Le Sénat américain s'attaque au chiffrement de bout en bout

Le Sénat américain s’attaque au chiffrement de bout en bout

Le jour où la vie privée sera hors la loi...

Avatar de l'auteur
Jean-Marc Manach

Publié dans

Droit

13/03/2020
38

Le Sénat américain s'attaque au chiffrement de bout en bout

Alors que les autorités américaines parviennent de plus en plus à décrypter les terminaux saisis lors de leurs enquêtes, le Sénat américain vient d'enregistrer un projet de loi visant à « encourager l'industrie des technologies à prendre au sérieux l'exploitation sexuelle des enfants en ligne » qui rendrait illégal le chiffrement de bout en bout.

En 2018, le directeur du FBI avait déploré le fait de n'avoir pas pu accéder aux contenus de 7 775 smartphones, soit plus de la moitié de ceux qu'il avait tenté de craquer, parce qu'ils étaient chiffrés. Un chiffre largement gonflé d'après le Washington Post, à qui le FBI avait confirmé en avoir dénombré 880 en 2016, entre 1 200 et 2 000 en 2017.

En février dernier, USA Today avait de son côté révélé que le cyberlaboratoire dédié du bureau du procureur du district de Manhattan en avait reçu plus de 8 000 depuis 2014, que la proportion de smartphones qu'il était parvenu à « craquer » était passé de 24 % en 2014 à 64 % l'an passé, mais également que celle des iPhone était passée de 60 à 82%.

Sur les 1 035 terminaux chiffrés reçus en 2019, 405 (39 %) n'avaient pu être décryptés, contre 666 (63 %) des 1 047 reçus en 2018, signe des progrès faits en matière de cryptanalyse et de décryptement.

Vice vient de mettre en ligne une base de données de 516 iPhone saisis par différentes forces de police américaines en 2019, qui révèle que 295 (soit 57 %) d'entre eux ont été, soit déchiffrés par leurs propriétaires qui ont accepté d'entrer le code PIN, soit décryptés par les autorités, notamment grâce aux outils dédiés d'entreprises comme Grayshift ou Cellebrite.

Apple a, d'autre part, répondu à plus de 127 000 demandes émanant des autorités américaines au cours des 7 dernières années, un chiffre en augmentation de 100%, visant notamment à récupérer des données stockées dans son iCloud.

En 2015, Jim Baker, alors conseiller général du FBI, avait tenté de convaincre Apple d'installer une porte dérobée dans les iPhone de sorte de pouvoir accéder aux données contenu dans celui du terroriste de San Bernardino. Interrogé par Vice, il défend aujourd'hui le chiffrement : « cela aura un coût, mais le chiffrement permet de protéger les gens et ne saurait être compromis. C'est le monde dans lequel nous vivons aujourd'hui, et nous devons donc y faire face ».

Une nouvelle « crypto war »

Le comité (bipartisan) judiciaire du Sénat américain n'en vient pas moins de déposer une nouvelle proposition de loi qualifiée de « dangereuse attaque, cynique, directe et sophistiquée contre le chiffrement bout-en-bout » par Matthew Green, un réputé professeur de cryptographie américain.

Intitulé Eliminating Abusive and Rampant Neglect of Interactive Technologies Act (EARN IT Act, loi sur l'élimination des négligences abusives et incontrôlées des technologies interactives), cette initiative était attendue. Elle vise notamment à inciter les entreprises à « mériter » d'être protégées contre toute forme de responsabilité en matière de violations des lois relatives au matériel en ligne sur les abus sexuels sur enfants (CSAM, pour « child sexual abuse material »).

L'objectif n'est plus d'introduire une porte dérobée dans les smartphones ou les messageries sécurisées mais, au nom de la lutte contre la pédocriminalité, d'obliger les prestataires à scanner toutes les photos et vidéos échangées afin de comparer leurs empreintes numériques avec celles des contenus pédopornographiques répertoriés par les autorités.

Or, le chiffrement de bout en bout (End-to-end encryption ou E2EE en anglais) a précisément été conçu pour éviter toute forme de surveillance de masse, puisque les prestataires n'ont, par définition, pas accès aux données qui sont chiffrées dans les terminaux des utilisateurs, et non pas sur leurs serveurs.

Et personne n'est à ce jour parvenu à identifier comment concilier le fait de protéger la vie privée de ceux qui n'ont rien à se reprocher sans pour autant que des pédocriminels (entre autres) puissent également en profiter.

