Chiffrement : le directeur de la NSA veut le beurre et l'argent du beurre

Chiffrement : le directeur de la NSA veut le beurre et l’argent du beurre

« Je voudrais qu’on raccourcisse tout, mais sans toucher à la longueur »

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

29/05/2015
81

Chiffrement : le directeur de la NSA veut le beurre et l'argent du beurre

Les États-Unis ont-ils un problème avec le chiffrement des données ? Pas si l’on en croit le directeur de la NSA, Mike Rogers, qui cherche à jouer l’apaisement désormais et à exposer une problématique simple : comment protéger les utilisateurs sans bloquer les enquêtes ou la traque des terroristes ?

L'impossible équation

Depuis les premières révélations autour des documents dérobés par Edward Snowden à la NSA, les appels au chiffrement des données se sont multipliés. Le processus prend une place proéminente dans le monde de la sécurité en général, et Apple et Google ont notamment accéléré sur leurs systèmes mobiles respectifs. Mais cette augmentation ne se fait sans provoquer des inquiétudes dans le monde du renseignement et chez les forces de l’ordre. James Comey, directeur du FBI, était particulièrement ennuyé par « la promotion de quelque chose qui permettra aux gens de se placer hors de portée de la loi ».

Le problème est d’autant plus manifeste que les États-Unis réfléchissent actuellement à résoudre la quadrature du cercle : laisser le chiffrement des données envahir graduellement les applications, systèmes et services, tout en se gardant une voie légale d’obtention des données. Or, comme nous l’indiquions récemment, tout mécanisme visant à se procurer des données qui ne devraient être lisibles que par leur propriétaire pourra nécessairement être exploité par des personnes malintentionnées. Le tout au grand dam des entreprises américaines qui tentent de freiner la méfiance des utilisateurs.

Le directeur de la NSA n'a rien contre le chiffrement, mais...

Officiellement, il n’est pas question de porte dérobée, mais la NSA cherche dans tous les cas à calmer le jeu. Son directeur, Mike Rogers, a participé à une conférence en Estonie hier, au cours de laquelle il a indiqué : « Vous ne m’entendrez pas dire que le chiffrement est une mauvaise chose. Je ne pense pas que ce soit une mauvaise chose. Le chiffrement n’est pas mauvais. Le chiffrement est une partie fondamentale du futur ; je pense qu’il serait ridicule de prétendre l’inverse ».

Mais quel genre de futur exactement ? Un futur dans lequel il souhaiterait que ce qui est aujourd’hui possible avec les données téléphoniques le devienne « pour Internet et l’ère numérique ». Il fait ici référence à une infrastructure légale qui permet à la NSA et aux forces de l’ordre d’obtenir les métadonnées téléphoniques, voire les conversations elles-mêmes. En fait, un socle légal, constitué de plusieurs lois (essentiellement le Patriot Act et le FISA), permettant de clarifier qui peut faire quoi, et comment.

Qu’on ne s’y trompe pas : si Mike Rogers loue le chiffrement, il n’est pas question pour autant de le laisser progresser de manière sauvage. Ce ne serait d’ailleurs pour lui pas dans l’intérêt à long terme des nations : « J’ai bien entendu un grand respect pour ceux qui défendent l’idée que le plus important est d’assurer la vie privée de nos citoyens et que nous ne devrions, par aucun moyen, laisser le gouvernement accéder aux informations. Je dirais pour ma part que ce n’est pas dans l’intérêt à long terme de la nation, que nous devons créer une structure qui nous permettrait de réaliser ça, tout en étant conscient que ce doit être fait de manière légale et que ce ne soit pas être arbitraire ». Un point de vue qui n'est pas sans rappeler celui de Barack Obama.

Une union des pays autour de règles communes

Il indique surtout qu’une telle structure devrait être internationale, pour que l’ensemble des pays traite de la même manière cet épineux cas de figure. Selon le directeur de la NSA, toutes les nations devraient s’unir autour d’un jeu de règles commun, leur permettant d’aborder le chiffrement de la même manière, avec d’un côté ce que les citoyens peuvent faire, et de l’autre comment obtenir les données sur un smartphone par exemple en cas d’enquête. On se rappellera à ce sujet qu’un rapport des forces de l’ordre mettait en avant une difficulté croissante pour la police de percer le chiffrement de certains appareils impliqués dans des enquêtes. La question alors posée était simple : des crimes ne seront-ils plus punis à cause du trop fort chiffrement des appareils mobiles ?

C’est la question qui revient désormais sans cesse et qui pose la problématique du curseur. Ce dernier oscille entre efficacité des forces de l’ordre et respect de la vie privée, et donc entre deux questions extrêmes : les citoyens doivent-ils renoncer à leur vie privée pour prendre en compte les nouveaux moyens que les criminels peuvent utiliser pour se protéger ? Ou les forces de l’ordre doivent-elles accepter l’idée que certaines enquêtes n’aboutiront pas parce que le chiffrement place certaines informations hors de leur portée ?

