Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

La NSA a transformé internet en « une vaste plateforme de surveillance »

Underworld

La NSA a transformé internet en « une vaste plateforme de surveillance »

Le 06 septembre 2013 à 14h10

De nouveaux documents d’Edward Snowden, révélés par le New York Times, Pro Publica et The Guardian, braquent les projecteurs sur un aspect bien précis du travail de la NSA : le déchiffrement des données circulant sur Internet. Un éclairage cru sur les travaux de l’agence de sécurité américaine, accumulés sur plus de vingt années, et sur la manière dont elle s’est infiltrée dans de nombreuses technologies de sécurité.

GCHQ

Crédits : UK Ministry of Defence, licence Creative Commons

 

Depuis l’accord liant le journal anglais The Guardian au New York Times, ce dernier possède une partie des documents dérobés par Edward Snowden à la NSA. De très nombreuses informations ont déjà été dévoilées depuis plus de deux mois, mais l’affaire prend un nouveau tournant. Des documents révélés par plusieurs journaux permettent d’en apprendre davantage sur les travaux spécifiques menés par le renseignement américain sur les technologies de chiffrement des données.

 

Au début des années 1990, le chiffrement des données n’avait pas le même degré d’utilisation qu’aujourd’hui. Il servait essentiellement pour les communications très importantes entre les pays, ou dans les échanges diplomatiques, notamment à travers les Nations Unies. Cependant, les années 2000 ont changé la donne : le chiffrement est devenu plus présent, sur les emails, les connexions HTTPS, les échanges de données au sens large, la compression des archives Zip ou RAR et bien d’autres éléments. Or, dans de nombreux cas, la NSA s’est tenue derrière, dans une double mission paradoxale et génératrice de bombes à retardements.

L’un des secrets les mieux gardés

L’agence de sécurité nationale américaine a dans les grandes lignes deux missions : la lutte antiterroriste et la protection de la sécurité, ce qui passe par celles des moyens de communication. La NSA a été impliquée dans la conception et l’amélioration de très nombreuses technologies de chiffrement. Une implication qui a beaucoup servi à ménager des portes.

 

Les documents révélés par le New York Times, The Guardian et Pro Publica, et fournies par Edward Snowden, attestent d’une intense activité dans l’agence au début des années 2000. La NSA a investi des milliards de dollars dans du matériel capable de déchiffrer le contenu intercepté. Il s’agissait alors de réaliser dans l’ombre ce qu’elle n’avait pu obtenir officiellement dans les années 90. Des superordinateurs ont donc été conçus spécialement et assemblés pour répondre à ces besoins. À ce moment-là, la machinerie était complétée par deux autres efforts : participer aux technologies de chiffrement pour mieux les plier à sa volonté et multiplier les contacts avec les entreprises pour les obliger à participer plus activement à la surveillance.

 

Un mémo datant de 2010, adressé par la NSA à son équivalent anglais, le GCHQ, indique sans équivoque que l’agence est capable de briser les protections de la plupart des solutions présentes sur internet. L’effort reste constant et un budget non déterminé est alloué à l’amélioration des capacités matérielles et logicielles. On imagine également que l’agence recrute, ou tente de recruter des experts en cryptanalyse.

Investir et affaiblir les technologies de sécurité

La NSA considère que briser ces protections est un point essentiel de sa mission. Elle y investit donc son énergie, malgré l’opprobre publique, les demandes d’explications du Congrès américain ou encore les verdicts particulièrement critiques d’un juge de la FISC (Foreign Intelligence Surveillance Court). Pour mieux préparer le terrain et faciliter son travail, la NSA pratique également l’affaiblissement des technologies de sécurité. Et l’agence en a touché beaucoup, du SSL aux VPN, en passant par les protections de la 4G.

 

C’est ici que l’on reparle également des accords noués avec les entreprises telles que Facebook, Google, Microsoft ou encore Yahoo. Des sociétés qui se défendent tant bien que mal, allant jusqu’à déposer plainte contre le gouvernement pour obtenir la permission d’en dévoiler davantage sur les requêtes qui leurs sont faites. Mais ces nouveaux documents ne parlent pas de requêtes : ils abordent une fois de plus la participation active.

 

On rejoint ici le thème abordé dans notre actualité sur Skype et Hotmail/Outlook.com. Pour lutter contre la montée en puissance des solutions de chiffrement, l’une des techniques est tout simplement d’obtenir les informations avant que le chiffrement n’intervienne. On parle bien ici de « backdoors », ou de porte dérobées, présentes dans ces entreprises. Mais cette information soulève de nombreux problèmes et questions.

Des armes à double tranchant 

D’une part, les backdoors sont des armes à double tranchant. C’est là que la mission de la NSA devient paradoxale de manière inhérente à ses intentions : briser le chiffrement de n’importe quel contenu, tout en protégeant les communications américaines. En affaiblissant volontairement les technologies, la NSA facilite donc son travail, mais elle crée également des opportunités pour des tiers. Matthew D. Green, chercheur en cryptographie, a ainsi indiqué au New York Times : « C’est le risque quand vous introduisez une porte dérobée dans les systèmes, vous n’êtes pas le seul à l’exploiter. Ces portes pourraient aussi agir contre les communications américaines. »

 

gchq prism nsa

L'un des documents d'Edward Snowden, publié par The Guardian

 

D’autre part, la séparation entre la participation active et les actions secrètes n’est pas claire. Certains documents indiquent que des entreprises américaines, notamment celles possédant des solutions de type cloud, participent aux programmes de la NSA. D’autres suggèrent en revanche que ce que l’agence n’obtient pas de manière volontaire, elle le prend par la force.

 

On trouve ainsi d’une part le « Sigint Enabling Project » dont la mission est de préparer le terrain avec les entreprises pour négocier certains accès et rendre leurs produits « exploitables ». Cela passe par des logiciels, mais également par le matériel. Toujours selon les documents de Snowden, la NSA a ainsi pu négocier l’inclusion de portes dérobées dans des puces, sans pour autant que l’on sache lesquelles. Si elle n’y parvient pas, elle se sert de failles de sécurité pour obtenir quand même les données. Opérateurs de téléphonie, fournisseurs d’accès et même gouvernements, tout y passe. Le Times aborde en particulier l’exemple d’une agence étrangère de renseignement qui avait commandé du matériel informatique. La NSA a obtenu du constructeur américain qu’il insère une porte dérobée dans le produit avant qu’il soit livré.

Clés de chiffrement : le gigantesque trousseau de la NSA

Les solutions de chiffrement de données requièrent des clés pour retrouver le contenu original. Ces clés font l’objet de toutes les attentions à l’agence. Et pour cause : si elle ne peut pas casser le chiffrement ou obtenir le contenu, il lui suffit d’utiliser la clé.

 

Toujours selon les documents de Snowden, la NSA possède ainsi une grande collection de clés. Un véritable trousseau lui permettant de déchiffrer de très nombreux contenus en provenance d’internet ou d’entreprises. Une partie de ces clés sont le résultat de négociations avec les concernés. Le Key Recovery Service s’occupe ainsi de surveiller les nouveaux produits commerciaux pour en récupérer les précieux sésames. Si les négociations échouent ou si pour une raison quelconque la clé n’est pas obtenue facilement, la NSA tente de l’obtenir autrement. Selon plusieurs experts interrogés par le New York Times, l’agence pourrait bien pirater directement les serveurs. Et pour faire en sorte que cet aspect reste secret, la NSA ne partage ses clés avec d’autres agences que si leur obtention a été légale.

Un pot de miel

La NSA travaille depuis longtemps à trouver des moyens efficaces de faciliter sa mission. Parmi ceux-là, le Commercial Solutions Center invite officiellement les éditeurs de solutions de sécurité à venir présenter leur travail pour bénéficier d’une expertise technique, et donc d’améliorations potentielles.

 

Cependant, ce centre possède une entité cachée. Dans un premier temps, la NSA procède bien à ladite expertise technique et participe à l’amélioration du produit lorsque cela est possible. Mais dans un second temps, la technologie est transférée à d’autres experts qui vont la disséquer et y inclure des vulnérabilités spécifiques. L’opération est d’après les documents répétée systématiquement pour tous les produits en lien avec Internet, qu’ils soient logiciels ou matériels, chaque fois que c’est possible. L’objectif est toujours le même : manipuler les technologies de protection avant qu’elles ne deviennent trop utilisées.

 

Parmi les autres moyens détournés, on note également celui du NIST (National Institute of Standards and Technology). Dans un standard approuvé en 2006 par ce dernier, on trouve quatre algorithmes, chacun basé sur une technique différente de chiffrement. Le quatrième, nommé Dual_EC_DRBG était très lent et semblait favoriser certains nombres plutôt que d’autres. Il aurait donc dû être supprimé, mais fut laissé en place, à l’insistance de la NSA.