Le projet de loi – auquel s'opposent d'ores et déjà de nombreux défenseurs des droits humains et de la vie privée – revient, in fine, à obliger les entreprises commerciales à ne plus autoriser leurs utilisateurs et clients à recourir au chiffrement de bout en bout. Ce qui n'empêchera par ailleurs aucunement les pédocriminels (notamment) d'utiliser des messageries sécurisées ne relevant pas de cet EARN IT Act.

Comme l'avait expliqué Phil Zimmermann, qui avait développé Pretty Good Privacy (PGP), le premier des logiciels grands publics de cryptographie, « Si la vie privée est hors la loi, seuls les hors la loi auront une vie privée ». Reste que ce projet ne pourra se traduire que par une nouvelle « crypto war », du nom donné à ces tentatives gouvernementales d'empêcher le grand public de pouvoir recourir lui aussi à la cryptographie et qui toutes, jusque-là, ont été perdues par les autorités.

38

Écrit par Jean-Marc Manach

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une nouvelle « crypto war »

Commentaires (38)


fladnaG Abonné
Le 13/03/2020 à 07h 31

Décryptement ? ->https://chiffrer.info

Il faudrait dire décryptage…



N’empêche que ça fout les boules cet article. Encore une fois les libertés individuelles vont en pâtir pour quelques cas isolés.

On verra encore quelques « j’ai rien à cacher » qui vont alimenter le projet de loi, au détriment d’une vie privée à laquelle chacun a le droit… c’est déplorable.


fate1 Abonné
Le 13/03/2020 à 07h 43

Y a un très faible pourcentage d’internaute qui s’échange des photo et vidéo pédopornographique, donc on va surveiller les échanges de photo et vidéo de tous les internautes pour empêcher ça <img data-src=" />.

J’ai une autre idée de loi. Y a un très faible pourcentage de parents qui violent leurs enfant, on devrait donc mettre en place une vidéosurveillance 247 dans les maisons de tous les parents pour empêcher ça…



C’est quand même fout comme leurs excuses pour faire péter le chiffrement ne change jamais, quelque soit le pays, c’est toujours la pédopornographie. Ils ont essayé un temps le terrorisme mais se sont finalement rendu compte que ça n’émouvait pas autant les gens que la pédopornographie.


manhack Abonné
Le 13/03/2020 à 08h 31

En l’espèce, je reprends la terminologie utilisée par la DGSE pour son&nbsp;«&nbsp;programme du pôle national de cryptanalyse et de décryptement » dont j’avais parlé en 2005.


Le 13/03/2020 à 08h 38







fladnaG a écrit :



Décryptement ? -&gt;https://chiffrer.info

Il faudrait dire décryptage…



N’empêche que ça fout les boules cet article. Encore une fois les libertés individuelles vont en pâtir pour quelques cas isolés.

On verra encore quelques « j’ai rien à cacher » qui vont alimenter le projet de loi, au détriment d’une vie privée à laquelle chacun a le droit… c’est déplorable.





Même sans ça, j’avais eu le droit à cette verve y’a quelque années dans un contexte pro sur l’usage de données personnelles. Le collègue comprenant pas la missive de la CNIL quelques années auparavant.



Ceux qui feront du chiffrement ce sera comme y’a 20 ou 30 ans, une minaurité de connaisseurs, et les autres personnes qui sont censées être retrouvées avec la suppression du chiffrement pour tous.

Je propose également qu’on supprime le HTTPS <img data-src=" />



Le 13/03/2020 à 08h 51

je crains que ça vienne chez nous aussi après <img data-src=" />



“regardez les USA l’ont fait, on doit faire pareil ! ” oui ma bonne dame !



<img data-src=" />


Mihashi Abonné
Le 13/03/2020 à 08h 53

C’est sûr que les pédoterroristes n’utiliseront plus de chiffrement de bout-en-bout s’il est interdit <img data-src=" />


hellmut Abonné
Le 13/03/2020 à 09h 02

justement. le but c’est bien de faire de la surveillance massive.

s’il n’y a plus que les pédoterroristes qui chiffrent, ils seront plus visibles et plus faciles à cibler.

et pour les autres tout sera en clair.



dès lors, tous les arguments qui expliquent doctement que tout ça ne sert à rien parce que les méchants vont chiffrer et qu’il existe telle ou telle application exotique qui ne respecte pas cette loi sont à coté de la plaque.



le but est bien de revenir à l’état des choses pré-snowden où tout ou presque passait en clair sur les tuyaux, sauf chez les pédoterroristes.



et comme par hasard, on utilise une énième fois la protection des mineurs pour faire passer un texte liberticide.