La réflexion en cours aux États-Unis montre clairement quel est l’avis du gouvernement sur le sujet. Les différents responsables qui s’expriment sur le sujet tournent tous autour de cette possibilité de laisser le chiffrement suivre son cours et envahir les services de communication, tout en laissant une voie d’accès quand c’est nécessaire. Mais quel sera alors le discours quand les acteurs impliqués auront la preuve qu’une porte peut être ouverte par n’importe qui ?

81

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

L'impossible équation

Le directeur de la NSA n'a rien contre le chiffrement, mais...

Une union des pays autour de règles communes

Commentaires (81)


cyrano2 Abonné
Le 29/05/2015 à 08h 19

Je sens qu’il va y avoir des lois qui condamne le fait de ne pas donner son mots de passe aussi fortement que si la personne était coupable du crime dont il est soupçonné.


Xanatos Abonné
Le 29/05/2015 à 08h 22

déjà plus ou moins le cas

c’est assez hypocrite en fait, tu peux chiffrer comme une brute, mais si au cours d’une perquisition/GAV tu refuses de donner tes id/pwd c’est assimilé à du blocage/entrave dans l’instruction judiciaire



bref, les conteneurs chiffrés et surtout cachés ont de l’avenir


Le 29/05/2015 à 08h 23

Utilisez du chiffrement, mais seulement ceux qu’on sait casser!!!!




« Je voudrais qu’on raccourcisse tout, mais sans toucher à la longueur »



cela sent la saucisse de GoT ,cette citation <img data-src=" />.



Sinon ,si la nsa apprends pour la crémière ,elle va prendre cher aussi ,non ? <img data-src=" />


Le 29/05/2015 à 08h 24

« Ce qui m’ennuie avec tout ceci est que des entreprises fassent expressément la promotion de quelque chose qui permettra aux gens de se placer hors de portée de la loi »

« Vous ne m’entendrez pas dire que le chiffrement est une mauvaise chose. Je ne pense pas que ce soit une mauvaise chose. Le chiffrement n’est pas mauvais. Le chiffrement est une partie fondamentale du futur ; je pense qu’il serait ridicule de prétendre l’inverse ».





Lol ?


bouleshit



&nbsp;


“Selon le directeur de la NSA, toutes les nations devraient s’unir autour d’un jeu de règles commun”







Non c’est vrai quoi, comprenez nous ca va etre chiant pour nous de surveiller les autres pays si chacun fait ce qu’il veut sur notre… excusez moi, je veux dire sur leur territoire.





Ca passera son truc vous croyez ?

Parce que c’est tout de même tres gros au vu des antécédents qu’ils ont.


Le 29/05/2015 à 08h 27







Papa Panda a écrit :



Sinon ,si la nsa apprends pour la crémière ,elle va prendre cher aussi ,non ? <img data-src=" />





elle aura droit à une Black Box Connected, façon BackDoor.



Le 29/05/2015 à 08h 30







dematbreizh a écrit :



elle aura droit à une Black Box Connected, façon BackDoor.







<img data-src=" />



Le 29/05/2015 à 08h 31







x689thanatos a écrit :



“Selon le directeur de la NSA, toutes les nations devraient s’unir autour d’un jeu de règles commun”



Ca passera son truc vous croyez ?

Parce que c’est tout de même tres gros au vu des antécédents qu’ils ont.





Ça va être simple de convaincre la Corée du nord, la chine et la Russie, pour commencer.

“Alors vous voyer, quand vous cliquez ici, vous accédez aux données de vos citoyens.”



Je ne parle même pas de la France.

Monde de merde, Georges.



Le 29/05/2015 à 08h 35

Il n’a pas tort, sur le principe.



Mais au vu de leurs agissements, je ne peux pas leur faire confiance.


Le 29/05/2015 à 08h 40



toutes les nations devraient s’unir autour d’un jeu de règles commun





A mais oui, personne n’avait songé avant lui à unir le monde !&nbsp;



De toute façon faut attendre un an ou deux, d’ici là tout sera dans le Cloud et les protections physiques chiantes types des smartphone ne serviront plus à rien…


Le 29/05/2015 à 08h 41







Xanatos a écrit :



déjà plus ou moins le cas

c’est assez hypocrite en fait, tu peux chiffrer comme une brute, mais si au cours d’une perquisition/GAV tu refuses de donner tes id/pwd c’est assimilé à du blocage/entrave dans l’instruction judiciaire



bref, les conteneurs chiffrés et surtout cachés ont de l’avenir





C’est vrai, mais tu peux aussi refuser de parler, le silence étant un droit absolue de la défense.

Ensuite, tu peux refuser de d’auto-incriminer qui est un des droits de l’homme reconnu par la CEDH.



