clair" pour effectuer le déchiffrement. Mais ce serait une faille évidente de stocker la clé de chiffrement "en clair" dans un endroit non chiffré. Ce serait comme avoir une super porte blindée avec une maxi serrure, et cacher la clé sous le paillasson : inutile. &nbsp;&nbsp;




&nbsp;

Tu peux très bien chiffrer la partition d’une manière et les données de la partition d’une autre façon.





Donc à l’évidence, la clé permettant de déchiffrer est elle-même chiffrée avec une clé/algo fixe + un élément connu de l’utilisateur (mot de passe par exemple). Et sans cet élément connu, impossible donc de trouver la clé maître, et donc impossible de déchiffrer les volumes chiffrés (aux remarques ci-dessous près).&nbsp;



(Après il y a tout un tas de variantes symétrique/asymétrique, mais le principe est finalement toujours le même que j’ai expliqué de façon simplifiée/vulgarisée ci-dessus).&nbsp;



Et bien évidemment, jamais le secret de l’utilisateur ni la clé maître déchiffrée ne transite sur le web, tout cela reste local.&nbsp;

&nbsp;&nbsp;&nbsp;En fait, dans tout ce que j’ai lu jusqu’à présent, on confond 2 objectifs bien différents:&nbsp;

&nbsp;transmettre de l’information à quelqu’un d’autre et empêcher que quelqu’un d’autre n’accède à votre information.



Pour transmettre de l’information, il y a RSA avec les clés publiques et privés. Cela suffit en général mais il est parfaitement possible de crypter une clé AES (qui en 256 bits est considéré aujourd’hui comme inviolable ou tout au moins, cela prend tellement de temps, qu’on peut le considérer comme tel et si on a des doutes, il suffit d’augmenter la taille de la clé).

Bien sûr, cette clé doit être différente de celle utilisée pour chiffrer ces propres données (un pc par exemple ou son mobile).



Dans le cas du chiffrement de son PC par exemple, l’opération de chiffrement-déchiffrement s’effectue à la volée et donc AES étant plus rapide, c’est cela qu’on utilise sachant que la clé est préalablement chiffré par RSA et que c’est mieux de mettre tout cela dans un élément physique extérieur au PC type dongle USB, carte à puce.



En général, on chiffre également toute les données utilisateurs du PC, les zones temporaires, la mémoire vive, la zone de swap et j’en oublie et bien sûr à la volée. Lorsqu’on efface un fichier sur le disque dur, on peut prévoir plusieurs effacements de la portion du disque dur qui a permis de stocker l’information pour éviter des lectures malveillantes.



Bien sûr, il faut éviter de laisser son mot de passe d’un minimum de 12 caractères sur un post-it et d’éviter de laisser le porte clé (dongle ou carte à puce avec le PC) sachant que s’il s’agit d’une entreprise, elle a une copie des clés ne serait-ce que pour permettre la lecture des messages anciens après révocation d’une clé ou disparition de l’utilisateur pour assurer la continuité.



Dans le cadre par exemple de Google, on chiffre le mobile Android avec un mot de passe.

Les informations que donne Google:Ils ne peuvent déchiffrer car ils n’ont pas la clé et j’avais déjà lu par ailleurs sur NXI que Google stocke dans le cloud en séparant les fichiers en 3 parties sur 3 datacenters différents. On peut aussi supposer (ou pas) que les informations qui sont stockés dans le cloud sont chiffrés avec la même clé qui a servi à stocker dans le mobile. Je pense que les données sont analysées par Google (photos et mails) pour offrir du service et de la publicité ciblée pendant les entrées-sorties mais il n’est pas évident que les données soient &nbsp;stockées en clair dans le cloud justement pour éviter le piratage.&nbsp;Je pense que depuis l’affaire de la NSA, ils ont mis en place des mesures pour défendre leur “commerce”. Je pense aussi que si dans une affaire de justice ou dans une autre (tout finit par se savoir via des journalistes d’investigation ou des lanceurs d’alerte), il montre la capacité à fournir ces informations, cela met en péril la crédibilité qu’on les gens dans leur système.&nbsp;



Il ne faut pas oublier que le chiffrement était il n’y a pas si longtemps une arme de guerre et que pour certains (dixit NXI), le fait de chiffrer (même si il n’était pas possible d’en lire le contenu) éveillait les soupçons. Maintenant, comme tout le monde chiffre, cela va être plus difficile de faire le tri.&nbsp;



Et il ne faut pas oublier qu’il y a des lois dans ce pays (et d’autres): obligation de donner les clés de chiffrement si elles sont demandées. Dans certains pays, on peut vite croupir un certain temps.&nbsp;



Et pour ceux qui n’ont pas confiance dans le cloud, qu’ils réfléchissent où ils stockent leurs données chez eux, est-ce qu’elles sont cryptées, où sont les mots de passe (on risque plus d’être cambriolé avec disparition du disque dur ou du PC) sans compter l’utilisation du PC par le conjoint ou les enfants (virus….).