Geai Abonné
Le 13/03/2020 à 10h 13

Théoriquement ça toucherait que les logiciels américains, non ?

Donc tout ce qui est Protonmail, voir Signal qui est open source n’aurait pas de problème a se faire non ?


hellmut Abonné
Le 13/03/2020 à 10h 17

signal est basé aux US.

et le sujet est suivi très attentivement par les autres pays qui rêvent de surveiller massivement leur population.

pour la protéger des pédophiles et des terroristes, bien sûr. <img data-src=" />


Le 13/03/2020 à 10h 57







the_Grim_Reaper a écrit :



Je propose également qu’on supprime le HTTPS <img data-src=" />





Si tu fais ça, ça implique qu’il est impossible de savoir si oui ou non les paquets ont été modifiés en cours de transport (parce que tu perds aussi l’authentification).



Un point intéressant serait que dans ce cas les opérateurs pourraient être mis en cause lorsque leurs abonnés échangent des photos de chats.



Piéger quelqu’un deviendrait également trivial (par exemple en modifiant les flux HTTP pour que le navigateur télécharge des images pédo et les affiche dans une surface de 1x1 pixel. Ensuite, tu raid le mec et son cache est plein de telles photos).

Notons que ceci est également possible avec des portes dérobés, si elles sont conçues pour - la seule différence étant de savoir QUI aurait cette possibilité.



&nbsp;

&nbsp;



Arkeen Abonné
Le 13/03/2020 à 11h 43

Ah tiens, je pensais qu’ils invoqueraient le terrorisme plutôt que la pédophilie … je suis un tantinet surpris.


Geai Abonné
Le 13/03/2020 à 13h 57

Donc y’aura plus aucune solution grand public pour avoir du chiffrement de bout en bout ? ( Signal est open source, donc je vois mal comment ils pourraient cacher la porte dérobée, mais bon… )


Mihashi Abonné
Le 13/03/2020 à 13h 59

Ils alternent pour changer un peu…


hellmut Abonné
Le 13/03/2020 à 14h 03

signal ils mettent ce qu’ils veulent sur leur serveur.

la définition d’une solution grand public en matière de messageries, c’est une solution massivement utilisée.

or aujourd’hui si tu viens dire à mme michu, qui a fini par abandonner les SMS pour passer à Whatsapp, que whatsapp c’est pas bien parce que ce n’est plus chiffré de bout en bout, que crois-tu que sera sa réaction?

simple: “ok mais j’utilise quoi? signal? c’est un serveur unique, potentiellement compromis, et y’a 2% de mes contacts whatsapp qui sont sur signal. Session? y’a 0.001% de mes contacts qui l’utilisent. je reste donc sur Whatsapp, de toute manière j’ai pas grand chose à cacher”.


Le 13/03/2020 à 15h 26

C’est pas un problème, seuls les coupables seront pris ! De toute façon, les pirates n’existent pas, seuls les terroristes et les pédo existent !

Puis l’opérateur aura précieusement gardé pendant 10 ans tes logs de connexion et la justice pourra s’appuyer dessus pour te juger <img data-src=" />



Il faut faire tomber toute forme de chiffrement ! C’est le mal ! 👿

Vais mettre à jour mon conteneur chiffré sur disque chiffré moi en attendant…


Le 13/03/2020 à 15h 27







hellmut a écrit :



signal ils mettent ce qu’ils veulent sur leur serveur.

la définition d’une solution grand public en matière de messageries, c’est une solution massivement utilisée.

or aujourd’hui si tu viens dire à mme michu, qui a fini par abandonner les SMS pour passer à Whatsapp, que whatsapp c’est pas bien parce que ce n’est plus chiffré de bout en bout, que crois-tu que sera sa réaction?

simple: “ok mais j’utilise quoi? signal? c’est un serveur unique, potentiellement compromis, et y’a 2% de mes contacts whatsapp qui sont sur signal. Session? y’a 0.001% de mes contacts qui l’utilisent. je reste donc sur Whatsapp, de toute manière j’ai pas grand chose à cacher”.





C’est un point crucial que tu lèves ici.



La seule solution serait d’avoir un système de fédération avec une multitude de serveurs & de clients opensource, reliés entre eux (par activityPub ou autre).



Aujourd’hui Mastodon marche comme ça, qui se veux une alternative à twitter.