Qu’ils te condamnent pour avoir refusé d’avoir donné un mot de passe, le jugement sera cassé automatiquement par la CEDH.



jb07 Abonné
Le 29/05/2015 à 08h 43

C’est déjà le cas dans certains pays. C’est pour cette raison que TrueCrypt permet d’avoir deux mots de passe : un pour accéder aux données qu’on veut masquer, un autre pour accéder à des données bidons, qu’on peut dévoiler aux enquêteurs trop curieux.


Le 29/05/2015 à 08h 45

C’est quoi cette actu. Le mec trolle alors qu’on est pas ‘dredi. Vincent, je demande un coup de sword sur cette actu et les propos trollesques du ce Monsieur.

<img data-src=" />


Le 29/05/2015 à 08h 45

L’envie de chiffrement n’est qu’un juste retour de bâton pour la NSA après avoir espionné la planète entière et ses propres concitoyens. C’est ce qui se passe quand on abuse d’un pouvoir.


Qruby Abonné
Le 29/05/2015 à 08h 47







Xanatos a écrit :



déjà plus ou moins le cas

c’est assez hypocrite en fait, tu peux chiffrer comme une brute, mais si au cours d’une perquisition/GAV tu refuses de donner tes id/pwd c’est assimilé à du blocage/entrave dans l’instruction judiciaire



bref, les conteneurs chiffrés et surtout cachés ont de l’avenir





Il reste toujours le mode “Plausible Deniability” de TrueCrypt si t’es vraiment parano. Cela permet d’avoir 2 mots de passes: un qui redirige vers une partie qui semble être ce dont on tentait de protéger et un qui redirige vers une partie vraiment protégée. Il est impossible sur un disque de stockage de savoir dans quelle partie on est, et s’il y a deux parties ou non.



Le 29/05/2015 à 08h 53

Oui c’est déjà le cas comme en Chine par ex, où la puce TPM des laptops est interdite, et si vous ne déchiffrez pas les données de votre laptop au contrôle douane, vous restez bloqués à l’aéroport.


jb07 Abonné
Le 29/05/2015 à 09h 00

Dans ma boîte, et dans bien d’autres je suppose, on a interdiction d’emmener des données sensibles à l’étranger, et en particulier en Chine. On peut y accéder via une liaison sécurisée.



Comme quoi ces mesures, qui visent plus l’espionnage économique que la lutte anti-terroriste, ne servent pas à grand chose.


Le 29/05/2015 à 09h 04

Le sous-titre me fait penser à la vidéo des sept lignes rouges perpendiculaires entre elles, dont une en forme de chaton, tracées avec de l’encre verte, bleue et transparente <img data-src=" />


Le 29/05/2015 à 09h 06

owi, j’ai adoré cette video, trop epic et tellement représentative des réunions avec des gens non techniques <img data-src=" />


Le 29/05/2015 à 09h 07

ou en Israel, c’est pareil, les douaniers doivent accéder à ton compte mail sinon tu passes pas.


Le 29/05/2015 à 09h 09







Avygeil a écrit :



ou en Israel, c’est pareil, les douaniers doivent accéder à ton compte mail sinon tu passes pas.





Faut avoir deux comptes mail dans ce cas… Le vrai, qu’on ne mentionne pas, et un bidon, qu’on leur montre.



Le 29/05/2015 à 09h 11







TBirdTheYuri a écrit :



Le sous-titre me fait penser à la vidéo des sept lignes rouges perpendiculaires entre elles, dont une en forme de chaton, tracées avec de l’encre verte, bleue et transparente <img data-src=" />







Comment 7 lignes peuvent être perpendiculaires entre elles dans un espace orthonormé ???



tazvld Abonné
Le 29/05/2015 à 09h 13

Le coup de la coopération internationale est pas mal. Il veulent en gros que tout le monde coopère, mais bon, j’ai comme un doute qu’ils soient vraiment d’accord pour laisser la Chine, la Russie, la Syrie… pouvoir profiter eux aussi des fruits de cette coopération.









Xanatos a écrit :



déjà plus ou moins le cas

c’est assez hypocrite en fait, tu peux chiffrer comme une brute, mais si au cours d’une perquisition/GAV tu refuses de donner tes id/pwd c’est assimilé à du blocage/entrave dans l’instruction judiciaire



bref, les conteneurs chiffrés et surtout cachés ont de l’avenir







A priori, au USA, tu as le droit de “garder le silence” (a voir si il n’y a pas un petit alinéa à cette loi). Bon, c’est seulement le droit de fermer ta gueule, rien ne les empêche à prendre tes empreintes digitals (et pas numérique) te faire un scan rétiniens, faire un test génétique…



Le 29/05/2015 à 09h 15

bah justement! c’est tout le sujet de la vidéo.


