Face à la NSA, Microsoft prévoit aussi le chiffrement intégral des données

Face à la NSA, Microsoft prévoit aussi le chiffrement intégral des données

Snowden maudit pour longtemps dans la communauté du renseignement

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

27/11/2013
76

Face à la NSA, Microsoft prévoit aussi le chiffrement intégral des données

Microsoft réfléchit actuellement à faire du chiffrement des données un standard d’entreprise pour l’ensemble de ses communications. Cette information, obtenue par le Washington Post, signe à la manière de Yahoo! une forme de réaction à l’actualité des derniers mois sur les programmes de surveillance de la NSA.

datacenter microsoft

Crédits : Robert Scoble, licence Creative Commons

Microsoft face au chiffrement intégral des données 

Récemment, Marissa Meyer, PDG de Yahoo!, annonçait que d’ici la fin du mois de mars 2014, l’entreprise allait finaliser de grands travaux concernant la sécurité de ses services. En effet, le chiffrement des données débarquera en force, touchant à la fois les communications entre les clients et l’infrastructure de la firme, mais également les communications internes entre les serveurs. Yahoo était le dernier grand acteur à ne pas chiffrer les communications entre ses services et les clients, mais côté serveurs, c’est loin d’être le cas.

 

Chez Microsoft, les connexions entre les clients et les services sont chiffrées dans la majorité des cas. Même s’il ne s’agit pas de mesures anciennes, elles ont le mérite d’avoir été mises en place. Mais le chiffrement intégral, donc à l’échelle de l’entreprise entière, n’est pas encore actif. Par exemple, les échanges entre les serveurs au sein des centres de données ne sont pas concernés pas de telles technologies.

La direction serait en plein remue-méninge 

Selon un nouvel article du Washington Post, un véritable branle-bas de combat a lieu en ce moment chez Microsoft. Plusieurs sources proches du dossier, et ayant tenu à rester anonymes, ont informé le Post que la direction de l’entreprise est pleinement consciente des rapports sur les activités de la NSA depuis le mois de juin. Le chiffrement intégral des données est donc débattu activement, mais les actualités parues depuis le mois dernier ont largement accéléré les réunions.

 

La raison en est qu’un autre article du Washington Post, alimenté par les documents dérobés par Edward Snowden, faisait état le mois dernier d’un nouvel aspect de la surveillance par la NSA. On trouvait ainsi au sein d’un programme nommé Muscular la faculté pour l’agence d’espionner à même les réseaux privés d’entreprises telles que Yahoo, Google ou encore Microsoft, même si les deux premières étaient en première ligne. Cependant, des noms tels que Microsoft Passport et Hotmail étaient présents dans les documents.

Un sérieux effort d'ingénierie 

Selon les personnes interrogées par le Post, ces nouvelles informations auraient eu un impact certain sur la direction à Redmond. Il est difficile actuellement de savoir réellement ce qui est une opération de communication et ce qui est réel. Les grandes entreprises impliquées dans Prism telles que Microsoft, Google, Yahoo, Apple ou encore Facebook ont toutes une importante carte à jouer sur le plan de la communication : elles doivent apparaître comme garantes des secrets qui leur sont confiés. Les communiqués ne sont multipliés tandis que Microsoft et Google, pourtant ennemis, n’ont pas hésité à s’associer pour déposer une plainte commune contre le gouvernement. Objectif : faire débloquer l’autorisation d’en dire davantage sur les demandes qui leur sont faites pour révéler les données personnelles des cibles de la NSA et du FBI.

 

Selon les experts interrogés par le Washington Post, le fait que plusieurs entreprises, y compris Yahoo et Google, travaillent désormais sur un chiffrement intégral de leurs données est nécessairement une bonne chose. Car il n’est pas question ici d’augmenter la seule résilience des systèmes visés contre la NSA et les agences de renseignement en général, mais bien de parer à un plus grand nombre de menaces. La concentration des données à distance, autrement dit le cloud, ne fait que déplacer le problème : c’est moins à l’utilisateur qu’à l’entreprise de veiller à la protection des données, et le chiffrement seul de la connexion avec le client n’est plus suffisant. Pour Matthew Green, de l’université Johns Hopkins, cela reste dans tous les cas « un gros effort d’ingénierie ».

Zone de flou 

Le sujet des grandes entreprises est l’un des principaux points flous dans tout ce qui touche aux activités du renseignement. Les informations sont partielles et parfois contraires. Les premiers documents laissaient entendre que les sociétés participaient sur une base volontaire au remplissage de vastes bases de données sur les utilisateurs des services. Les mois passants, ces premiers rapports ont été nuancés par de nouveaux, montrant surtout que les firmes devaient recevoir des requêtes validées par la FISC (Foreign Intelligence Surveillance Court) avant de procéder à l’extraction des données. Depuis, ces mêmes entreprises apparaissent comme très réticentes, ce qui ne laisse globalement que trois possibilités : soit elles ont participé et leur communication tente de dévier le tir, soit ce n’est pas le cas et les inquiétudes sont légitimes, soit elles ont participé en partie mais la NSA ne s’en est pas contentée, cherchant à obtenir par la force d’autres données.

 

Les sources du Washington Post ont indiqué au journal que la direction de Microsoft n’était pas en possession des preuves montrant que la NSA prélevait directement des données. Cependant, les responsables devraient se rencontrer une nouvelle fois cette semaine et prendre plusieurs décisions concernant l’extension du chiffrement des données. Selon les mêmes sources, le budget même de l’opération n’a pas encore été estimé.