Un monde de l'ombre 

Le New York Times, comme le Guardian, soulignent que la NSA a accompli finalement dans l’ombre une grande part de ce qu’elle voulait mettre en place. Ainsi, il y a plus de vingt ans, le renseignement s’est inquiété de la montée en puissance de PGP (Pretty Good Privacy), une solution de chiffrement pour les emails. Quelques années après, l’administration Clinton avait proposé un projet baptisé Clipper Chip qui aurait permis à la NSA d’obtenir une clé permanente. Le débat était devenu public et le projet avait été abandonné en 1996.

 

Actuellement, la NSA disposerait d’un budget de 250 millions de dollars par an pour ses opérations dans le domaine du chiffrement, ce qui inclut l’approche des entreprises liées à internet pour « influencer sous couverture » leurs produits. L’ensemble du dispositif est efficace car particulièrement discret. Le Guardian mentionne ainsi que les analystes ont pour instruction de « ne jamais poser de questions ou spéculer sur les sources ou les méthodes ».

 

Un secret particulièrement bien gardé car uniquement connu de responsables dans ce que l’on nomme les « Five Eyes » (les Cinq Yeux), autrement dit les agences de renseignement des États-Unis, du Royaume-Uni, de la Nouvelle-Zélande, de l’Australie et du Canada. Les documents révèlent que le GCHQ anglais dispose lui aussi de puissantes capacités pour déchiffrer le contenu circulant sur internet, notamment depuis les services de Microsoft, Google, Yahoo et Facebook (les « quatre grands »).

Le renseignement américain a demandé aux journaux de ne pas publier les articles

Cette titanesque « campagne secrète pour briser et affaiblir la sécurité sur internet » (selon Pro Publica) est jusqu’ici un véritable « succès ». Avec le New York Times et The Guardian, ils précisent tous que le renseignement américain a spécifiquement demandé à ce que ces détails ne soient pas publiés. Le Times, qui explique plus en détails cet aspect de la problématique, indique que même si des « faits spécifiques » ont été enlevés, les articles ont quand même été publiés pour la « valeur du débat public sur les agissements du gouvernement ».

 

Pour la NSA, seule l’efficacité à déchiffrer l’information importe. De fait, dans un mémo datant de 2007, l’agence indiquait que « dans le futur, des superpuissances se feront ou seront brisées sur la base de leurs programmes de cryptanalyse ». L’élan pourrait toutefois connaître un sérieux ralentissement du fait de la publication des articles. Le phénomène est le même que dans d’autres secteurs de la sécurité, ou du partage de fichiers : avec l’augmentation de la pression, de nouvelles solutions seront trouvées.

La solution ? Rendre le déchiffrement des données plus onéreux 

Le Guardian rappelle d’ailleurs les propos tenus en juin par Edward Snowden : seuls des systèmes forts de chiffrement, correctement et indépendamment implémentés, peuvent garantir une protection. Le risque pour la NSA est que le niveau global de chiffrement augmente, perturbant son travail. Le même Guardian a d’ailleurs publié un second article portant déjà sur plusieurs manières de ralentir le travail de l’agence : utiliser Tor, TLS et IPSec pour les communications, utiliser éventuellement un autre ordinateur qui n’a jamais été connecté à internet pour manipuler des données sensibles, ne pas se fier aux solutions commerciales de chiffrement, telles que BitLocker de Microsoft, mais sur des standards, et préférer des méthodes de chiffrement symétriques plutôt que des infrastructures à clé publique.

 

Bruce Schneier, l’auteur de cet article, donne quelques exemples des solutions utilisées : GPG, Silent Circle, Tails, OTR, TrueCrypt ou encore BleachBit. Car il l’affirme : « La NSA a transformé le tissu-même d’internet en une vaste plateforme de surveillance, mais ils n’ont pas de pouvoirs magiques. Ils sont limités par les mêmes réalités économiques que le reste d’entre nous, et notre meilleure défense est de rendre cette surveillance aussi onéreuse que possible ». La traduction est simple : plus le chiffrement est puissant, plus le contenu est long à déchiffrer, plus l’opération coûte de l’argent.

 

Le débat public que la protection de la vie privée, déjà intense, ne fait probablement que commencer

Commentaires (149)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Quand on observe nos zamis d’outre-atlantique, avec leur espionnite aiguë, le créationnisme, la scientologie et toutes leurs lubies, il y a vraiment de quoi être inquiet.

votre avatar







okeN a écrit :



Ben c’est clair, la plupart sont certainement fausse. Mais ce que je veux dire c’est que c’est pas parce quelque chose parait incroyable au premier abord que c’est faux. On a la preuve que le “on le saurait depuis le temps” c’est des conneries.





Pas vraiment : on le savait depuis lurette, mais par fragments. Là on a enfin le puzzle assemblé sous les yeux et on peut embrasser l’image dans toute sa splendeur <img data-src=" />


votre avatar







picoteras a écrit :



Pas vraiment : on le savait depuis lurette, mais par fragments. Là on a enfin le puzzle assemblé sous les yeux et on peut embrasser l’image dans toute sa splendeur <img data-src=" />







Amer le goût du bisous <img data-src=" />


votre avatar

Merci pour cet article intéressant et exhaustif <img data-src=" />



Et dire qu’on n’a pas fini de découvrir l’ampleur de l’affaire… Mais tant que l’opinion générale se sera pas intéressée, ils pourront continuer sans peur d’être inquiété, à part par quelques gus dans leurs garages qui comprennent de quoi on parle… <img data-src=" /> C’est ça qui m’attriste le plus : l’indifférence générale.





Et pour cause : si elle ne peut pas casser le chiffrement ou obtenir le contenu, il lui suffit d’utiliser la clé.





Euh, si elle a déjà la clé, pourquoi elle essaye de casser le chiffrement ? (edit : j’ai compris c’est plutôt “il lui suffit d’obtenir la clé” car elle fait les gros yeux pour l’avoir…)

votre avatar



Le même Guardian a d’ailleurs publié un second article portant déjà sur plusieurs manières de ralentir le travail de l’agence





Toujours dans ce “second article”, Bruce Schneier dit :



Prefer conventional discrete-log-based systems over elliptic-curve systems; the latter have constants that the NSA influences when they can.





Mais quand à côté on lit ça :

Experts urge ECC crypto over RSA algorithm (des slides)



On fait quoi ?



(RSA est un “discret-log-based system” et ECC c’est “elliptic-curve crypto”)

votre avatar







Anartux a écrit :



Quand on observe nos zamis d’outre-atlantique, avec leur espionnite aiguë, le créationnisme, la scientologie et toutes leurs lubies, il y a vraiment de quoi être inquiet.





Chacun ses appréhensions. Moi ce serait plutôt ce que les gouvernements des riantes démocraties chinoises, iraniennes et nord-coréennes vont faire une fois qu’ils auront mis la main sur quelques backdoors et autres BDD de clés de chiffrement de la NSA <img data-src=" />


votre avatar

Pour moi la photo c’est une piste d’atterrissage pour soucoupe volante <img data-src=" />



Sinon, ma vie privée, pro et mes engagements n’ont aucun secret pour eux puis-je leur demander où j’ai foutu ces foutus clés ? (non pas là) <img data-src=" />

votre avatar







Jarodd a écrit :



Merci pour cet article intéressant et exhaustif





Peut-on vraiment en être sur ???? lol


votre avatar







Droogs a écrit :



Amer le goût du bisous <img data-src=" />





Yep! [range le flacon de Synthol]


votre avatar







fred131 a écrit :



Pour moi la photo c’est une piste d’atterrissage pour soucoupe volante <img data-src=" />



Sinon, ma vie privée, pro et mes engagements n’ont aucun secret pour eux puis-je leur demander où j’ai foutu ces foutus clés ? (non pas là) <img data-src=" />







Tu as regardé ici ?


votre avatar



Bruce Schneier, l’auteur de cet article, donne quelques exemples des solutions utilisées : GPG, Silent Circle, Tails, OTR, TrueCrypt ou encore BleachBit.





J’espère qu’on aura bientôt des articles permettant de démocratiser ces outils !

votre avatar







monpci a écrit :



Peut-on vraiment en être sur ???? lol







C’est le 3e article que je lis aujourd’hui sur ce sujet, et celui de Vincent est de loin celui qui est le plus clair et donc, le plus exhaustif, car lui rentre dans les détails <img data-src=" />


votre avatar







FunnyD a écrit :



Ca me fout les boules. <img data-src=" />



Ca serait un bon moyen pour eux de détourner l’attention <img data-src=" />



Pour détourner l’attention en ce moment, c’est le conflit en Syrie qui se prépare tout doucement et bien sûr les gros oublis(et propagande) de tous les mé®dias mainstreams mondiaux, la vérité ne se trouve que dans les fins fonds du Net (n’oubliez pas de cliquer sur le lien de la vidéo youtube du massacre du soi-disant 21 Août,pour voir de vos yeux la date à laquelle elle a été postée)



Désolé du HS, mais y en a marre de la censure des commentaires sur les sites des merdias, dès qu’on essaye de montrer à quel point ils mentent aux gens.