Le 29/05/2015 à 09h 21



tout en étant conscient que ce doit être fait de manière légale et que ce ne soit pas être arbitraire





C’est tout le problème: le légal et le non-arbitraire.



Actuellement, la légalité est toute relative et le non-arbitraire n’existe pas.

Impossible de vérifier ni les abus, ni les atteintes à la vie privée.

Impossible de se défendre contre ces abus/atteintes.



Si t’es américain, t’es mal.

Si t’es non américain, t’as aucun droit tout court.

&nbsp;

En fait, le gros problème, c’est leurs méthodes qui sont à revoir entièrement.

Mais, ça , avant que ça arrive…


Le 29/05/2015 à 09h 24







tazvld a écrit :



A priori, au USA, tu as le droit de “garder le silence” (a voir si il n’y a pas un petit alinéa à cette loi). Bon, c’est seulement le droit de fermer ta gueule, rien ne les empêche à prendre tes empreintes digitals (et pas numérique) te faire un scan rétiniens, faire un test génétique…





Garder le silence peut aussi être retenu contre toi.



Il en est de même en France où les juges sont encore plus sévères à l’encontre de ces individus trop calmes.



Le 29/05/2015 à 09h 32







eliumnick a écrit :



Comment 7 lignes peuvent être perpendiculaires entre elles dans un espace orthonormé ???





http://www.koreus.com/video/the-expert.html&nbsp;<img data-src=" />



Le 29/05/2015 à 09h 34







TBirdTheYuri a écrit :



http://www.koreus.com/video/the-expert.html<img data-src=" />







Merci. Je la regarderais plus tard.



Le 29/05/2015 à 09h 39

ouais mais si tu dis rien, ils peuvent pas le retenir contre toi: Bluetouffaurait mieux fait de fermer sa mouille, ils auraient pas eu d’aveux.


Le 29/05/2015 à 09h 40







geekounet85 a écrit :



ouais mais si tu dis rien, ils peuvent pas le retenir contre toi: Bluetouf aurait mieux fait de fermer sa mouille, ils auraient pas eu d’aveux explications sur comment fonctionne internet.







<img data-src=" />



Dommage que la justice se serve de ces notions de base pour condamner qq1 <img data-src=" />



Eagle1 Abonné
Le 29/05/2015 à 09h 44

c’est assez logique en faite…


Le 29/05/2015 à 09h 45

peu importe, il a annoncé qu’il savait ce qu’il faisait et qu’il savait qu’il se trouvait dans un lieu ou il devait pas être. que la porte soit grande ouverte ou pas n’y change rien: la Loi indique bien que si tu te maintient frauduleusement dans un système informatisé, tu es condamnable. c’est le terme “maintient” qui est important. il serait juste passé et n’aurait rien pompé et aurait fait part de sa découverte, ou en tout cas c’est ce qu’il aurait dit lors de sa grade à vue, il y aurait rien eu contre lui.


Le 29/05/2015 à 09h 46







geekounet85 a écrit :



peu importe, il a annoncé qu’il savait ce qu’il faisait et qu’il savait qu’il se trouvait dans un lieu ou il devait pas être. que la porte soit grande ouverte ou pas n’y change rien: la Loi indique bien que si tu te maintient frauduleusement dans un système informatisé, tu es condamnable. c’est le terme “maintient” qui est important. il serait juste passé et n’aurait rien pompé et aurait fait part de sa découverte, ou en tout cas c’est ce qu’il aurait dit lors de sa grade à vue, il y aurait rien eu contre lui.







On va pas reprendre les explications, mais c’est pas pake www.machin.com est accessible uniquement par login/mdp que www.machin.com/truc l’est aussi.



Le 29/05/2015 à 09h 50







Qruby a écrit :



Il reste toujours le mode “Plausible Deniability” de TrueCrypt si t’es vraiment parano. Cela permet d’avoir 2 mots de passes: un qui redirige vers une partie qui semble être ce dont on tentait de protéger et un qui redirige vers une partie vraiment protégée. Il est impossible sur un disque de stockage de savoir dans quelle partie on est, et s’il y a deux parties ou non.





Si tu utilises TrueCrypt, tu utilises forcément le “déni plausible” : c’est ce que va penser n’importe quel enquêteur.

De même, tu peux parfaitement nier utiliser TrueCrypt, même s’il est installé, et qu’un gros fichier aux données aléatoires est un conteneur chiffré. Le déni sera ici tout autant plausible.



La différence, c’est qu’en montrant un volume externe aux trois quarts vide, tu vas énerver l’enquêteur et ça va se retourner contre toi.

Voilà pourquoi le “déni plausible” à la TrueCrypt est au mieux inutile, au pire contre-productif.



Le pire, c’est qu’à cause de toutes les traces générées par TrueCrypt et par le système, il peut être dans certains cas possible de prouver que tu mens. Alors il reste le chiffrement du système, mais c’est pratiquement impossible à utiliser de manière correcte.