Des « allégations troublantes » pour le responsable juridique de la firme 

Interrogé par le Post, Brad Smith, vice-président de Microsoft et responsable juridique de la firme, se montre inquiet : « Ces allégations sont réellement troublantes. Si elles sont vraies, ces actions sont équivalentes au piratage et à la capture de données personnelles, et de notre point de vue, sont une faille dans la protection garantie par le Quatrième Amendement de la Constitution ». Ce dernier permet pour rappel à tout citoyen américain de voir ses informations personnelles être protégées de toute saisie ou perquisition avant qu’un mandat ait été émis par un juge.

 

Il est intéressant dans tous les cas de voir les réactions actuelles des entreprises. On notera à ce sujet qu’on rejoint ici l’avis du cryptologue Bruce Schneier qui indiquait il y a peu que le paysage de la sécurité allait être bouleversé. Les méthodes de la NSA vont ainsi provoquer une nécessaire adaptation des technologies et des habitudes et le niveau global de sécurité va ainsi grimper. Rendez-vous donc dans quelques mois quand les grandes firmes du cloud auront mis en place leurs solutions de chiffrement. D’ici là, elles ne manqueront pas de communiquer sur les grandes décisions qui seront prises, à l’instar de Yahoo.

76

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Microsoft face au chiffrement intégral des données 

La direction serait en plein remue-méninge 

Un sérieux effort d'ingénierie 

Zone de flou 

Des « allégations troublantes » pour le responsable juridique de la firme 

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (76)


Le 27/11/2013 à 17h 28

“Bon les mecs on va dire qu’on va encrypter toutes les données Pas de soucis pour les fédéraux ils ont les master keys et leur accès VIP de toutes façons.”


dada55 Abonné
Le 27/11/2013 à 17h 30







okeN a écrit :



“Bon les mecs on va dire qu’on va encrypter toutes les données Pas de soucis pour les fédéraux ils ont les master keys et leur accès VIP de toutes façons.”







<img data-src=" /><img data-src=" /><img data-src=" />



Le 27/11/2013 à 17h 35

Une annonce comme celle là je ne sais pas si il faut en rire ou en pleurer.


John Shaft Abonné
Le 27/11/2013 à 17h 38







Zappi a écrit :



Une annonce comme celle là je ne sais pas si il faut en rire ou en pleurer.







En pleurer de rire ?



Le 27/11/2013 à 17h 38







okeN a écrit :



“Bon les mecs on va dire qu’on va encrypter toutes les données Pas de soucis pour les fédéraux ils ont les master keys et leur accès VIP de toutes façons.”







+1000 <img data-src=" />



Le 27/11/2013 à 17h 39







okeN a écrit :



“Bon les mecs on va dire qu’on va encrypter toutes les données Pas de soucis pour les fédéraux ils ont les master keys et leur accès VIP de toutes façons.”





Même sans aller jusque là (je me fais pas de souci pour eux : ils y iront, hein <img data-src=" />) comment ça se passe sur une réquisition en bonne et due forme ? MS et tous les autres ( ne soyons pas avares) seront bien obligés de filer des données exploitables et donc déchiffrer avant de refiler.

Ça limitera les interceptions sauvages (comme indiqué dans l’article d’ailleurs) mais ça ne change finalement pas grand chose.





Plusieurs sources proches du dossier, et ayant tenu à rester anonymes, ont informé le Post que la direction de l’entreprise est pleinement consciente des rapports sur les activités de la NSA depuis le mois de juin.



Le contraire au rait mérité le pal <img data-src=" />



Cela dit, en lisant il me venait une pensée… Les dirigeants des différentes boites étaient-ils complètement au courant de tout ? La NSA n’aurait-elle pas pu passer par les services juridiques et/ou techniques sans passer par la case décisionnelle ? Peu probable, j’avoue mais ça m’a traversé l’esprit…



Le 27/11/2013 à 17h 51

Ouais encore une belle mascarade comme avec Google. Prism nous a prouvé une chose c’est que tout logiciel, matériel issu d’une entreprise US est par définition un malware du fait du patriot act qui oblige ces société à donner l’accès intégral à leur données au gouvernement.



Tout chiffré ne sert absolument à rien quand toutes ces données sont localisé aux Etats-Unis vu que les société doivent donner une porte dérobé à la NSA



C’est exactement l’affaire de la NSAKey ca sert à rien d’utiliser leur service même en chiffrant la chose vu que la NSA a une clé secrète qui si elle le désire permettra de décrypter la chose.





La seule crédibilité qu’aurait ces entreprises ces de délocalisé tous leur datacenter ailleurs qu’aux USA et en fournissant du matériel/logiciel à minimum open source.


Le 27/11/2013 à 17h 54







coolspot a écrit :



La seule crédibilité qu’aurait ces entreprises ces de délocalisé tous leur datacenter ailleurs qu’aux USA et en fournissant du matériel/logiciel à minimum open source.







La Chine serait une solution alternative pertinente.

Ils font des offres intéressantes en ce moment d’ailleurs:



“Pour 10 serveurs achetés et exploités en Chine, un serveur de spam offert” <img data-src=" />



Le 27/11/2013 à 18h 00



Rendez-vous donc dans quelques mois quand les grandes firmes du cloud auront mis en place leurs solutions de chiffrement.



Le chiffrement que feront les grandes firmes (Microsoft, Google etc.) ne sert à rien du tout puisque ce sont eux qui ont les clefs et on sait très bien qu’ils les communiqueront !!!



Arrêtez le foutage de gueule avec le chiffrement serveur !!!