Quant à la NSA qui a les moyens de tout déchiffrer sur le Net, ça m’étonne pas, c’était couru d’avance.<img data-src=" /><img data-src=" /><img data-src=" />


votre avatar

A mais dites-donc <img data-src=" />



Le bouzin c’est pas un héritage d’Arpanet dès fois ? <img data-src=" />

votre avatar

Et si on s’amusait à envoyer plein de mails avec des mots clés qui vont déclencher les radars de la NSA contenant une petite pièce jointe fortement chiffrée avec un mot de passe très long ?

votre avatar

M’enlèveront pas de la tête que l’AES doit être un algo totalement vérolé :




  • La NSA le recommande (sic)

  • Intel l’a ajouté dans ses CPU pour rendre son usage encore plus évident.

votre avatar







maestro321 a écrit :



Bien sûr, car les produits d’Apple sont inviolables et ne sont pas utilisés par les terroristes.<img data-src=" />









Sympa ta condescendance, mais je parle pas des iPhones et autres ibules, mais de la participation active d’Apple aux programmes menés par la NSA. Les noms de Google et Microsoft reviennent très souvent pour leur participation, mais pas celui d’Apple, ni plus, ni moins.









arno53 a écrit :



<img data-src=" />



On parle juste de MS parce qu’il est sur 95% des ordi, mais faut pas croire que les mac, les iphones, les androids, les routeurs et sans doutes les processeur Intel/AMD y échappent … Concernant Android un ancien du FBI a declaré qu’ils avaient acces au microalors si le FBI y a droit je vois pas ce qui arrêterait la NSA <img data-src=" />







Je ne crois pas qu’ils soient mis de côté, mais comme expliqué au-dessus, leur nom n’apparait quasiment jamais.



Je ne suis pas inquiet, la NSA doit avoir acès à leurs OS/hardware.



votre avatar

Stop ! Arrêtez ce débat stérile, vous vous trompez de débat, ce qu’il vous faut, ce sont des notions élémentaires en algorithmique. Vous vous rendriez peut-être compte des absurdités que vous nous sortez là.

votre avatar







Khalev a écrit :





Oui c’est à se demander si l’auteur de l’article (note : je parles de « Bruce Schneier », l’auteur de l’article du Guardian, qui était à l’origine des citations dans l’article reprises par Khalev) sait ce qu’est GPG. Par contre je vois pas trop en quoi un chiffrement symétrique serait plus sûr qu’un chiffrement avec clef publique, bien au contraire. D’autant que ce qui est indiqué c’est que la NSA a récupéré nombre de clefs privées sur des services proposant du chiffrement, soit en « négociant » avec le service, soit en les piratant pour l’obtenir : dans un tel cas, système à clef publique ou système symétrique à clef unique ne change rien, c’est le fournisseur de service où sont stockées les clefs qui est compromis, donc ça ne changera rien.



Par contre à craquer un chiffrement asymétrique à clef publique c’est plus compliqué qu’un chiffrement à clef privée symétrique (et le second est encore plus vulnérable au social engineering, puisque l’émetteur ET le destinataire disposent de la clef permettant de déchiffrer - donc deux sources potentielles pour obtenir la clef de déchiffrement - alors qu’avec un chiffrement asymétrique, seul le destinataire a la clef de déchiffrement - et ce n’est pas la même clef de chiffrement pour ce qui est envoyé et ce qui est reçu, de fait).



Là ça ressemble pas mal à une fausse info pour inciter les gens à utiliser du chiffrement moins efficace pour que la NSA puisse continuer à déchiffre les informations.



Par contre la vraie recommandation suite à cette information là, mais elle était déjà faite régulièrement avant : ne jamais utiliser un service où le chiffrement est fait par le service lui-même, le chiffrement doit être fait au niveau de l’utilisateur, et le service ne doit jamais avoir connaissance de la clef de chiffrement ou de déchiffrement. De tels services permettent juste de se protéger contre les écoutes « de base », mais il suffit de compromettre le service pour que tout ce qui utilise le service (ou simplement les mêmes clefs) soit accessible en clair à l’entité qui l’a compromis. Et c’est d’autant plus vrai si ce service est américain ou simplement a des serveurs aux US, puisqu’il n’y a alors même pas vraiment besoin de « compromettre » leur système, mais simplement que la NSA leur demande « gentiment » au nom du Patriot Act ou toute autre saloperie Act.


votre avatar







lol51 a écrit :



[…]

Un jour, un projet open-source se met en place. La NSA paie un développeur pour y insérer une porte dérobée.

[…]

Comme le code est copiable à souhait, toutes les entreprises se jettent sur cette solution, implémente le code source à tout va, sans faire attention à la porte dérobée.

[…]





L’erreur de ton raisonnement se situe là… Le projet open-source qui se mettra en place initialement pour gérer ce mode de chiffrement, ce sera une librairie. Les entreprises qui utiliseront ensuite cela, sauf exception, utiliseront la librairie en question, et non directement le code. Ensuite, une fois la faille découverte et corrigée dans la librairie, une notice de sécurité sera émise, et les entreprises ou projets qui utilisent des algorithmes de chiffrement, sauf quelques cas qui sont très minoritaires, suivent les informations de sécurité des librairies critiques qu’ils utilisent comme celle-là : les projets open-source dans le pire des cas il y aura toujours quelqu’un de la communauté pour le signaler, les entreprises en particulier parce qu’à partir du moment où la faille a été corrigée dans la librairie avec notification, en cas d’exploitation de la faille dans leur application/système, ils sont responsables, et la majorité des entreprises font tout pour éviter d’être tenues pour responsables, même quand elles le sont.


votre avatar







Mr.Nox a écrit :



J’ai tout même une interrogation, Apple n’est que peu ou pas cité, échapperait ils a tout ça ?







https://www.google.ch/search?&q=imessage+trop+s%C3%A9curis%C3%A9&ie=UTF-…



Mais la NSA ne s’en était pas encore mêlée… <img data-src=" />


votre avatar







Moff Tigriss a écrit :



Plus légèrement, à ce rythme, l’annonce de la vie extraterrestre c’est dans une semaine <img data-src=" />

<img data-src=" />







Bel article.

Je suis étonné par la quantité d’efforts déployés par la NSA, on va bien finir par savoir pour qui ils bossent vraiment ? (grand complot/illuminatis, toussa)



votre avatar







Ricard a écrit :



Ben tous au masque jetable alors. Ca sera une grosse galère à mettre en place, mais incassable.<img data-src=" />







Le masque jetable est la seule solution qui est théoriquement incassable.



Mais elle multiple le trafic réseau par trois et il faut être certain qui les masques soient aléatoires alors les systèmes utilisent que des pseudo aléatoires.



votre avatar







Gorkk a écrit :



L’erreur de ton raisonnement se situe là… Le projet open-source qui se mettra en place initialement pour gérer ce mode de chiffrement, ce sera une librairie. Les entreprises qui utiliseront ensuite cela, sauf exception, utiliseront la librairie en question, et non directement le code. Ensuite, une fois la faille découverte et corrigée dans la librairie, une notice de sécurité sera émise, et les entreprises ou projets qui utilisent des algorithmes de chiffrement, sauf quelques cas qui sont très minoritaires, suivent les informations de sécurité des librairies critiques qu’ils utilisent comme celle-là : les projets open-source dans le pire des cas il y aura toujours quelqu’un de la communauté pour le signaler, les entreprises en particulier parce qu’à partir du moment où la faille a été corrigée dans la librairie avec notification, en cas d’exploitation de la faille dans leur application/système, ils sont responsables, et la majorité des entreprises font tout pour éviter d’être tenues pour responsables, même quand elles le sont.







Il n’y a pas d’erreur. Je parle des cas possibles, pas du cas idéal, nominal.



Evidemment, dans un monde parfait les entreprises ferrait toutes les mises à jours nécessaires, ferait de la veille technologique, mais ça n’est pas le cas.



Je prends l’exemple d’un routeur chinois à 15$. Tu crois vraiment que l’entreprise va se tenir au courant des failles, publier des mises à jours pour ses firmware, etc. ?



Mais bon, inutile d’ergoter, ce que je veux dire c’est qu’il existe une proportion non négligeable de produits qui ne seront jamais à jour.

Tu penses qu’elle est infime, moi je n’en serais pas si sûr : Regarde rien que la proportion de personnes qui utilisent encore Windows Xp, ou internet explorer 6.