Le 29/05/2015 à 09h 52







vampire7 a écrit :



Si tu utilises TrueCrypt, tu utilises forcément le “déni plausible” : c’est ce que va penser n’importe quel enquêteur.

De même, tu peux parfaitement nier utiliser TrueCrypt, même s’il est installé, et qu’un gros fichier aux données aléatoires est un conteneur chiffré. Le déni sera ici tout autant plausible.



La différence, c’est qu’en montrant un volume externe aux trois quarts vide, tu vas énerver l’enquêteur et ça va se retourner contre toi.

Voilà pourquoi le “déni plausible” à la TrueCrypt est au mieux inutile, au pire contre-productif.



Le pire, c’est qu’à cause de toutes les traces générées par TrueCrypt et par le système, il peut être dans certains cas possible de prouver que tu mens. Alors il reste le chiffrement du système, mais c’est pratiquement impossible à utiliser de manière correcte.







T’es en train de dire que le volume caché de TC peut être identifié ? Vraiment ? Aurais tu une source, car de mémoire même les audits n’ont pas mis cela en évidence.



Le 29/05/2015 à 09h 54







TBirdTheYuri a écrit :



http://www.koreus.com/video/the-expert.html&nbsp;<img data-src=" />





Hahahah excellent, très ressemblant à certains copils que j’ai pu faire xD



Le 29/05/2015 à 09h 54







TBirdTheYuri a écrit :



http://www.koreus.com/video/the-expert.html&nbsp;<img data-src=" />





<img data-src=" />



Énorme.

Ça me rappelle fortement certains individus du boulot, exactement dans la même veine.



Le 29/05/2015 à 09h 57







vampire7 a écrit :



Si tu utilises TrueCrypt, tu utilises forcément le “déni plausible” : c’est ce que va penser n’importe quel enquêteur.

De même, tu peux parfaitement nier utiliser TrueCrypt, même s’il est installé, et qu’un gros fichier aux données aléatoires est un conteneur chiffré. Le déni sera ici tout autant plausible.



La différence, c’est qu’en montrant un volume externe aux trois quarts vide, tu vas énerver l’enquêteur et ça va se retourner contre toi.

Voilà pourquoi le “déni plausible” à la TrueCrypt est au mieux inutile, au pire contre-productif.



Le pire, c’est qu’à cause de toutes les traces générées par TrueCrypt et par le système, il peut être dans certains cas possible de prouver que tu mens. Alors il reste le chiffrement du système, mais c’est pratiquement impossible à utiliser de manière correcte.





Et si tu imbriques les TrueCrypt &nbsp;?&nbsp;

&nbsp;- le premier conteneur “public” peut contenir des fichiers persos (genre fiches de paies, relevés de comptes,…)




  • le premier conteneur privé contient un trueCrypt avec deux autres conteneurs.



Le 29/05/2015 à 09h 57







eliumnick a écrit :



T’es en train de dire que le volume caché de TC peut être identifié ?





Non.



Vincent_H Abonné
Le 29/05/2015 à 09h 59

Ben t’es dans quel jour de la semaine toi ?&nbsp;<img data-src=" />


non. Ce qu’il veut dire, c’est que l’enquêteur soupconnera des données cachées en voyant la différence de taille du conteneur et des fichiers factices à l’intérieur. Du genre, le conteneur fait 100 Go mais il n’y a que 3 fichiers texte dedans qui font 500 Ko à tout casser.

Sauf que voilà. Si on utilise un volume avec une taille fixe, même s’il est vide, il prendra la même place et semblera plein. Donc il faut juste mettre des fichiers crédibles et s’inventer une excuse crédible pour tout l’espace inutilisé.


Le 29/05/2015 à 10h 03







gokudomatic a écrit :



non. Ce qu’il veut dire, c’est que l’enquêteur soupconnera des données cachées en voyant la différence de taille du conteneur et des fichiers factices à l’intérieur. Du genre, le conteneur fait 100 Go mais il n’y a que 3 fichiers texte dedans qui font 500 Ko à tout casser.

Sauf que voilà. Si on utilise un volume avec une taille fixe, même s’il est vide, il prendra la même place et semblera plein. Donc il faut juste mettre des fichiers crédibles et s’inventer une excuse crédible pour tout l’espace inutilisé.







Si le conteneur est un volume qui occupe 100% d’un HDD, je ne vois pas trop comment l’enquêteur peu même espérer insinuer le doute. (“oui j’ai des HDDs qui sont presque vides. et alors? c’est interdit ?”)



Le 29/05/2015 à 10h 03







gokudomatic a écrit :



Donc il faut juste mettre des fichiers crédibles et s’inventer une excuse crédible pour tout l’espace inutilisé.





Sauf que tu ne trouveras pas d’excuse crédible, parce que l’enquêteur aura décidé que tu ne l’es pas.