Coté IM j’avais essayé Riot mais l’appli sur Android est _largement_ trop complexe pour le grand public (toujours ce compromis entre sécurité et simplicité). Et puis le dev reste piloté par une seule boite, c’est pas un RFC avec plein d’implémentations.



Et puis comment tu créés une licorne avec un truc que tout le monde peux installer sur une VM ?



Après, si l’appli est open-source et qu’on peux montrer que les messages sont chiffrés & authentifié de bout en bout, un serveur central ne peux en faire grand chose, hormis bloquer la transmission - comme un serveur STUN j’ai envie de dire. Presque ton FAI a les mêmes possibilités.



Par contre dans l’écosystème Android & Apple , l’utilisateur doit faire confiance à ces 2 sociétés - américaines - quant au binaire qu’il reçois du store. Et là….



(Et sur ces téléphones rien n’empêche l’OS lui même de leaker les touches appuyés et les messages affichés)



&nbsp;

&nbsp;



Le 13/03/2020 à 15h 30

Alors, ça c’est la théorie… ensuite y’a les loi extra territoriales US qui font qu’ils sont partout chez eux ou presque.



Donc, n’importe quel soft sera considéré comme développé aux US.

Après tout, le dev serait fait pour des plateformes US (Windows, MacOS, Android, ..) ou tournera sur du matos US (Intel, AMD, nVidia).



De fait, le moindre lien avec les US il pourront s’en servir pour te dire que le chiffrement c’est pas bien, tu respecte pas leur loi (même si en théorie, t’es hors périmètre).



Puis ensuite, les 5(6) Eyes ils sont du même avis, la France, c’est quand même le (6) de l’histoire depuis quelques années, et c’est avéré.


Le 13/03/2020 à 15h 32

Pression policière, entre autre… je ne sais plu quel projet a été laché par ses principaux dev pour cette raison, ils ne voulaient pas mettre en place de porte dérobée dans leur soft, et tellement ils ont eu la pression, une bonne partie de l’équipe a jeté l’éponge :/








hellmut a écrit :



justement. le but c’est bien de faire de la surveillance massive.

s’il n’y a plus que les pédoterroristes qui chiffrent, ils seront plus visibles et plus faciles à cibler.

et pour les autres tout sera en clair.



dès lors, tous les arguments qui expliquent doctement que tout ça ne sert à rien parce que les méchants vont chiffrer et qu’il existe telle ou telle application exotique qui ne respecte pas cette loi sont à coté de la plaque.





Malheureusement c’est une vision trop simpliste du monde, car il y aura toujours un pays qui résistera en utilisant des techno us, donc quand il auront 4 millions de signalement chiffré a décrypter, on verra la gueule du FBI, psk ce sera plus 4000 téléphones ou il peuvent l’infiltré via icloud, mais 4 millions de connexion chiffré de manière hardcore.



Psk bon il y aura toujours des chieurs dans mon genre qui vont utilisé des chiffrement hyper hardcore pour protégé des photo de chaton mignon juste pour les faire chier car … c’est légal dans mon pays.



hellmut Abonné
Le 13/03/2020 à 16h 12

oui sauf que toi et tes potes nerds vous serez portion congrue parmi les Michu qui utilisent du grand public à la whatsapp ou messenger.

les solutions techniques existent, mais c’est pas la question. la question c’est leur utilisation massive.

or le chiffrement a été poussé par les appli grand public, pas l’inverse.

whatsapp, telegram, messenger ne sont pas utilisées massivement car elles implémentent un chiffrement e2e (dans ces exemples seul whatsapp fait vraiment du e2e systématique). les gens utilisaient déjà ces solutions avant qu’elles chiffrent. demain si elles ne chiffrent plus, les gens ne changeront pas de crèmerie.



et se limiter aux lois US c’est oublier que tout un tas de gouvernement de pays occidentaux, dont pas les moindres (UK, France, Allemagne) considèrent que le chiffrement e2e est un problème à régler.



je le répète à chaque fois sur ce sujet: le souci des gouv c’est l’utilisation massive (donc par le grand public) du chiffrement de bout en bout. et cette utilisation est à 99% involontaire, voire totalement ignorée.



le mot clé c’est massif.

une fois que ce “problème” est réglé, il reste le 1% qui chiffre. bien plus facile (et donc moins cher) à surveiller/suivre/cibler/compromettre.



et pour faire passer la pilule pas de souci: on va dire aux gens (enfin ceux qui liront les CGU et les news à ce sujet) qu’on va virer le chiffrement et surveiller les échanges de médias photo/vidéo pour détecter le pédoporn. réaction de Mme Michu: “aucun souci, je suis pas concernée”.