Encore une fois : une fois que ça marche, on ne touche plus.


votre avatar
votre avatar







picoteras a écrit :



Nan. C’est peut être pas des flèches mais tout ce qui est militaire militaire (donc pas la bureautique pour les tératonnes de paperasserie bureaucratique que génère le fonctionnement d’un ministère) est isolé des interwebz. Faut pas déconner quand même…







tu sais qu’on a réintégré l’otan?

tu penses que les membres de l’otan utilisent le net pour communiquer? <img data-src=" />


votre avatar







Mr.Nox a écrit :



Sympa ta condescendance ton humour de merde, mais je parle pas des iPhones et autres ibules, mais de la participation active d’Apple aux programmes menés par la NSA. Les noms de Google et Microsoft reviennent très souvent pour leur participation, mais pas celui d’Apple, ni plus, ni moins.





Je spécule, mais effectivement ce ceux les 4 grands qui sont le plus souvent cités, mais puisque Apple est aussi Américain et qu’il a un rôle important dans le domaine (matériel comme logiciel), je doute sincèrement qu’ils n’aient pas aussi participé de façon active.



Mais c’est vrai qu’il serait intéressant d’avoir une liste exhaustive des boîtes qui participent activement aux programmes de la NSA. <img data-src=" />


votre avatar







lol51 a écrit :



Ca existe du libre qui n’est pas open source ?



Que tu me dises que l’open-source n’est pas forcement libre ok, mais pas l’inverse s’il-te-plait <img data-src=" />





Je viens de vérifier la définition et ça peut-être ambiguë.

Effectivement je pensais à logiciel libre dans le sens gratuit (alors qu’il désigne avant tout l’open source).



Mae coulpa. <img data-src=" />


votre avatar







printf a écrit :



Le masque jetable est la seule solution qui est théoriquement incassable.



Mais elle multiple le trafic réseau par trois et il faut être certain qui les masques soient aléatoires alors les systèmes utilisent que des pseudo aléatoires.





Le masque jetable est le seul système reconnu incassable. Pas en théorie, c’est prouvé mathématiquement.


votre avatar







Jmgr a écrit :



Je pense que tout ça justifie carrément l’utilisation de logiciel libres, évidemment le NSA peut toujours tenter d’insérer du code malicieux, mais c’est bien plus difficile que de forcer une entreprise à le faire dans un produit commercial non-libre. (et de lui interdire d’en parler ensuite)





Je rebondis sur ta remarque qui est pertinente.



Étudies le message que j’ai envoyé a linus … (intitulé “want to know”)





Because Gnu/linux is not only a technical adventure : i want to know if backdoor have been introduce by us governement in our favorite os kernel …. Just want to know.



Prism is a very sad story.



Proud to see your job since ….oups 1994.



Have a Nice day linus





votre avatar







Mr.Nox a écrit :



J’ai tout même une interrogation, Apple n’est que peu ou pas cité, échapperait ils a tout ça ?







Dans les premiers slides sur PRISM, il est indiqué qu’Apple collabore depuis Octobre 2012.

pcinpact.com PC INpact


votre avatar







Jmgr a écrit :



Je pense que tout ça justifie carrément l’utilisation de logiciel libres, évidemment le NSA peut toujours tenter d’insérer du code malicieux, mais c’est bien plus difficile que de forcer une entreprise à le faire dans un produit commercial non-libre. (et de lui interdire d’en parler ensuite)







Malheureusement, la NSA Fait aussi de l’entrisme dan l’open-source.



Sur slashdot, on peut lire comment un développeur Linux s’est rendu compte que la NSA et des développeurs complices freinaient ou nuisaient à l’implementation de cryptographie robuste dans IPSEC dans Linux :

http://m.slashdot.org/story/191303



Parmi d’autres choses, la NSA pousse à changer les clés moins souvent, ou à autoriser du cryptage dont on sait qu’il est peu sur, ou même à permettre les paquets non cryptés dans IPSEC (un comble!)



Bref, on est pas dans la merde avec notre “meilleur allié”. Et pendant ce temps, chez François Hollande, … <img data-src=" />


votre avatar







Inny a écrit :



C’est un botnet.





<img data-src=" />


votre avatar







picoteras a écrit :



Yep, et le New York Times ajoute la suite des propos d’Edward S. :







Oui, mais Snowden se place dans un contexte de logiciels libres sans doute, puisqu’ils recommandent tous d’éviter les solutions commerciales.


votre avatar







Inny a écrit :



Entre Flamby et Sarko l’américain, tu crois qu’on aurait eu une réaction ? <img data-src=" />





Nan. C’est pour ça que j’ai parlé de “panache”.<img data-src=" />


votre avatar

souvenez-vous les ennuis de Philip Zimmermann (le créateur de PGP), il s’est coltiné plusieurs années d’enquête où il a été accusé de violer les restriction à l’exportation des produits cryptographiques. Puis en 1996 miracle il est soudain lavé de tout.



On peut lire depuis qu’il aurait “marchandé” son non-lieu contre des failles subtiles qui auraient été introduites dans le compilateur C (et non pas dans le code source de PGP). Mais ce sont les barbus paranos qui écrivent ça.



bon je ne sais pas ce qu’il en est vraiment, mais c’est vrai que cet abandon brutal des charges, c’est étrange, non ?

votre avatar







Inny a écrit :



Regarde les articles de PCI sur le contrat open bar de l’armée avec Microsoft… on leur ouvre complètement notre réseau militaire. <img data-src=" />







L’armée a cru que c’etait open bar pour les logciels alors que c’est open bar pour la NSA sur notre reseau :)

Il a dut y avoir erreur lors de la traduction c’est tout


votre avatar







2show7 a écrit :



Il me semblait que tu prenais le pastis nature (sans eau, non ?)





C’est pour ça que je ne comprenais pas.<img data-src=" />


votre avatar







picatrix a écrit :



souvenez-vous les ennuis de Philip Zimmermann (le créateur de PGP), il s’est coltiné plusieurs années d’enquête où il a été accusé de violer les restriction à l’exportation des produits cryptographiques. Puis en 1996 miracle il est soudain lavé de tout.



On peut lire depuis qu’il aurait “marchandé” son non-lieu contre des failles subtiles qui auraient été introduites dans le compilateur C (et non pas dans le code source de PGP). Mais ce sont les barbus paranos qui écrivent ça.



bon je ne sais pas ce qu’il en est vraiment, mais c’est vrai que cet abandon brutal des charges, c’est étrange, non ?







En meme temps plus ca va plus j’ai tendance a croire les barbus paranos…


votre avatar







Inny a écrit :



Regarde les articles de PCI sur le contrat open bar de l’armée avec Microsoft… on leur ouvre complètement notre réseau militaire. <img data-src=" />





Nan. C’est peut être pas des flèches mais tout ce qui est militaire militaire (donc pas la bureautique pour les tératonnes de paperasserie bureaucratique que génère le fonctionnement d’un ministère) est isolé des interwebz. Faut pas déconner quand même…


votre avatar
votre avatar







Ricard a écrit :



C’est pour ça que je ne comprenais pas.<img data-src=" />







La zone 51 m’a inspiré. Ils ont dit, il y a quelques semaine d’ici que la zone 51 sert ou a servi de base aux recherches aéronautiques secrètes et non des petits hommes verts <img data-src=" />


votre avatar

et là on fait un effort de mémoire, on revient 1 an en arrière et on se souvient des gentils américains et des gentils français qui mettaient en garde publiquement contre les équipementiers des méchants chinois.

et on se marre. putain, on se marre grave.



“pardon? le réseau de l’élysée a été infiltré? mmh bah ça doit être les chinois, forcément!”



hahahaha. mais oui, c’est les chinois, c’est évident. les méchants jaunes rouges.



et les sondes qu’on branche un peu partout dans le monde sur les câbles optiques, couplées à des systèmes d’analyse de données dimensionnés pour un pays tout entier, c’est pour les méchants terroristes et les méchants pédophiles.



on récapitule: nous sommes en 2013, les méchants sont:




  • les chinois

  • les terroristes

  • les pédophiles

votre avatar

Et google car sert à la machine de “Person of Interest” américain <img data-src=" />

votre avatar







Inny a écrit :



Regarde les articles de PCI sur le contrat open bar de l’armée avec Microsoft… on leur ouvre complètement notre réseau militaire. <img data-src=" />





tiens oui bonne question.

il serait bon d’avoir l’avis des parlementaires concernés à la lumière des évènements récents.


votre avatar







John Shaft a écrit :



Non. Les algos (type AES, qui sort de la NSA) sont publics et leur efficacité est prouvée mathématiquement. <img data-src=" />





Basiquement, ça repose sur 2 très grands nombre premiers et l’impossibilité de refactoriser leur produit.

Le jour où un matheux sort la solution à ce problème, une grand partie de la crypto est à réinventer…


votre avatar







Vincent_H a écrit :



Oui, mais Snowden se place dans un contexte de logiciels libres sans doute, puisqu’ils recommandent tous d’éviter les solutions commerciales.





Pardon mais je ne comprends pas bien ta réponse.