Si le mec qui te poses un porte blindée garde un double des clefs et qu’il les donne aux autorités il se passe quoi ?




  • ça sert à rien !



    Ben avec le pseudo chiffrement de Microsoft et Cie c’est pareil !



    Tout ce que ce type d’annonce montre c’est à quel point Google et compagnie se foutent de nous !




Le 27/11/2013 à 18h 01







Chloroplaste a écrit :



La Chine serait une solution alternative pertinente.

Ils font des offres intéressantes en ce moment d’ailleurs:



“Pour 10 serveurs achetés et exploités en Chine, un serveur de spam offert” <img data-src=" />





<img data-src=" />

puis après l’introduction dans les routeurs, ils seront tellement les bienvenus, en plus <img data-src=" />



Le 27/11/2013 à 18h 02

La course à l’armement est lancé, si la NSA aura les codes et les clés pour les ricains, ce sera plus dur pour les autres au moins 10 min de délai <img data-src=" />



<img data-src=" />


C’est une bonne chose que ce chiffrage des données entre les serveurs MS et ceux de la NSA.



Ça évitera aux crypto-communistes russes de pirater des informations <img data-src=" />


Le 27/11/2013 à 18h 07

Ah bon? Et le Patriot Act? MS va gentillement dire à la NSA d’aller se “l’introduire dans le rectum “?

Oui c’est la news lsur la Censure XBoxienne qui déteint :p


Le 27/11/2013 à 18h 10

Enfin en France aussi on est sensé fournir la clé de chiffrement si la justice/police en a besoin donc bon … Ca change pas grand chose vis a vis de la NSA … Par contre c’est intéressant pour MS vis a vis d’un hacker ou d’un pays etranger.


Le 27/11/2013 à 18h 10







Chloroplaste a écrit :



La Chine serait une solution alternative pertinente.

Ils font des offres intéressantes en ce moment d’ailleurs:



“Pour 10 serveurs achetés et exploités en Chine, un serveur de spam offert” <img data-src=" />







Pourquoi avoir cette solution binaire ? Ce genre de post censé trollé me fait penser à tout ces idiots qui dès que tu critique le capitaliste te sortent que le communisme c’est encore pire. Ou encore tout ces idiots qui sont encore dans le schémas guerre politique droite/gauche qui n’existe pas.



Avoir une vision des choses si étroite et binaire me laisse pantois. <img data-src=" />



Le 27/11/2013 à 18h 19







arno53 a écrit :



Enfin en France aussi on est sensé fournir la clé de chiffrement si la justice/police en a besoin donc bon … Ca change pas grand chose vis a vis de la NSA … Par contre c’est intéressant pour MS vis a vis d’un hacker ou d’un pays etranger.





Rien à voir !

En France, la demande doit passer par un juge !

Aux USA non ! Dans le cas où la NSA n’aurait pas les clés d’une protection, il les demandes au titre de la loi contre le terrorisme. Si le PDG ne coopère pas, pas besoin d’un juge, c’est la taule direct !



Et de toute manière, toute société (MS comme les autres) doit communiquer à la NSA tout nouveau système de sécurité informatique, quel qu’il soit.



La seule solution est un système hors US et si possible open source.



Le 27/11/2013 à 18h 22

Bon et après, il restera juste qu’à débusquer les agents infiltrés et à les noyer dans le bac cryogénique.


Le 27/11/2013 à 18h 24







coolspot a écrit :



Pourquoi avoir cette solution binaire ? Ce genre de post censé trollé me fait penser à tout ces idiots qui dès que tu critique le capitaliste te sortent que le communisme c’est encore pire. Ou encore tout ces idiots qui sont encore dans le schémas guerre politique droite/gauche qui n’existe pas.



Avoir une vision des choses si étroite et binaire me laisse pantois. <img data-src=" />







hé spot, t’as perdu ton cool ! <img data-src=" />



Le 27/11/2013 à 18h 25







okeN a écrit :



“Bon les mecs on va dire qu’on va encrypter toutes les données Pas de soucis pour les fédéraux ils ont les master keys et leur accès VIP de toutes façons.”





encrypter ? Tu veux les enfermer dans une crypte ? <img data-src=" /><img data-src=" /><img data-src=" />



Le 27/11/2013 à 18h 37







TotoRhino a écrit :



Rien à voir !

En France, la demande doit passer par un juge !

Aux USA non ! Dans le cas où la NSA n’aurait pas les clés d’une protection, il les demandes au titre de la loi contre le terrorisme. Si le PDG ne coopère pas, pas besoin d’un juge, c’est la taule direct !



Et de toute manière, toute société (MS comme les autres) doit communiquer à la NSA tout nouveau système de sécurité informatique, quel qu’il soit.



La seule solution est un système hors US et si possible open source.





Oui donc dans les 2 pays on applique la loi quoi <img data-src=" />

Plus sérieusement si la loi t’oblige a donné la clé, tu crois quela DGSE va être bloqué par un juge ?(ici aussi)?



Faut arrêter avec la vision “les méchant n’americains sont pas beau et violent les droits de l’homme, la France c’est des gentils…”



Après pour l’open source ok c’est mieux dans la mesure où ce n’est plus automatique mais ca protège pas des intrusions non plus … La NSA aussi a des expert en sécurité pour trouver des failles dans tout les OS utilisés sauf qu’ils vont pas prévenir la terre entière d’une faiblesse et encore moins proposer un patch à la communauté <img data-src=" />




Le 27/11/2013 à 18h 40







Ricard a écrit :



encrypter ? Tu veux les enfermer dans une crypte ? <img data-src=" /><img data-src=" /><img data-src=" />





elles révèlent tant sur nous qu’elles ne méritent pas mieux, ces pourvoyeuses de syphilis aux sentiments tarifés ! <img data-src=" />



Le 27/11/2013 à 18h 43







RaoulC a écrit :



Ah bon? Et le Patriot Act? MS va gentillement dire à la NSA d’aller se “l’introduire dans le rectum “?