On n’est pas jugé sur preuves, mais sur intime conviction.



Mihashi Abonné
Le 29/05/2015 à 10h 04

C’est le principe du déni plausible : un conteneur invisible à l’intérieur d’un conteneur classique.


Le 29/05/2015 à 10h 05







vampire7 a écrit :



Sauf que tu ne trouveras pas d’excuse crédible, parce que l’enquêteur aura décidé que tu ne l’es pas.



On n’est pas jugé sur preuves, mais sur intime conviction.







Heureusement, ce ne sont pas les enquêteurs qui jugent.



Le 29/05/2015 à 10h 07







eliumnick a écrit :



Heureusement, ce ne sont pas les enquêteurs qui jugent.





Marrant, moi j’aurais dit “malheureusement”…



Le 29/05/2015 à 10h 09







gokudomatic a écrit :



non. Ce qu’il veut dire, c’est que l’enquêteur soupconnera des données cachées en voyant la différence de taille du conteneur et des fichiers factices à l’intérieur. Du genre, le conteneur fait 100 Go mais il n’y a que 3 fichiers texte dedans qui font 500 Ko à tout casser.

Sauf que voilà. Si on utilise un volume avec une taille fixe, même s’il est vide, il prendra la même place et semblera plein. Donc il faut juste mettre des fichiers crédibles et s’inventer une excuse crédible pour tout l’espace inutilisé.





Il faut faire l’inverse évidemment. T’as 3 Go à cacher? Tu crées un conteneur de 30 Go, dans lequel tu fous 20 Go de conneries susceptible de justifier d’être cachées dans la partie “publique”, et les 3 Go dans la partie “privée”.

-Pourquoi y’a 10 Go de vide monsieur?-Pour pouvoir rajouter des fichiers…



Le 29/05/2015 à 10h 09







Mihashi a écrit :



C’est le principe du déni plausible : un conteneur invisible à l’intérieur d’un conteneur classique.





Ca je sais bien, ce que je demandais c’est : si le flic sait ou soupçonne fortement que tu utilises TrueCrypt et donc que tu as un conteneur caché, est ce que les imbriquer résout la chose ?



De toutes façons rien ne vaut la stéganographie dans des grosses images si on veut vraiment cacher quelque chose &nbsp;(bon ok, ça marche pas si on a trop de données à cacher non plus).



Le 29/05/2015 à 10h 13







eliumnick a écrit :



Si le conteneur est un volume qui occupe 100% d’un HDD, je ne vois pas trop comment l’enquêteur peu même espérer insinuer le doute. (“oui j’ai des HDDs qui sont presque vides. et alors? c’est interdit ?”)





Utiliser un second disque à pleine capacité est aussi une bonne astuce.

-C’est louche tout cet espace vide monsieur, pourquoi un disque si gros plein de vide?-J’ai pris 500 Go parce que c’était le moins cher du magasin… Et le plus petit aussi.



Le 29/05/2015 à 10h 16







TBirdTheYuri a écrit :



Utiliser un second disque à pleine capacité est aussi une bonne astuce.

-C’est louche tout cet espace vide monsieur, pourquoi un disque si gros plein de vide?-J’ai pris 500 Go parce que c’était le moins cher du magasin… Et le plus petit aussi.







Y a plein de moyens de le justifier. En fait a peu près autant que de moyen de justifier que c’est louche.



Donc, on fait appel à la conviction de l’enquêteur. Et les erreurs judiciaires en France nous apprennent qu’ils ne faut surtout par se baser la conviction de l’enquêteur pour juger qq1.



Winderly Abonné
Le 29/05/2015 à 10h 23







geekounet85 a écrit :



peu importe, il a annoncé qu’il savait ce qu’il faisait et qu’il savait qu’il se trouvait dans un lieu ou il devait pas être. que la porte soit grande ouverte ou pas n’y change rien: la Loi indique bien que si tu te maintient frauduleusement dans un système informatisé, tu es condamnable. c’est le terme “maintient” qui est important. il serait juste passé et n’aurait rien pompé et aurait fait part de sa découverte, ou en tout cas c’est ce qu’il aurait dit lors de sa grade à vue, il y aurait rien eu contre lui.







Jusqu’à preuve du contraire, il n’a jamais dit une chose pareille.



Le 29/05/2015 à 10h 26

Il a fortement raison quand il dit que le chiffrement fera partie du futur. Ce sera une clé vitale et un objectif de performance rendant l’informatique moins innocent au passage.