Clairement, ce que Snowden a dit c’est que le chiffrement fort bien implémenté, c’est bien mais qu’il ne faut pas se faire trop d’illusions : si la NSA veut vraiment prendre connaissance du contenu d’un document envoyé chiffré, elle se débrouillera pour y arriver d’une manière ou d’une autre, notamment en pénétrant l’ordi émetteur ou récepteur et en lisant le contenu du doc avant chiffrement ou après déchiffrement .





votre avatar
votre avatar

Très bon article, bien détaillé <img data-src=" />





Bruce Schneier, l’auteur de cet article, donne quelques exemples des solutions utilisées : GPG, Silent Circle, Tails, OTR, TrueCrypt ou encore BleachBit.





Est-ce que TrueCrypt est vraiment fiable? Je n’ai pas tellement l’impression…

Quelques arguments

De plus, ils ne fournissent même pas l’historique du code source…On voudrait cacher l’insertion de “backdoors mathématiques” qu’on ne s’y prendrait pas autrement…



Un autre article de Bruce Schenier hier : The US government has betrayed the internet. We need to take it back.

votre avatar







uzak a écrit :



Le jour où un matheux sort la solution à ce problème, une grand partie de la crypto est à réinventer…







Oui c’est pour l’INstant un problème de “kikialaplusgrosse” pour factoriser le truc. <img data-src=" />



C’est d’ailleurs “sympa” de voir les tentatives en cours sur le Mersenneforum, à baver sur les machines qu’ils utilisent <img data-src=" />


votre avatar







John Shaft a écrit :



Non. Les algos (type AES, qui sort de la NSA) sont publics et leur efficacité est prouvée mathématiquement. <img data-src=" />





N’importe quoi… <img data-src=" />

Cadeau



En général un algo de crypto est solide jusqu’a ce qu’il ne le soit plus….


votre avatar

Heu… pourtant, internet, c’est 90% d’Unix/Linux. Unix/Linux, c’est safe, non ?



Bon, j’ai fait mon petit troll du vendredi. Bon week end.

votre avatar







Holly Brius a écrit :



N’importe quoi… <img data-src=" />

Cadeau



En général un algo de crypto est solide jusqu’a ce qu’il ne le soit plus….





T’as lu ton lien ?



Cependant, malgré la rapidité de la méthode, elle reste trèscomplexe et difficilement réalisable en utilisant les technologies actuelles. « Avec un trillion de machines, chacune pouvant tester un milliard de clés par seconde, cela prendrait plus de deux milliards d’années pour récupérer une clé AES 128 bits », expliquent les chercheurs.



Mais sinon ouais, c’est le principe, ça marche jusqu’à ce que quelqu’un le casse


votre avatar

Article de très grand qualité, merci. <img data-src=" />

votre avatar







Holly Brius a écrit :



N’importe quoi… <img data-src=" />

Cadeau







toussote





La news en lien a écrit :



« Avec un trillion de machines, chacune pouvant tester un milliard de clés par seconde, cela prendrait plus de deux milliards d’années pour récupérer une clé AES 128 bits », expliquent les chercheurs









It requires 2^126.1 operations to recover an AES-128 key. For AES-192 and AES-256, 2^189.7 and 2^254.4 operations are needed, respectively





Source Wiki



ça reste une avancée parce que c’est bien plus efficace que la brute force (2^126 opérations contre 2^128), mais pour la réaliser, rendez-vous à la fin des temps



EDIT : grillé


votre avatar







John Shaft a écrit :



Sinon, je viens de retrouver le papier détaillant la factorisation de RSA 768. Quand on voit les efforts déployés, hormis l’INplémentation foireuse de l’algo ou la captation de la clé privée par des tiers, ça reste safe.





Ca reste safe au yeux de la science académique…. les mathématiciens de la NSA ne publient pas leurs résultats que je sache…


votre avatar







uzak a écrit :



T’as lu ton lien ?





Ben oui…



leur efficacité est prouvée mathématiquement



Ben non…


votre avatar







Moff Tigriss a écrit :



Je suis curieux de voir les réactions de gens comme Stallman sur ce sujet.





Probablement quelque chose du genre “bien fait, ce serait pas arrivé si vous utilisiez pas des logiciels privateur blablabla”







Moff Tigriss a écrit :



Plus légèrement, à ce rythme, l’annonce de la vie extraterrestre c’est dans une semaine <img data-src=" />





Peut-être que ça en fera réfléchir certains sur les théorie du complot et qu’ils verront qu’elles sont pas forcément toutes si folles que ça. <img data-src=" />


votre avatar

Les USA accusaient récemment les Chinois d’ être les champions de l’ espionnage allant jusqu’ à déconseiller l’ emploi de matos chinois truffés de backdoor ou autres cadeaux dans les infrastructures incluant leur matos.

Si réellement nos amis américains ne sont que deuxième sur le podium, vu le niveau qu’ on leur découvre chaque semaine, ca fait peur ou alors, c’ était juste de la modestie et de l’ humilité<img data-src=" />



Comme pas mal de leurs alliés et amis étaient sur la liste des pays espionnées, certains affirmaient à l’ époque que jamais mais alors là jamais, les USA pourraient être derrière des opérations comme Red October … aujourd’ hui, on serait quand même moins catégorique.

votre avatar







Holly Brius a écrit :



Ca reste safe au yeux de la science académique…. les mathématiciens de la NSA ne publient pas leurs résultats que je sache…





Ca, et les ordis quantiques qui promettent de factoriser rapido presto !


votre avatar







Holly Brius a écrit :



N’importe quoi… <img data-src=" />

Cadeau



En général un algo de crypto est solide jusqu’a ce qu’il ne le soit plus….







« Avec un trillion de machines, chacune pouvant tester un milliard de clés par seconde, cela prendrait plus de deux milliards d’années pour récupérer une clé AES 128 bits », expliquent les chercheurs.



Et vu que pratiquement tout le monde utilise AES256, AES est toujours (et pour longtemps encore) considéré comme sur.<img data-src=" />


votre avatar

En même temps, la france fait pareil, juste qu’ils n’ont pas eu d’Albert Desneiges pour le moment <img data-src=" />

votre avatar







Ricard a écrit :



Et vu que pratiquement tout le monde utilise AES256, AES est toujours (et pour longtemps encore) considéré comme sur.<img data-src=" />





Oui, il est safe, comme tant d’autres avant lui qui ne le sont plus…


votre avatar







uzak a écrit :



Ca, et les ordis quantiques qui promettent de factoriser rapido presto !





Ben tous au masque jetable alors. Ca sera une grosse galère à mettre en place, mais incassable.<img data-src=" />


votre avatar

La NSA a pas participé à un moment donné à Android? <img data-src=" />

votre avatar







maestro321 a écrit :



C’est la NSA qui à fait l’expertise ? <img data-src=" />







Oué, ils utilisent le top des maths non-euclidienne Mi-Go <img data-src=" />



<img data-src=" />


votre avatar







Droogs a écrit :



La NSA a pas participé à un moment donné à Android? <img data-src=" />







On en parlé en juillet.


votre avatar

Je propose de couper les ponts avec les américains et les zenglish. Plus de google, yahoo, Microsoft, youporn, facebuck…



euh… en fait faut vous désabonner de chez votre FAI ou même couper le compteur EDF. <img data-src=" />

votre avatar







Droogs a écrit :



La NSA a pas participé à un moment donné à Android? <img data-src=" />





Non, bien sur que non voyons.<img data-src=" />


votre avatar

Ca me fout les boules. <img data-src=" />





Vincent_H a écrit :



Ma pensée exacte ce matin pendant que je lisais tous les articles.







Ca serait un bon moyen pour eux de détourner l’attention <img data-src=" />


votre avatar

Superbe article, très clair. <img data-src=" />



C’est quand même fascinant, au fur et à mesure des dévoilements ça vire à la caricature de science-fiction tellement c’est exagéré. Ça devrait provoquer un séisme politique majeur, c’est complètement fou…

votre avatar







Fantassin a écrit :



Je propose de couper les ponts avec les américains et les zenglish. Plus de google, yahoo, Microsoft, youporn, facebuck…



euh… en fait faut vous désabonner de chez votre FAI ou même couper le compteur EDF. <img data-src=" />





Tu peux continer YouPorn, c’est P’tit Pingu le Luxembourg qui gère


votre avatar







John Shaft a écrit :



Oué, ils utilisent le top des maths non-euclidienne Mi-Go <img data-src=" />



<img data-src=" />







Pittagoresque (<img data-src=" />)


votre avatar

Bon ben je ne vais pas me fouler et juste quoter un bout de ce que j’ai posté hier soir quand je suis tombé sur ces derniers développements :





Z’ont déconné là : y z’ont fait des trous partout pour mater dans l’internet (et attends qu’les Chinois les repèrent leurs trous, ça va devenir sportif).




votre avatar







Jmgr a écrit :



Je pense que tout ça justifie carrément l’utilisation de logiciel libres





JVachez à dit



Il ne faut jamais utiliser de l’open source pour crypter des données car il suffit de lire le code source pour comprendre comment crypter et décrypter