Oui c’est la news lsur la Censure XBoxienne qui déteint :p





Là, c’est juste pour empêcher l’openbar que s’est crée la NSA. Il faudra donc une requête d’un tribunal pour obtenir les infos.<img data-src=" />



fred42 Abonné
Le 27/11/2013 à 18h 56







RaoulC a écrit :



Ah bon? Et le Patriot Act? MS va gentillement dire à la NSA d’aller se “l’introduire dans le rectum “?

Oui c’est la news lsur la Censure XBoxienne qui déteint :p









arno53 a écrit :



Enfin en France aussi on est sensé fournir la clé de chiffrement si la justice/police en a besoin donc bon … Ca change pas grand chose vis a vis de la NSA … Par contre c’est intéressant pour MS vis a vis d’un hacker ou d’un pays etranger.





Dans le cas présent, il s’agit de chiffrement entre leurs serveurs et il passe des données de plein de monde y compris de citoyens américains.

La NSA ne pourra pas obtenir les clés parce qu’elles permettraient de déchiffrer les informations privées des citoyens protégés par le quatrième amendement.

Et je vois mal un juge ordonner de rendre lisibles les données de tous pour pouvoir lire celles des personnes qui pourraient être surveillées pour de bonnes raisons.



Par contre, la NSA pourra toujours demander et obtenir les données d’une personne ciblée sur les serveurs en passant par le patriot act et/ou un juge, mais la NSA ne pourra plus surveiller tout le monde en stockant tout un tas d’informations copiées lors de leur passage sur les réseaux.



Cela change quand même beaucoup de chose.



Le 27/11/2013 à 19h 07







Ricard a écrit :



encrypter ? Tu veux les enfermer dans une crypte ? <img data-src=" /><img data-src=" /><img data-src=" />





Ouaip <img data-src=">



Soriatane Abonné
Le 27/11/2013 à 19h 18

Ahh, Ahh, Ahh





Le problème c’est le Patriot Act, le reste est moins prioritaire.



Que les USA commence par le supprimé.


Le 27/11/2013 à 19h 23







okeN a écrit :



Ouaip <img data-src=">





comment c’est une sociale-traitre, Larousse <img data-src=" />



Le 27/11/2013 à 19h 24







okeN a écrit :



Ouaip <img data-src=">





Haha, le Larousse.<img data-src=" />



L’Académie française précise que le mot « cryptage » est à bannir et il ne figure pas dans son dictionnaire, en tout cas pas dans le sens où on le trouve en général utilisé, même si on peut le trouver dans des dictionnaires usuels





http://www.ryfe.fr/2011/08/les-mots-crypter-et-cryptage-n’existent-pas/



Le 27/11/2013 à 19h 31

comme certains l’on très bien dis j’y crois pas trop pour des raisons technique parfaitement bien cité et logique ! de toute façon internet = fin de l’anonyma avec google, fb, windows etc…. <img data-src=" />


Le 27/11/2013 à 19h 42







okeN a écrit :



“Bon les mecs on va dire qu’on va encrypter toutes les données Pas de soucis pour les fédéraux ils ont les master keys et leur accès VIP de toutes façons.”





Trés bon résumé, inutile d’argumenter davantage ! <img data-src=" />



Le 27/11/2013 à 19h 55







Ricard a écrit :



Haha, le Larousse.

L’Académie française précise que le mot « cryptage » est à bannir.



http://www.ryfe.fr/2011/08/les-mots-crypter-et-cryptage-n’existent-pas/





C’est dommage si t’avais suivi la source ( sur wikipedia ) de cette partie du billet t’aurais vu que cette citation est accompagnée d’un “réf nécessaire” ( et que donc elle n’est pas sourcée) suivi de:



Dans sa dernière édition (entamée en 1992) le Dictionnaire de l’Académie française n’intègre pas « crypter » et « cryptage », mais ce dernier terme apparait dans le Grand Robert (qui date son apparition de 1980). L’Office québécois de la langue française intègre « crypter » au sens de « chiffrer », et « cryptage » au sens de déchiffrement dans son grand dictionnaire terminologique.



Le 27/11/2013 à 19h 59







Ricard a écrit :



encrypter ? Tu veux les enfermer dans une crypte ? <img data-src=" /><img data-src=" /><img data-src=" />





+1



Le 27/11/2013 à 20h 01







arno53 a écrit :



Enfin en France aussi on est sensé fournir la clé de chiffrement si la justice/police en a besoin donc bon … Ca change pas grand chose vis a vis de la NSA … Par contre c’est intéressant pour MS vis a vis d’un hacker ou d’un pays etranger.





si justement, ça change beaucoup de choses. ce que beaucoup ont l’air d’oublier, c’est que la nsa et autre tirent leurs données plutôt depuis des infiltrations illégales lorsqu’il s’agit d’entreprises vu que pour les acquisition légales, l’entreprise visée est censée en être avertie. du coup, sans la vlé il sera plus dur voir impossible de lire les données …



Le 27/11/2013 à 20h 06







okeN a écrit :



C’est dommage si t’avais suivi la source ( sur wikipedia ) de cette partie du billet t’aurais vu que cette citation est accompagnée d’un “réf nécessaire” ( et que donc elle n’est pas sourcée) suivi de:





Ca n’empêche pas que le mot crypter n’existe pas dans le dictionnaire de l’académie française.<img data-src=" />



http://www.bortzmeyer.org/cryptage-n-existe-pas.html

http://fr.wiktionary.org/wiki/crypter

http://franckleroy.free.fr/



Le 27/11/2013 à 20h 08

Les clients pigeons payent leur entrée par la grande porte et la NSA gratuitement par l’entrée des artistes car c’est eux qui font le scenario du spectacle “Comment enculer les clients sans leur faire le cul rouge a la façon babouin et nous prenne par pour des cons…”

En plus il sont payer…..pour le faire.<img data-src=" />



<img data-src=" />


Le 27/11/2013 à 20h 13

[/quote]







arno53 a écrit :



Oui donc dans les 2 pays on applique la loi quoi <img data-src=" />

Plus sérieusement si la loi t’oblige a donné la clé, tu crois quela DGSE va être bloqué par un juge ?(ici aussi)?



Faut arrêter avec la vision “les méchant n’americains sont pas beau et violent les droits de l’homme, la France c’est des gentils…”



Après pour l’open source ok c’est mieux dans la mesure où ce n’est plus automatique mais ca protège pas des intrusions non plus … La NSA aussi a des expert en sécurité pour trouver des failles dans tout les OS utilisés sauf qu’ils vont pas prévenir la terre entière d’une faiblesse et encore moins proposer un patch à la communauté <img data-src=" />







Revenir au bon vieux timbre et enveloppe avec l’écriture au citron meilleur cryptage

efficace de nos jours, en plus leur filerait trop de boulot a ouvrir le courrier…

Ressortez vos Enigma du placard il y a du chiffrement dans l’air.



<img data-src=" />



Le 27/11/2013 à 20h 13







arno53 a écrit :



Oui donc dans les 2 pays on applique la loi quoi <img data-src=" />

Plus sérieusement si la loi t’oblige a donné la clé, tu crois quela DGSE va être bloqué par un juge ?(ici aussi)?





Dans ce cas ce sera illégal. Je ne dis pas que la DGSE n’est pas capable d’enfreindre la loi, mais que le traitement de masse aux USA par la NSA est légalisé.







arno53 a écrit :



Faut arrêter avec la vision “les méchant n’americains sont pas beau et violent les droits de l’homme, la France c’est des gentils…”





Je n’ai pas dit ça.









arno53 a écrit :



Après pour l’open source ok c’est mieux dans la mesure où ce n’est plus automatique mais ca protège pas des intrusions non plus … La NSA aussi a des expert en sécurité pour trouver des failles dans tout les OS utilisés sauf qu’ils vont pas prévenir la terre entière d’une faiblesse et encore moins proposer un patch à la communauté <img data-src=" />





Oui, je parlais bien d’automatisation à grande échelle et de pratique légalisée.

Et je dis aussi que, pour moi, je ne vois rien d’autre comme solution que de passer par des log open source hors des états-unis.

Ce n’est pas garanti à 100% car, bien entendu, ils doivent avoir ce qu’il faut pour tenter de trouver une faille, mais c’est tout de même bien plus chiant pour eux que d’avoir les clés livrées directement par les concepteurs dans un paquet cadeau.

Maintenant à te lire, on pourrait penser que de toute façon il n’y à rien faire et qu’il faut laisser faire. Soit, c’est ton avis, mais laisse les autres penser autrement.



Enfin, tout ça pour dire que ces nombreuses annonces sur la sécurité sont de la poudre aux yeux.

Car pour garantir la vie privée des gens maintenant, il faut changer la loi américaine tout bonnement. Mais, comme je l’ai dit dans un autre commentaire, si cela arrivait, ça ne concernerait que les américains.

En effet, si l’on peut penser (si on est croyant toussa toussa) que la loi pourrait être modifiée pour contenir l’appétit de la NSA, le parlement américain ne s’occupera certainement pas de ce qu’elle fait avec les internautes étrangers, penser le contraire, c’est croire au miracle.



Le 27/11/2013 à 20h 16







Lafisk a écrit :



si justement, ça change beaucoup de choses. ce que beaucoup ont l’air d’oublier, c’est que la nsa et autre tirent leurs données plutôt depuis des infiltrations illégales lorsqu’il s’agit d’entreprises vu que pour les acquisition légales, l’entreprise visée est censée en être avertie. du coup, sans la vlé il sera plus dur voir impossible de lire les données …





Ouais le comm’ n°24 de Fred42 avait déjà fait évoluer mon point de vue <img data-src=" />

J’avais pas pensé à la masse de donnée concernant les américains dans les données circulant en interne … Mais du coup je vois pas trop comment ils vont pouvoir espionner en masse la population non-americaine via ses sociétés ??



Soit ils repassent à de la simple recherche ciblé soit (pour continuer a travaillé sur la masse) ils seront obligé de demander et peut être même de donner les outils permettant de faire le tri US/Non-US à ces société. (Techno que la NSA n’a pas l’air de maitriser pour l’instant <img data-src=" />)



Le 27/11/2013 à 20h 23







arno53 a écrit :



Mais du coup je vois pas trop comment ils vont pouvoir espionner en masse la population non-americaine via ses sociétés ??





une petite synchro entre les serveurs (le cloud c’est la vie ! ) ou un rapatriement “pour sauvegarde” et hop. <img data-src=" />



Le 27/11/2013 à 20h 26







arno53 a écrit :



[…]





Sinon vu qu’ils ont infiltrés des réseaux de société, ils ont peut etre moyen de récupéré les clefs privé de ces sociétés et de splitter le signal optique (coté opérateur si ca passe par là) entre 2 datacenter ?? Bon j’ai beau avoir foi en la NSA, c’est vrai que ca commence a devenir complexe pour eux …



Le 27/11/2013 à 20h 27

Tout ceci était très bien expliqué dans le reportage de l’ASI : “L’espionnage de la NSA, raconté à ceux qui n’ont rien compris”.