Ami-Kuns Abonné
Le 29/05/2015 à 10h 32

Tes rester coincé dans le 4éme Jeudi de la semaine? <img data-src=" />


Le 29/05/2015 à 10h 42







TBirdTheYuri a écrit :



http://www.koreus.com/video/the-expert.html<img data-src=" />







Effectivement ^^ Ca me rappelle le taff ^^



Mais sinon l’expert aurait simplement pu dire que l’univers empêche la réalisation de ce dessin (car au hasard il est hérétique ? ^^)



Le 29/05/2015 à 10h 43

Un jury et un juge qui préside, c’est pire qu’un enquêteur….&nbsp;



A choisir je préfère être jugé par un flic qui, s’il connait TC doit au moins savoir deux trois trucs et avoir uen vision plus réaliste de ta “dangerosité potentielle” que par des péquins moyens influencés à mort par TF1.


Le 29/05/2015 à 10h 48







Avygeil a écrit :



Un jury et un juge qui préside, c’est pire qu’un enquêteur…. 



A choisir je préfère être jugé par un flic qui, s’il connait TC doit au moins savoir deux trois trucs et avoir uen vision plus réaliste de ta “dangerosité potentielle” que par des péquins moyens influencés à mort par TF1.







L’affaire Bluetouff montre justement que les enquêteurs soit disant spécialisé n’y connaissent rien de plus que “les péquins moyens influencés à mort par TF1”.



Au moins avec le juge, on peut utiliser la loi pour essayer de se défendre.



Le 29/05/2015 à 10h 53

Sauf que pour le coup Bluetouff a à demi avoué qu’il savait qu’il était dans un endroit protégé… Ca ça pardonne pas…&nbsp;



La DCRI a vite vu que l’ANSES n’a pas été piraté, mais que BT avait exploité une faille pour RESTER dans leur extranet…&nbsp;



Et puis il a eu 3000€ d’amende quoi, il est pas en taule.


Le 29/05/2015 à 10h 58







Avygeil a écrit :



Sauf que pour le coup Bluetouff a à demi avoué qu’il savait qu’il était dans un endroit protégé… Ca ça pardonne pas… 



La DCRI a vite vu que l’ANSES n’a pas été piraté, mais que BT avait exploité une faille pour RESTER dans leur extranet… 



Et puis il a eu 3000€ d’amende quoi, il est pas en taule.







Il n’y a qu’une personne qui n’y connait rien en informatique pour croire que cela constitue un aveu. Cf post #35



Le 29/05/2015 à 11h 41







Avygeil a écrit :



Sauf que pour le coup Bluetouff a à demi avoué qu’il savait qu’il était dans un endroit protégé… Ca ça pardonne pas…&nbsp;



La DCRI a vite vu que l’ANSES n’a pas été piraté, mais que BT avait exploité une faille pour RESTER dans leur extranet…&nbsp;



Et puis il a eu 3000€ d’amende quoi, il est pas en taule.





Une recherche google et un wget, paie ta faille :p



Le 29/05/2015 à 11h 42

C’est contre le 5eme amendement (de mémoire) qui autorise à ne pas témoigner contre soit-même.&nbsp;


Non, le mise en cause a toujours le droit au silence.&nbsp; L’application en France a été difficile mais c’est toujours d’actualité.



Ce dont tu parles, c’est pour un tiers.



http://rue89.nouvelobs.com/2015/02/05/si-police-demande-est-oblige-donner-mot-pa…



“Aucune loi ne punit le fait de ne pas révéler le mot de passe

permettant de déverrouiller son téléphone portable, son ordinateur, sa

tablette ou tout autre support informatique sur lequel figurent des

données en clair.

«&nbsp;C’est comme une personne qui refuse d’ouvrir sa porte&nbsp;», rappelle Pascal Steyer, major N-tech de la gendarmerie.”&nbsp;


En France aussi, tu as&nbsp; le droit de garder le silence. Et c’est très conseillé en GAV.


Le 29/05/2015 à 12h 19

Ce serait le pire du pire : tout chiffré, et seuls les US pourraient déchiffrer, sans aucun contre-pouvoir dans le monde.



Pour eux, le rêve absolu à n’en pas douter.



“Pour vivre heureux vivons cachés”, et pourtant ce proverbe ne date pas d’hier…


Le 29/05/2015 à 12h 21

Le mieux serait de laisser tout le trafic US passer en clair, courriel, achats en ligne, banque, bourse… Je leur conseille de faire ça…



Après ça sera les premiers à pleurer dans de fausses histoires comme Sony Pictures où ils se sont fait hacker la masse de données… Je n’imagine même pas les dégâts de Sony s’il n’y avait pas eu de chiffrement…



<img data-src=" />



<img data-src=" />


Le 29/05/2015 à 12h 24

pas besoin de s’y connaitre en info pour comprendre “La personne dit qu’elle savait qu’elle était en infraction, et elle l’a continuée”.


Le 29/05/2015 à 12h 31







Avygeil a écrit :



pas besoin de s’y connaitre en info pour comprendre “La personne dit qu’elle savait qu’elle était en infraction, et elle l’a continuée”.