En plus qu’a-t-on à cacher sachant que les meta données donnent déjà énormément d’informations ?



Je peux parfaitement comprendre que cela en est pour certains hommes politiques ou des entreprises pour des pb de concurrence mais j’ai plus peur de mon atteinte à ma vie privée de mon voisin ou certains de mes collègues que de la nsa (au moins ils savent tout de moi pour me laisser rentrer aux US), de l’état (sécurité intérieur) ou du fisc (j’essaie au maximum de respecter les lois de ce pays car c’est respecter la démocratie).



Quand on y regarde de près: qui a mis en place dans les premiers le ssl sur la messagerie, la double authentification, les VPN sur les hots spots publics, crypter le mobile (au fait pas grand monde le fait), la diffusion des patchs de sécurité (j’ai un nexus pour cette raison).



Je pense qu’on a plus à craindre sur notre comportement face à la sécurité (exemple des mots de passe qui traînent ou trop simples) sans compter le reste. toutes les pénétrations dans un système sont souvent dus par le comportement des utilisateurs et il suffit d’oublier de corriger une faille sur 100 pour que le système soit vulnérable.



Est-ce qu’il vaut mieux passer son temps à protéger l’information dans une entreprise ou qu’elle soit le plus agile possible: sortir un produit en 1 an au lieu de 5 et donc de toujours avoir de l’avance sur la concurrence.&nbsp;

Certainement un mix des deux.

&nbsp;


votre avatar

Mais si, avec la variante de l’attaque par dictionnaire, c’est tout à fait possible : prendre un dictionnaire papier bien lourd, et taper l’utilisateur avec jusqu’à ce qu’il déverrouille son smartphone <img data-src=" />

votre avatar

A priori les niveaux de chiffrement légaux correspondent à la capacité des services à déchiffrer dans un temps raisonnable les informations.

Les chiffrements de google et apple sont probablement déjà cassés.



Ce qui est impossible par contre avec des communications toutes chiffrées par défaut c’est de faire de l’espionnage par mots clé en temps réel comme actuellement car ça demanderait des capacités de calcul phénoménales.

Les mécanismes décrits par les documents de snowden où les services pouvaient aller piocher ce qu’ils voulaient chez les grands du web en sont donc également impactés.

Ca change beaucoup la donne pour les services de renseignement je pense.

votre avatar







yvan a écrit :



A priori les niveaux de chiffrement légaux correspondent à la capacité des services à déchiffrer dans un temps raisonnable les informations.

Les chiffrements de google et apple sont probablement déjà cassés.



Ce qui est impossible par contre avec des communications toutes chiffrées par défaut c’est de faire de l’espionnage par mots clé en temps réel comme actuellement car ça demanderait des capacités de calcul phénoménales.

Les mécanismes décrits par les documents de snowden où les services pouvaient aller piocher ce qu’ils voulaient chez les grands du web en sont donc également impactés.

Ca change beaucoup la donne pour les services de renseignement je pense.







La notion de “niveaux de chiffrement légaux” n’a plus de sens.


votre avatar

légalement d’accord, les fournisseurs d’algos sont néanmoins la main dans la main avec les services et ont des rh poreuses au possible entre les deux.

Mais effectivement si tu inventes un cryptage tu as le droit aujourd’hui de l’utiliser alors que pas forcément il y a 15ans.

votre avatar



Toute tentative de contournement se solderait par un affaiblissement de la sécurité, alors même qu’elle joue un rôle crucial. Une entreprise pourrait par exemple se faire dérober de la propriété intellectuelle. Et les enjeux économiques du monde professionnel sont également en jeu, surtout quand on considère par exemple que plus de la moitié du chiffre d’affaires de Cisco provient d’autres pays.





Comprendre, “Une entreprise américaine pourrait se faire voler de la propriété intellectuelle” et là on comprend mieux pourquoi ils ont les chocottes <img data-src=" />

votre avatar

Le premier commentaire faisait référence aux conséquences de l’ingérence américaine, l’opération ajax est un exemple d’ingérence qui à causé une vivification des tensions des religieuses; C’est un événement qui a plus de 60 ans et qui fait consensus, à moins d’être historien et spécialisé dans cette période je ne vois pas pourquoi tu cherche à argumenter contre.



Ce n’est pas parce que le conflit est antérieur à 1900 qu’il n’était pas entrain de s’apaiser, il me semble que protestants et catholiques ont aussi eu une histoire mouvementée et pourtant aujourd’hui ça va, si un tierce-état avait causé l’arrivé au pouvoir d’un leader religieux durant la laïcisation de la France la situation actuelle serait sûrement différente :/

Pour James Baker du FBI, « le génie du chiffrement est sorti de sa bouteille »

  • Le délicat équilibre entre vie privée et sécurité

  • Contourner le chiffrement par le cloud

  • Clés fragmentées : une solution impraticable

  • « C’est la réalité, nous devons l’accepter »

Fermer