Il fut en accès libre durant quelques temps, mais désormais il faut être abonné pour pouvoir y accéder.


Le 27/11/2013 à 20h 28







TotoRhino a écrit :



Tout ceci était très bien expliqué dans le reportage de l’ASI : “L’espionnage de la NSA, raconté à ceux qui n’ont rien compris”.

Il fut en accès libre durant quelques temps, mais désormais il faut être abonné pour pouvoir y accéder.







C’était une autre émission que 14h42 ?



Le 27/11/2013 à 20h 45







TotoRhino a écrit :



Voici le lien :

http://www.arretsurimages.net/emissions/2013-10-30/L-espionnage-de-la-NSA-racont…





Ah bah oui c’est 14h42 fait avec PCI <img data-src=" /> Ca résumait bien en effet …



Le 27/11/2013 à 20h 46







okeN a écrit :



“Bon les mecs on va dire qu’on va encrypter toutes les données Pas de soucis pour les fédéraux ils ont les master keys et leur accès VIP de toutes façons.”





J’ai lu tout l’article et je ne crois pas non plus une seule seconde que les promesses de MS, de Yahoo, de Google ou aucune autre boîte privée américaine auront le moindre effet sur la surveillance généralisée… Je suis content d’avoir fait il y a bien longtemps fait l’effort d’apprendre Linux et pour moi déconnecté veut bien dire privé…

Donc, +1.



Le 27/11/2013 à 20h 55

Il y a l’air d’avoir consensus entre les INpactiens et tiennes pour penser que tout ça c’est pipeau et que la NSA aura les masterkey grâce au patriot act. Comme en toute dictature, tous les mensonges passent à condition de les répéter suffisamment longtemps.


Le 27/11/2013 à 21h 54







CaptainDangeax a écrit :



Il y a l’air d’avoir consensus entre les INpactiens et tiennes pour penser que tout ça c’est pipeau et que la NSA aura les masterkey grâce au patriot act. Comme en toute dictature, tous les mensonges passent à condition de les répéter suffisamment longtemps.







Pourquoi dictature ? République démocratique est déjà le terme approprié.

Contrairement à ce que beaucoup de gens pensent, la démocratie n’est la loi du peuple ou du juste, mais la loi du plus éloquent. Le plus éloquent est le plus fort, donc la démocratie est aussi la loi du plus fort.



On n’a jamais vu deux hommes politiques tomber d’accord lors d’un débat. Celui qui change d’avis est considéré comme faible, le mensonge est donc une vertu en démocratie. De même, la démocratie n’a pas pour objet de parvenir à une vérité, mais d’imposer la loi du plus fort au plus faible.



Donc parler de dictature, ce n’est pas tout à fait exact, on utilise déjà les bons termes, sauf qu’on leurs attribue des qualités qu’ils n’ont pas.



Le 27/11/2013 à 21h 58







fred42 a écrit :



Dans le cas présent, il s’agit de chiffrement entre leurs serveurs et il passe des données de plein de monde y compris de citoyens américains.

La NSA ne pourra pas obtenir les clés parce qu’elles permettraient de déchiffrer les informations privées des citoyens protégés par le quatrième amendement.

Et je vois mal un juge ordonner de rendre lisibles les données de tous pour pouvoir lire celles des personnes qui pourraient être surveillées pour de bonnes raisons.



Par contre, la NSA pourra toujours demander et obtenir les données d’une personne ciblée sur les serveurs en passant par le patriot act et/ou un juge, mais la NSA ne pourra plus surveiller tout le monde en stockant tout un tas d’informations copiées lors de leur passage sur les réseaux.



Cela change quand même beaucoup de chose.







Oui, merci. <img data-src=" />



John Shaft Abonné
Le 27/11/2013 à 22h 45







Ricard a écrit :



Ca n’empêche pas que le mot crypter n’existe pas dans le dictionnaire de l’académie française.<img data-src=" />







Oué enfin ya cette abomination de cédérom dedans <img data-src=" />



(Sinon, le Larousse je suis d’accord, c’est des affreux qui mette du “impacter” dans leur dico)



fred42 Abonné
Le 27/11/2013 à 23h 26







John Shaft a écrit :



Oué enfin ya cette abomination de cédérom dedans <img data-src=" />



(Sinon, le Larousse je suis d’accord, c’est des affreux qui mette du “impacter” dans leur dico)





Alors qu’on sait qu’il faut écrire INpacter !



Le 28/11/2013 à 00h 14

Qu’ils commencent déjà à passer Bing en https comme Google.


Le 28/11/2013 à 04h 05

Ca ne s’adresse sans doute pas aux gouvernement US, puisqu’ils travaillent main dans la main, mais plutôt aux concurrents. UK et France aussi regardent ce qui se passe sur les cables mais Microsoft, Yahoo et autres ne collaborent pas avec ces pays.