On ne contredit pas Le Maître. <img data-src=" /> <img data-src=" /> <img data-src=" />


votre avatar

Manque plus que la news qui nous prévient que la Chine, Russie, … s’est payer un ex-admin de la NSA + tous les secrets et accès contenu sur sa clé de 128Go. <img data-src=" />

votre avatar

Tiens donc, voilà qui donnerait du grain à moudre à ceux qui soupçonnaient Microsoft d’ouvrir une petite porte à la NSA avec leurs systèmes, depuis des années… C’est super, en équipant toute l’informatique Française de produits américains, on leur a déroulé le tapis rouge pour pouvoir espionner tout ce qu’il se passe chez nous, y compris dans l’administration, l’espionnage industriel, et le gouvernement… Et peut être même l’armée ? <img data-src=" />

Le pire serait que d’autres aient eu en plus, accès à ces portes dérobées…



Enfin, ceci dit, on n’est pas mieux lotis avec Android, et sous Linux ou il serait bien vu de virer SeLinux quelques temps histoire d’y voir plus clair…



Autre point, vaudrait mieux virer Verizon pour approuver des certificats dignes de confiance…

votre avatar

Sinon, comme solution proche de SilentCircle mais OpenSource

TextSecure et RedPhone (avec une version de TextSecure bientôt pour iPhone)



En même temps, SilentCircle a été monté notamment par le créateur de PGP et ZRTP, Phil Zimmermann. Au moins ce n’est pas de l’argent envoyé à des usurpateurs comme CPLUSSUR.com /Figaro/demat-store/zen-reputation.

votre avatar







Moff Tigriss a écrit :



Je suis curieux de voir les réactions de gens comme Stallman sur ce sujet. Et d’ailleurs, qu’en est-il du monde open-source ? Le fait que la NSA mette son nez à certains endroits est déjà connu depuis SELinux.





Je ne serais pas surpris qu’on trouve des bouts de code bien camouflés dans le noyau Linux également <img data-src=" /> (OSX et Win même pas besoin de douter <img data-src=" />)







Moff Tigriss a écrit :



Plus légèrement, à ce rythme, l’annonce de la vie extraterrestre c’est dans une semaine <img data-src=" />







<img data-src=" />


votre avatar

Concernant AES, ou plutôt Rijndael, lors de sa validation, le NIST avait procédé à un remplacement de la S-Box, sans qu’elle explique exactement quels en étaient les raisons algorithmiques…

votre avatar

Je ne serais pas étonné d’apprendre que la NSA possède le plus gros parc de machines zombies de la terre, dans un soucis de traiter plus rapidement l’information (je dis ça, je dis rien) <img data-src=" />

votre avatar







Zaouli a écrit :



Et si on s’amusait à envoyer plein de mails avec des mots clés qui vont déclencher les radars de la NSA contenant une petite pièce jointe fortement chiffrée avec un mot de passe très long ?





Je suppose qu’ils ont des outils de social engineering construit grâce à google et facebook pour deviner qu’il ne s’agit de rien d’intéressant…<img data-src=" />



Mais tu peux toujours essayer. <img data-src=" />


votre avatar

Et dire qu’ils ont même réussi à faire passer la paranoïa pour une maladie mentale <img data-src=" />

votre avatar

En tout cas cette histoire nous montre bien que nous ne voyons que le dessus de l’iceberg du fonctionnement de notre monde. Et qu’il est bon de remettre en question nos certitudes de temps en temps.

votre avatar







juliusc a écrit :



En meme temps plus ca va plus j’ai tendance a croire les barbus paranos…





Souvenez-vous: “ce n’est pas parce que je suis paranoiaque qu’ils ne sont pas vraiment apres moi.”


votre avatar

J’ai tout même une interrogation, Apple n’est que peu ou pas cité, échapperait ils a tout ça ?

votre avatar







Mr.Nox a écrit :



J’ai tout même une interrogation, Apple n’est que peu ou pas cité, échapperait ils a tout ça ?



Bien sûr, car les produits d’Apple sont inviolables et ne sont pas utilisés par les terroristes.<img data-src=" />


votre avatar

Qu’ils essaient de décrypter mes DD sous PGP Desktop <img data-src=" />

votre avatar







Mr.Nox a écrit :



J’ai tout même une interrogation, Apple n’est que peu ou pas cité, échapperait ils a tout ça ?







<img data-src=" />



On parle juste de MS parce qu’il est sur 95% des ordi, mais faut pas croire que les mac, les iphones, les androids, les routeurs et sans doutes les processeur Intel/AMD y échappent … Concernant Android un ancien du FBI a declaré qu’ils avaient acces au microalors si le FBI y a droit je vois pas ce qui arrêterait la NSA <img data-src=" />


votre avatar







dematbreizh a écrit :



Merci pour vos articles de qualité sur ces sujets :)





+1 <img data-src=" />


votre avatar







Jmgr a écrit :



Je pense que tout ça justifie carrément l’utilisation de logiciel libres, évidemment le NSA peut toujours tenter d’insérer du code malicieux, mais c’est bien plus difficile que de forcer une entreprise à le faire dans un produit commercial non-libre. (et de lui interdire d’en parler ensuite)







Sauf que le logiciel libre à un côté pernicieux :

Imagine qu’un nouveau protocole de chiffrement voit le jour. Au début, seuls des solutions propriétaires existent pour ce type de chiffrement.



Un jour, un projet open-source se met en place. La NSA paie un développeur pour y insérer une porte dérobée.



Comme le code est copiable à souhait, toutes les entreprises se jettent sur cette solution, implémente le code source à tout va, sans faire attention à la porte dérobée.



Quelques jours plus tard la faille est effacée du code source du projet initial par un développeur avisé, mais il reste encore les milliers projets qui se sont servit du code vérolé, et qui ne sera jamais mis à jour, car une fois que ça marche, on y touche plus.



Résultat des courses : le service de renseignement à l’accès à des centaines de logiciels/routeurs qui ont utilisé ce code source libre vérolé.


votre avatar







AnthoniF a écrit :



Qu’ils essaient de décrypter mes DD sous PGP Desktop <img data-src=" />





Alors tu n’as rien compris. ^^

Ils ont des accès à plusieurs niveaux dans de très nombreux systèmes, ce qui signifie que même s’il ne peuvent pas décrypter tes DD ils peuvent accéder aux infos au moment ou tu est en train de les crypter ou de les lires (s’il le veulent vraiment)…


votre avatar







lol51 a écrit :



Sauf que le logiciel libre à un côté pernicieux :

Imagine qu’un nouveau protocole de chiffrement voit le jour. Au début, seuls des solutions propriétaires existent pour ce type de chiffrement.



Un jour, un projet open-source se met en place. La NSA paie un développeur pour y insérer une porte dérobée.



Comme le code est copiable à souhait, toutes les entreprises se jettent sur cette solution, implémente le code source à tout va, sans faire attention à la porte dérobée.



Quelques jours plus tard la faille est effacée du code source du projet initial par un développeur avisé, mais il reste encore les milliers projets qui se sont servit du code vérolé, et qui ne sera jamais mis à jour, car une fois que ça marche, on y touche plus.



Résultat des courses : le service de renseignement à l’accès à des centaines de logiciels/routeurs qui ont utilisé ce code source libre vérolé.





Ce dont tu parles c’est de la corruption/abut de pouvoir, il est donc inutile d’opposer propriétaire et libre.



Edit: Désolé pour les fautes du post précédent.<img data-src=" />


votre avatar







maestro321 a écrit :



Ce dont tu parles c’est de la corruption/abut de pouvoir, il est donc inutile d’opposer propriétaire et libre.



Edit: Désolé pour les fautes du post précédent.<img data-src=" />







Pourquoi ne pas reconnaître que c’est simplement un mauvais aspect de l’open source ? Idéologie, quand tu nous tiens…


votre avatar







lol51 a écrit :



Pourquoi ne pas reconnaître que c’est simplement un mauvais aspect de l’open source ? Idéologie, quand tu nous tiens…





libre != open source



Mais quelque soit l’origine de la source du programme puisque ce sont des humains derrière ils sont forcements soumis à la corruption/abut de pouvoir (carotte/bâton). <img data-src=" />



C’est pour ça que je dis qu’il est inutile des les opposer; ils ont intrinsèquement les mêmes failles.


votre avatar







maestro321 a écrit :



libre != open source



Mais quelque soit l’origine de la source du programme puisque ce sont des humains derrière ils sont forcements soumis à la corruption/abut de pouvoir (carotte/bâton). <img data-src=" />



C’est pour ça que je dis qu’il est inutile des les opposer; ils ont intrinsèquement les mêmes failles.







Ca existe du libre qui n’est pas open source ?