Alors c’est une faute professionnelle. Si demain je vais voir les flics en leur disant que j’ai tué untel, la moindre des choses est de vérifier si j’ai réellement commis ce meurtre, et si untel est réellement mort.



Le 29/05/2015 à 12h 45

et le cul de la crémière <img data-src=" />&nbsp;


Mihashi Abonné
Le 29/05/2015 à 12h 58

Non, c’est pour conclure qu’elle dit qu’elle savait être en infraction, alors que ce n’est pas le cas, qu’il ne faut pas être doué en info.


Le 29/05/2015 à 14h 32

C’est exactement la réflexion que je me faisais. Il faudrait dans le meilleur du monde avoir une approche 4-yeux qui permettent à un utilisateur de chiffrer ses données, mais de permettre à des tiers de pouvoir y accéder mais aux conditions suivantes:

&nbsp;-La clé d’accès en urgence composé de 2 clés de chiffrement;

&nbsp;-Chacune de ces clés détenues par 2 entités distinctes et étatiques (ex. ministère de la justice et de l’intérieur ou défense);

&nbsp;-Dans les cas d’enquêtes pour flagrance avertir la personne visée;

&nbsp;-Dans les cas d’enquêtes plus complexe, sensisble ou à visée anti-terroriste ne pas avertir la personne visée ou le groupe visé bien sur, mais l’inscrire dans un processus sous contrôle judiciaire.

&nbsp;

&nbsp;Bref, c’est un peu long à expliquer et pas très claire, mais il est possible de mettre en place ce genre d’approche, mais effectivement, ça implique une harmonisation et une collaboration supra-nationale.


Le 29/05/2015 à 14h 34







vampire7 a écrit :



La différence, c’est qu’en montrant un volume externe aux trois quarts vide, tu vas énerver l’enquêteur et ça va se retourner contre toi.





Il s’agit de bon sens. Je vais passer à TC car “tout ça” commence à me gonfler.

Si j’ai des trucs à cacher à des gens, il y en aura peu. Donc autant balancer plein de trucs dans l’autre espace, et du coup il est plus dur pour eux de détecter que l’espace soi-disant vide ne l’est pas.

Et pour légitimer l’usage de TC, placer bien sur du pron “pas très catholique”.



Le 29/05/2015 à 14h 45







Vincent_H a écrit :



Ben t’es dans quel jour de la semaine toi ? <img data-src=" />







Ah bordel, oublie, pas dormi depuis 2 jours, c’est pour ça, je suis resté à mercredi…



Le 29/05/2015 à 14h 52

J’ai tout compris <img data-src=" />


Le 29/05/2015 à 15h 49

“Le processus prend une place proéminente” (!) Plutôt&nbsp;prééminente non ?


Winderly Abonné
Le 29/05/2015 à 15h 53







Avygeil a écrit :



pas besoin de s’y connaitre en info pour comprendre “La personne dit qu’elle savait qu’elle était en infraction, et elle l’a continuée”.





Sauf que la personne a pas dit savoir être en infraction…



Le 29/05/2015 à 21h 56

Comme le prélèvement ADN en fait.


Vincent_H Abonné
Le 30/05/2015 à 02h 00

<img data-src=" />


FennNaten Abonné
Le 30/05/2015 à 02h 32

Toute l’ironie de la chose apparaît quand on sait que les deux dernières failles découvertes du protocole TLS, permettant de méchants man-in-the-middle, sont dues à des trucs ajoutés pour satisfaire les exigences des USA en terme d’exports des technologies de crypto… FREAK, logjam&nbsp;&nbsp;Merci les mecs de laisser trainer vos vieilles backdoors pour l’usage des black hats à travers le monde…


Qruby Abonné
Le 30/05/2015 à 11h 12







vampire7 a écrit :



Si tu utilises TrueCrypt, tu utilises forcément le “déni plausible” : c’est ce que va penser n’importe quel enquêteur.

De même, tu peux parfaitement nier utiliser TrueCrypt, même s’il est installé, et qu’un gros fichier aux données aléatoires est un conteneur chiffré. Le déni sera ici tout autant plausible.



La différence, c’est qu’en montrant un volume externe aux trois quarts vide, tu vas énerver l’enquêteur et ça va se retourner contre toi.

Voilà pourquoi le “déni plausible” à la TrueCrypt est au mieux inutile, au pire contre-productif.



Le pire, c’est qu’à cause de toutes les traces générées par TrueCrypt et par le système, il peut être dans certains cas possible de prouver que tu mens. Alors il reste le chiffrement du système, mais c’est pratiquement impossible à utiliser de manière correcte.





Je dis pas que c’est facile de l’utiliser, mais si on souhaite vraiment le faire bien, c’est tout à fait possible. Justement tu peux mettre le plausible avec 34 de l’espace, et utiliser TrueCrypt ça n’a rien de suspect en soit (beaucoup d’entreprises l’utilise car il est OpenSource).



&nbsp;