Le 28/11/2013 à 06h 41

Le chiffrement coté client, si possible à partir de logiciel open-source, je vois que ça comme réponse <img data-src=" />



Des solutions comme Wuala ou Bajoo sont un début de réponse, auxquels il manque soit l’open-source, soit l’absence totale de dépendance au patriot act <img data-src=" />


Le 28/11/2013 à 07h 07







CaptainDangeax a écrit :



J’ai lu tout l’article et je ne crois pas non plus une seule seconde que les promesses de MS, de Yahoo, de Google ou aucune autre boîte privée américaine auront le moindre effet sur la surveillance généralisée… Je suis content d’avoir fait il y a bien longtemps fait l’effort d’apprendre Linux et pour moi déconnecté veut bien dire privé…

Donc, +1.





Je m’autocite parce j’ai retrouvé le lien qui me permet de dire que MS ne peut pas faire autrement que communiquer de cette façon. Après, entre les paroles et les actes, <img data-src=" />



Le 28/11/2013 à 08h 19



Le 4ème amendement permet pour rappel à tout citoyen américain de voir ses informations personnelles être protégées de toute saisie ou perquisition avant qu’un mandat ait été émis par un juge.





En clair et non chiffré, quand on n’est pas citoyen US quoique fasse microsoft pour arrêter l’hémorragie en cours de ses clients (il ne faut pas se leurrer, c’est probablement ce qui les pousse à agir!), cela n’aura aucune espèce d’importance!


Le 28/11/2013 à 09h 00







yl a écrit :



En clair et non chiffré, quand on n’est pas citoyen US quoique fasse microsoft pour arrêter l’hémorragie en cours de ses clients (il ne faut pas se leurrer, c’est probablement ce qui les pousse à agir!), cela n’aura aucune espèce d’importance!







Pfuuu c’est si difficile à comprendre que le but ici n’est pas de protéger l’utilisateur des recours légaux mais bel et bien des méthodes illégales utilisées par la NSa et autre … franchement les troll et le niveau d’analyses digne d’un chimpanzé ça y va quand même …



Le 28/11/2013 à 09h 05

C’est quand même malheureux que des boîtes qui brassent des quantités de données phénoménales ne se mettent à sécuriser leurs flux que quand elles sont dos au mur…

<img data-src=" />


Le 28/11/2013 à 09h 30







Lafisk a écrit :



franchement les troll et le niveau d’analyses digne d’un chimpanzé ça y va quand même …







Le 4ème amendement ne protège que les citoyens US… Si tu n’es pas fichu de comprendre cela tu te roules tes insultes avec ton contrat de clouderies microsoft ou autre boite US et tu te les foures, avec la fibre de coloscopie NSA qui va avec, ou je pense!

<img data-src=" />



Le 28/11/2013 à 09h 33







yl a écrit :



Le 4ème amendement ne protège que les citoyens US… Si tu n’es pas fichu de comprendre cela tu te roules tes insultes avec ton contrat de clouderies microsoft ou autre boite US et tu te les foures, avec la fibre de coloscopie NSA qui va avec, ou je pense!

<img data-src=" />







Sauf que les mêmes mesures existent dans la plupart des pays où Ms fait son business peut être excepté la chine (pas sûr qu’il y ai beaucoup de loi protégeant la vie privée la bas)…



Y’a pas que les US dans la vie, clairement ces mesures sont destinés à protéger des techniques illégales non pas à protéger les citoyens des lois auxquelles MS est obligé de ce soumettre partout où ils font leur business et ça mon pauvre t’as pas l’air de la piger …



Le 28/11/2013 à 09h 45



Microsoft, Google, Yahoo, Apple ou encore Facebook ont toutes une importante carte à jouer sur le plan de la communication : elles doivent apparaître comme garantes des secrets



No way.



Pa moyen que j’ai la moindre confiance en des services qui RECLAMENT ma date de naissance, mon nom, et le plus de détails possibles sur ma vie.


Le 28/11/2013 à 09h 49







lateo a écrit :



C’est quand même malheureux que des boîtes qui brassent des quantités de données phénoménales ne se mettent à sécuriser leurs flux que quand elles sont dos au mur…

<img data-src=" />





Le chiffrement à grande échelle, ça coûte cher.<img data-src=" />



Le 28/11/2013 à 11h 07







Lafisk a écrit :



ces mesures sont destinés à protéger des techniques illégales non pas à protéger les citoyens des lois auxquelles MS est obligé de ce soumettre partout où ils font leur business et ça mon pauvre t’as pas l’air de la piger …







J’ai parfaitement compris que toute boite US est obligée de tout donner sans devoir passer par la case justice dès lors que cela ne touche pas un ressortissant US.



Tout le reste, dont l’enrobage actuel de Microsoft et des autres, n’est que littérature pour enfants. <img data-src=" />









Ricard a écrit :



Le chiffrement à grande échelle, ça coûte cher.<img data-src=" />





… et surtout cela ne sert à rien : les institutions demandes la clefs et c fini (ou la volent : NSA VOYOU)









yl a écrit :



J’ai parfaitement compris que toute boite US est obligée de tout donner sans devoir passer par la case justice dès lors que cela ne touche pas un ressortissant US.



Tout le reste, dont l’enrobage actuel de Microsoft et des autres, n’est que littérature pour enfants. <img data-src=" />





C’est pour cela qu’il faut ENFIN, relever la tête , ^tre digne et virer ses escrocs.



Le libre générerait à lui seul beaucoup plus d’emploi en france que du tout cuit Microsoft /apple GOOGLE …



Le 28/11/2013 à 11h 44







yl a écrit :



J’ai parfaitement compris que toute boite US est obligée de tout donner sans devoir passer par la case justice dès lors que cela ne touche pas un ressortissant US.