Que tu me dises que l’open-source n’est pas forcement libre ok, mais pas l’inverse s’il-te-plait <img data-src=" />


votre avatar



Cela passe par des logiciels, mais également par le matériel. Toujours selon les documents de Snowden, la NSA a ainsi pu négocier l’inclusion de portes dérobées dans des puces, sans pour autant que l’on sache lesquelles. Si elle n’y parvient pas, elle se sert de failles de sécurité pour obtenir quand même les données. Opérateurs de téléphonie, fournisseurs d’accès et même gouvernements, tout y passe.





Heuresement que notre reseau n’utilise pas de materiel Cisco/Juniper ou Huawei … On est sauvé <img data-src=" />







<img data-src=" />

votre avatar







Holly Brius a écrit :



Ben oui…





Ben je trouve qu’on est loin du cassage.


votre avatar



Le même Guardian a d’ailleurs publié un second article portant déjà sur plusieurs manières de ralentir le travail de l’agence





Sur ce “second article” :



and there is evidence of a back door in Windows





Intéressant.



Ça complète la confirmation plus récente de la backdoor de Skype (et confirmée davantage encore par ces nouvelles révélations).

votre avatar







Holly Brius a écrit :



Oui, il est safe, comme tant d’autres avant lui qui ne le sont plus…





Ha mais on sait bien qu’il tombera un jour, comme 99.99% des algos existants et futurs. La question est: est-ce que les infos contenues dans les fichiers auront encore une “valeur” dans 5 ou 10 ans. ????


votre avatar







Ricard a écrit :



Ben tous au masque jetable alors. Ca sera une grosse galère à mettre en place, mais incassable.<img data-src=" />





Et tu transferts le masque chiffré par AES pour pas qu’il tombe entre de mauvaises mains.<img data-src=" />


votre avatar







Ricard a écrit :



Et vu que pratiquement tout le monde utilise AES256, AES est toujours (et pour longtemps encore) considéré comme sur.<img data-src=" />





Et comme tu chiffres en AES avec ton CPU intel 100% désigné au USA, sans doute avec l’aide de la NSA, ça laisse encore de quoi faire….


votre avatar







uzak a écrit :



Et tu transferts le masque chiffré par AES pour pas qu’il tombe entre de mauvaises mains.<img data-src=" />





Et oui, il y a un hic hélas, c’est là qu’est l’os.<img data-src=" />


votre avatar







Holly Brius a écrit :



Et comme tu chiffres en AES avec ton CPU intel 100% désigné au USA, sans doute avec l’aide de la NSA, ça laisse encore de quoi faire….





Sur ta machine Windows 8 <img data-src=" />


votre avatar







okeN a écrit :



Peut-être que ça en fera réfléchir certains sur les théorie du complot et qu’ils verront qu’elles sont pas forcément toutes si folles que ça. <img data-src=" />





Oh non pitié, laissons les comploteurs dans leur coin tout puant de l’internet, près des poubelles.


votre avatar







Ricard a écrit :



La question est: est-ce que les infos contenues dans les fichiers auront encore une “valeur” dans 5 ou 10 ans. ????







Le pr0n ne decote pas Monsieur <img data-src=" /> !!!


votre avatar







Holly Brius a écrit :



Et comme tu chiffres en AES avec ton CPU intel 100% désigné au USA, sans doute avec l’aide de la NSA, ça laisse encore de quoi faire….





M’enfin, comme dit dans la niouze: Un ordi non connecté pour les données sensibles et le tour est joué.<img data-src=" />


votre avatar







ed a écrit :



Oh non pitié, laissons les comploteurs dans leur coin tout puant de l’internet, près des poubelles.





Ben pour le moment, les évènements donnent raison aux comploteurs, justement.


votre avatar







okeN a écrit :



Probablement quelque chose du genre “bien fait, ce serait pas arrivé si vous utilisiez pas des logiciels privateur blablabla”





Peut-être que ça en fera réfléchir certains sur les théorie du complot et qu’ils verront qu’elles sont pas forcément toutes si folles que ça. <img data-src=" />





Sans forcement les croire aveuglément non plus …



mon <img data-src=" /> du jour :

en fait hollande soutient obama en syrie car obama détient des photos compromettante … (du typehttps://bitly.com/1cFPlQi)


votre avatar







Ricard a écrit :



M’enfin, comme dit dans la niouze: Un ordi non connecté pour les données sensibles et le tour est joué.<img data-src=" />





Tout a fait. Et justement, les gens qui ont réellement des choses a cacher n’utilisent pas les technos que la NSA espionnent…

Si la NSA n’est là que pour les terroristes et autres, tout ce travail est inutile… il y a donc un autre but…


votre avatar







uzak a écrit :



T’as lu ton lien ?



Mais sinon ouais, c’est le principe, ça marche jusqu’à ce que quelqu’un le casse











On dit qu’une attaque a réussi sur un algo quand on trouve un moyen de connaitre la clé en moins d’opérations qu’avec une attaque par force brute.


votre avatar







monpci a écrit :



Sans forcement les croire aveuglément non plus …



mon <img data-src=" /> du jour :

en fait hollande soutient obama en syrie car obama détient des photos compromettante … (du typehttps://bitly.com/1cFPlQi)





Ben c’est clair, la plupart sont certainement fausse. Mais ce que je veux dire c’est que c’est pas parce quelque chose parait incroyable au premier abord que c’est faux. On a la preuve que le “on le saurait depuis le temps” c’est des conneries.


votre avatar

Pas mal le ministère en forme de Donut.

votre avatar



la lutte antiterroriste et la protection de la sécurité,





En fait en gros c’est la sécurité de la sécurité ? <img data-src=" /> Bizarre cette phrase !

votre avatar

Je pense que tout ça justifie carrément l’utilisation de logiciel libres, évidemment le NSA peut toujours tenter d’insérer du code malicieux, mais c’est bien plus difficile que de forcer une entreprise à le faire dans un produit commercial non-libre. (et de lui interdire d’en parler ensuite)

votre avatar



et préférer des méthodes de chiffrement symétriques plutôt que des infrastructures à clé publique





Là je veux bien des explications. Une clé RSA 1024 bits, c’est normalement suffisamment résistant (pour peux que l’on contrôle la génération des clés)

votre avatar



préférer des méthodes de chiffrement symétriques plutôt que des infrastructures à clé publique.







Bruce Schneier, l’auteur de cet article, donne quelques exemples des solutions utilisées : GPG

votre avatar

Merci pour vos articles de qualité sur ces sujets :)

votre avatar







dematbreizh a écrit :



Merci pour vos articles de qualité sur ces sujets :)





+14h42!


votre avatar

J’ai suivi le développement de l’info sur le net cette nuit, pas grand monde n’osait y croire au début de l’annonce.

Le plus fou là dedans, c’est que chaque élément rapporté ici était déjà connu ou du moins fortement suspecté , mais de façon séparé.



Là, c’est l’ensemble des pièces du puzzle qui s’emboitent parfaitement, et qui commencent à dévoiler le tableau entier.



Je suis curieux de voir les réactions de gens comme Stallman sur ce sujet. Et d’ailleurs, qu’en est-il du monde open-source ? Le fait que la NSA mette son nez à certains endroits est déjà connu depuis SELinux.



Plus légèrement, à ce rythme, l’annonce de la vie extraterrestre c’est dans une semaine <img data-src=" />









Jean_Peuplus a écrit :



Pas mal le ministère en forme de Donut.







Et c’est vraiment la seule chose à dire sur : 1°) une annonce de ce niveau 2°) un article fort complexe à rédiger et à lire ? <img data-src=" />


votre avatar







John Shaft a écrit :



Là je veux bien des explications. Une clé RSA 1024 bits, c’est normalement suffisamment résistant (pour peux que l’on contrôle la génération des clés)







La NSA ayant participé à la conception de ces algos, elle dispose peut-être d’une “backdoor mathématique” qui marcherait sur les algos à clé publique, mais pas sur ceux qui sont symétriques ? J’en sais rien, j’extrapole, faudrait voir les articles dans le détail.


votre avatar







Moff Tigriss a écrit :



Plus légèrement, à ce rythme, l’annonce de la vie extraterrestre c’est dans une semaine <img data-src=" />

:







Ma pensée exacte ce matin pendant que je lisais tous les articles.


votre avatar

Le coup de suggérer l’utilisation de clefs secrètes plutôt que des couples clefs privée/publique des systèmes asymétriques bute un peu sur la conclusion “Plus c’est long à casser, mieux c’est” vu que justement, les algos asymétriques sont plus long à traiter que les algos symétriques.



Edit: orthographe.

votre avatar

La vérité sur la zone 51 et l’eau zone sans Ricard <img data-src=" />

votre avatar







Nnexxus a écrit :



La NSA ayant participé à la conception de ces algos, elle dispose peut-être d’une “backdoor mathématique” qui marcherait sur les algos à clé publique, mais pas sur ceux qui sont symétriques ? J’en sais rien, j’extrapole, faudrait voir les articles dans le détail.