Tout le reste, dont l’enrobage actuel de Microsoft et des autres, n’est que littérature pour enfants. <img data-src=" />







Mais justement ces sociétés comptent chiffrer leur infrastructure où circule Americain ET non-americain. Or le juge n’obligera pas ces sociétés à divulguer leur clef a la NSA dans la mesure où ca impacterait des Americains aussi…



Le 28/11/2013 à 12h 04







arno53 a écrit :



Mais justement ces sociétés comptent chiffrer leur infrastructure où circule Americain ET non-americain. Or le juge n’obligera pas ces sociétés à divulguer leur clef a la NSA dans la mesure où ca impacterait des Americains aussi…







D’une part, cette option là, d’autres ont essayé et ont préféré fermer boutique (le fournisseur de mails que Snowden a utilisé) sous la pression.



D’autre part, je ne voit pas ou l’on cause de clef unique… ce qui ne serait d’ailleurs pas forcément une bonne chose niveau sécurité pure, au delà de l’astuce qui a déjà prouvée ses limites.



Le 28/11/2013 à 12h 23







yl a écrit :



D’une part, cette option là, d’autres ont essayé et ont préféré fermer boutique (le fournisseur de mails que Snowden a utilisé) sous la pression.



D’autre part, je ne voit pas ou l’on cause de clef unique… ce qui ne serait d’ailleurs pas forcément une bonne chose niveau sécurité pure, au delà de l’astuce qui a déjà prouvée ses limites.





Y’a pas qu’une clé bien évidemment <img data-src=" /> L’important c’est que derrière ce chiffrement y’a des données américaines qui bloque légalement la NSA.



Après c’est juste légalement <img data-src=" />



Le 28/11/2013 à 12h 29

S’ils veulent crypter les données c’est juste pour que seul la NSA ait accès aux données. <img data-src=" />


Le 28/11/2013 à 12h 34







arno53 a écrit :



Y’a pas qu’une clé bien évidemment <img data-src=" /> L’important c’est que derrière ce chiffrement y’a des données américaines qui bloque légalement la NSA.



Après c’est juste légalement <img data-src=" />







Si la clef n’est pas globale, l’argument de protéger des citoyens US tombe car on peut individualiser.



Et le cas de la clef globale n’a pas suffi pour Lavabit, qui avait du la donner… ne pouvant que retarder l’inéluctable en s’executant sur papier, ce qui donnait le temps à ses utilisateurs de réagir et à eux de fermer boutique:

http://www.wired.com/threatlevel/2013/10/lavabit_unsealed?ref=cm



Le 28/11/2013 à 12h 43







ledufakademy a écrit :



… et surtout cela ne sert à rien : les institutions demandes la clefs et c fini (ou la volent : NSA VOYOU)





<img data-src=" /> Tu les vois demander les clefs à chaque personne qui chiffre ses mails par exemple ?



Le 28/11/2013 à 12h 58







yl a écrit :



Si la clef n’est pas globale, l’argument de protéger des citoyens US tombe car on peut individualiser.



Et le cas de la clef globale n’a pas suffi pour Lavabit, qui avait du la donner… ne pouvant que retarder l’inéluctable en s’executant sur papier, ce qui donnait le temps à ses utilisateurs de réagir et à eux de fermer boutique:

http://www.wired.com/threatlevel/2013/10/lavabit_unsealed?ref=cm





Mais justement si tu individualises ca limite l’espionnage de masse, ou alors faut demander les clefs associées aux non-Americains etc … (et c’est pas sur que les sociétés savent vraiment faire la distinction)

Dans tous les cas cette mesure protège au moins les civils americain, vu qu’avant la NSA avait un accès illégal simple d’acces et pouvait espionner tout le monde (americains compris).



A la vu du schema made in NSA on voit bien que c’etait plus simple pour la NSA de regarder dans le cloud Google que dans l’internet public car là il y’avait du SSL différentié entre les user.



Le 28/11/2013 à 13h 38







arno53 a écrit :



Mais justement si tu individualises ca limite l’espionnage de masse







Le but de la manoeuvre n’était pas la sécurité ou l’espionnage par le 1er tartempion venu, ca ne visait qu’a se protéger vis à vis de la NSA que ces prestataires avaient bien avant Snowden identifié comme le pb N°1 pesant sur la confidentialité des données de leurs utilisateurs: Une astuce consistant à dire “impossible de donner la clef privée, ell est globale donc ca expose tout le monde y compris des citoyens US pour lesquels pas-touche”.



Cela n’a pas fonctionné, enfin tant que les recours ne sont pas tranchés sur le fond…



Individualiser, aux USA, n’a aucun sens: Il sera impossible de refuser de donner les clef de tout compte non nominatif sans mention de la (double-)nationalité US. Gageons que les bases utilisateurs avec les clef privées seront directement accessibles à la NSA afin de simplifier la gestion vu que de toutes manières ils ont droit de regard total en dehors de toute autorisation judiciaire.



C’est sans solution.









Ricard a écrit :



<img data-src=" /> Tu les vois demander les clefs à chaque personne qui chiffre ses mails par exemple ?







Non bien sure si on fait tous du gpg … sinon ca sert a rien, le principe d’une ca en soit est un merde.



Le 29/11/2013 à 08h 47







ledufakademy a écrit :



Non bien sure si on fait tous du gpg … sinon ca sert a rien, le principe d’une ca en soit est un merde.





<img data-src=" />

Il y a plusieurs projets en cours pour rendre gpg accessible au grand public, comme Briar, par exemple.<img data-src=" />



salut ricard,



c’est un bon point