Non. Les algos (type AES, qui sort de la NSA) sont publics et leur efficacité est prouvée mathématiquement. <img data-src=" />


votre avatar







John Shaft a écrit :



Non. Les algos (type AES, qui sort de la NSA) sont publics et leur efficacité est prouvée mathématiquement. <img data-src=" />





C’est la NSA qui à fait l’expertise ? <img data-src=" />


votre avatar







Moff Tigriss a écrit :



Et c’est vraiment la seule chose à dire sur : 1°) une annonce de ce niveau 2°) un article fort complexe à rédiger et à lire ? <img data-src=" />







Non.

D’autres questions ?


votre avatar







Nnexxus a écrit :



La NSA ayant participé à la conception de ces algos, elle dispose peut-être d’une “backdoor mathématique” qui marcherait sur les algos à clé publique, mais pas sur ceux qui sont symétriques ? J’en sais rien, j’extrapole, faudrait voir les articles dans le détail.









Prefer symmetric cryptography over public-key cryptography. Prefer conventional discrete-log-based systems over elliptic-curve systems; the latter have constants that the NSA influences when they can.



Le text original, les possibilités que je vois :





  • les implémentations des protocoles classiques d’échanges de clés publiques sont backdoorés.

  • la NSA a trouvé un moyen de trouver facilement les couples de clés.

  • La NSA c’est Chuck Norris.

  • Obiwan Kenobi


votre avatar







bingo.crepuscule a écrit :



Et peut être même l’armée ? <img data-src=" />





Regarde les articles de PCI sur le contrat open bar de l’armée avec Microsoft… on leur ouvre complètement notre réseau militaire. <img data-src=" />


votre avatar
votre avatar

sinon pour protéger ces données il y a mega.com <img data-src=" />

lui au moins on l’accusera pas d’être de mèche avec la NSA

—-&gt;[]

votre avatar







2show7 a écrit :



La vérité sur la zone 51 et l’eau zone sans Ricard <img data-src=" />





<img data-src=" /> Hein ? Quoi ?


votre avatar







Ricard a écrit :



Le-traffic-de-Tor-explose-en-deux-semaines-le-reseau-enregistre-un-nombre-record-d-utilisateurs-journaliers/





Si j’ai bien tout suivi ça sert pas à grand chose d’utiliser tor


votre avatar







Fantassin a écrit :



Je propose de couper les ponts avec les américains et les zenglish. Plus de google, yahoo, Microsoft, youporn, facebuck…



euh… en fait faut vous désabonner de chez votre FAI ou même couper le compteur EDF. <img data-src=" />





Pendant le G20. Quel panache si on avait pas un gros toumou à la tête de l’état.<img data-src=" />


votre avatar







Reznor26 a écrit :



Ça devrait provoquer un séisme politique majeur, c’est complètement fou…





<img data-src=" />Pas le temps. Il y a secret story ce soir sur TF1.


votre avatar
votre avatar







Reznor26 a écrit :



Superbe article, très clair. <img data-src=" />



C’est quand même fascinant, au fur et à mesure des dévoilements ça vire à la caricature de science-fiction tellement c’est exagéré. Ça devrait provoquer un séisme politique majeur, c’est complètement fou…







+1 pour l’article, bravo c’est nickel <img data-src=" />

+1 pour la réflexion


votre avatar







Inny a écrit :



Regarde les articles de PCI sur le contrat open bar de l’armée avec Microsoft… on leur ouvre complètement notre réseau militaire. <img data-src=" />







Oh putain, je l’avais oublié celle là ! <img data-src=" /> <img data-src=" />



Bon… On est dans la merde… De la théorie du complot, on est passé à des faits avérés… Et maintenant on fait quoi ? On croise les bras comme si de rien n’était en faisant mine que tout vas bien et en se voilant la face, ou il y a des solutions concrètes à mettre en place ?



Tiens d’ailleurs, tout ça me fait penser à la fin du support de XP par Microsoft… Après de telles annonces, pas sûr qu’elles aient envie de continuer d’être clientes chez eux, les entreprises européennes…


votre avatar







Ricard a écrit :



Pendant le G20. Quel panache si on avait pas un gros toumou à la tête de l’état.<img data-src=" />





Entre Flamby et Sarko l’américain, tu crois qu’on aurait eu une réaction ? <img data-src=" />


votre avatar



Le Times aborde en particulier l’exemple d’une agence étrangère de renseignement qui avait commandé du matériel informatique. La NSA a obtenu du constructeur américain qu’il insère une porte dérobée dans le produit avant qu’il soit livré.





Si le Times n’avait pas précisé qu’il s’agit de matériel info (et non de logiciels), j’aurais juré qu’il parlait du contrat que la France a renouvelé récemment.



M’enfin, l’un n’empêche pas l’autre.













Jean_Peuplus a écrit :



Pas mal le ministère en forme de Donut.





J’me suis fait la même remarque. Mais sans l’associer à un Donut.

Du coup, j’ai faim.


votre avatar

Bon de toutes façons, m’en fout, j’ai rien à cacher moi <img data-src=" />



<img data-src=" />



Sinon, je viens de retrouver le papier détaillant la factorisation de RSA 768. Quand on voit les efforts déployés, hormis l’INplémentation foireuse de l’algo ou la captation de la clé privée par des tiers, ça reste safe.



Ceci dit, les points faibles ne sont absolument pas à négliger.



Un membre de ma famille l’avait INplémenter ya quelques années, je crois que je vais lui demander de refaire une version <img data-src=" />

votre avatar



Le Guardian rappelle d’ailleurs les propos tenus en juin par Edward Snowden : seuls des systèmes forts de chiffrement, correctement et indépendamment implémentés, peuvent garantir une protection.



Yep, et le New York Times ajoute la suite des propos d’Edward S. :





though cautioning that the N.S.A. often bypasses the encryption altogether by targeting the computers at one end or the other and grabbing text before it is encrypted or after it is decrypted.



Trad rapide: mais prévenant toutefois que souvent la NSA court-circuite totalement le chiffrement en ciblant les ordinateurs à l’une ou l’autre des extrémités et se saisit du texte avant qu’il soit chiffré ou après qu’il est déchiffré.


votre avatar







Ricard a écrit :



<img data-src=" /> Hein ? Quoi ?







Il me semblait que tu prenais le pastis nature (sans eau, non ?)


votre avatar







Moff Tigriss a écrit :



Et c’est vraiment la seule chose à dire sur : 1°) une annonce de ce niveau 2°) un article fort complexe à rédiger et à lire ? <img data-src=" />







surtout que ca ressemble plutot a un rechaud pour fondue <img data-src=" />


votre avatar







Ricard a écrit :



Le masque jetable est le seul système reconnu incassable. Pas en théorie, c’est prouvé mathématiquement.





J’ai mieux <img data-src=" />


votre avatar

Pour illustrer l’avancement voilà ce qu’on pouvait lire il y a 3 ans…

pcinpact.com PC INpact





Aujourd’hui…







Bon c’est quoi les articles dans 3 ans?



<img data-src=" /><img data-src=" />

votre avatar

@Vincent, prépare les articles sur les mouchards permanents inclus dans les suppositoires qui peuvent communiquer directement aux satellites américains, le tout alimenté en électricité par le corps de l’hôte…



On sait jamais!

votre avatar

Je ne comprends pas bien ce qui vous dérange.



Dans la vraie vie, il y a des caméras, des patrouilles de police, des voisins qui vous observent, des policiers en civile et je ne sais quoi encore.



Le but du https et des VPN sur le net, ce n’est pas que la NSA n’ait pas accès aux données, mais bien d’empêcher un sniff par un employé télécom par exemple.



Tout ce qui est sur Internet doit être considéré comme public.



Si vous voulez garder quelque chose pour vous, ne l’exposez pas à internet et n’exposez pas votre pc y permettant d’y accéder au net.



C’est tout aussi simple que cela.



Si la NSA veut vraiment savoir ce qu’il y a sur un disque, il sauront vous faire parler ou vous chopper au moment ou le disque est accessible en RW.



Le seul chose qui me dérange de mon côté, c’est l’absence de formalisme autour de tout ça.



Si le gouv Français me donnait un Truecrypt like en me disant que seuls eux peuvent y accéder via une demande officielle, ça me conviendrait très bien.

votre avatar







Jean_Peuplus a écrit :



Pas mal le ministère en forme de Donut.



j’ai plus l’impression de voir la forme d’un iris, histoire de garder un oeil sur le monde…


La NSA a transformé internet en « une vaste plateforme de surveillance »

  • L’un des secrets les mieux gardés

  • Investir et affaiblir les technologies de sécurité

  • Des armes à double tranchant 

  • Clés de chiffrement : le gigantesque trousseau de la NSA

  • Un pot de miel

  • Un monde de l'ombre 

  • Le renseignement américain a demandé aux journaux de ne pas publier les articles

  • La solution ? Rendre le déchiffrement des données plus onéreux 

Fermer