hellmut Abonné
Le 13/03/2020 à 16h 17

le serveur signal ne voit effectivement pas le contenu, mais a accès à plus ou moins de métadonnées.



la dernière sortie à la mode c’est Session, qui est un fork de Signal en mode mutualisé avec de la blockchain dedans. j’ai pas lu le whitepaper, et faut avouer que jsuis pas sûr de tout capter. ^^

mais sur le papier ça a l’air vachement bien. sauf que c’est encore un truc exotique de barbu. <img data-src=" />


De Compet Abonné
Le 13/03/2020 à 17h 43







the_Grim_Reaper a écrit :



Pression policière, entre autre… je ne sais plu quel projet a été laché par ses principaux dev pour cette raison, ils ne voulaient pas mettre en place de porte dérobée dans leur soft, et tellement ils ont eu la pression, une bonne partie de l’équipe a jeté l’éponge :/





Lavabitqui à préféré fermer que donner accès au FBI

&nbsp;



HipsR Abonné
Le 13/03/2020 à 17h 59

En fait la Mme&nbsp; Michu va simplement dire : “Allez vous faire cuire un œuf avec tous vos trucs qui en fait me cassent les pieds, je retourne à la lettre manuscrite et au téléphone”.



Et ça tombe bien ce serait bon pour la planète.

Parfait pour entamer une bonne vieille décroissance, ou en tous cas de cesser de créer du besoin et de complexifier un quotidien de manière artificielle et crétine.


Le 13/03/2020 à 19h 09

TrueCrypt de mémoire.


Le 14/03/2020 à 09h 25

Le lead de TrueCrypt a eu des gros ennuis avec la justice de mémoire, à base de trafic d’or je crois.



Puis il a “disparu” de la circulation, on suppose qu’il s’est fait attraper par les autorités et a passé un accord avec elles, ce qui rend TrueCrypt non sûr car contenant potentiellement une backdoor issue de cet accord. De toute façon le programme avait des grosses lacunes de sécurité.



Depuis le développement a été repris avec VeraCrypt.








hellmut a écrit :



oui sauf que toi et tes potes nerds vous serez portion congrue parmi les Michu qui utilisent du grand public à la whatsapp ou messenger.

les solutions techniques existent, mais c’est pas la question. la question c’est leur utilisation massive.

or le chiffrement a été poussé par les appli grand public, pas l’inverse.

whatsapp, telegram, messenger ne sont pas utilisées massivement car elles implémentent un chiffrement e2e (dans ces exemples seul whatsapp fait vraiment du e2e systématique). les gens utilisaient déjà ces solutions avant qu’elles chiffrent. demain si elles ne chiffrent plus, les gens ne changeront pas de crèmerie.



et se limiter aux lois US c’est oublier que tout un tas de gouvernement de pays occidentaux, dont pas les moindres (UK, France, Allemagne) considèrent que le chiffrement e2e est un problème à régler.



je le répète à chaque fois sur ce sujet: le souci des gouv c’est l’utilisation massive (donc par le grand public) du chiffrement de bout en bout. et cette utilisation est à 99% involontaire, voire totalement ignorée.



le mot clé c’est massif.

une fois que ce “problème” est réglé, il reste le 1% qui chiffre. bien plus facile (et donc moins cher) à surveiller/suivre/cibler/compromettre.



et pour faire passer la pilule pas de souci: on va dire aux gens (enfin ceux qui liront les CGU et les news à ce sujet) qu’on va virer le chiffrement et surveiller les échanges de médias photo/vidéo pour détecter le pédoporn. réaction de Mme Michu: “aucun souci, je suis pas concernée”.





Les politiques sortes toujours les meme exemple a la “con” car il ont 0 arguments valable, car justement au lieu de réagir comme des ignorants (je parle des politiques), en faisait chier leur monde et en imposant des techno de plus en plus débile, il font pire que mieux.



Au lieu d’interdire le E2E il n’ont qu’a passé une loi du type “les appli E2E doivent trouvé les pedo”, au final ca donnerais un chiffrement très fort, tout protégeant les enfants.



Mais non ces crétin de dirigeant veulent faire genre on sait tous mieux que tous le monde et au lieu de laissé les professionnel de la sécurité (juste en leur forçant la main avec un loi) trouvé une solution viable, ils préfèrent interdire un truc, puis ils iront ce plaindre au meme gens quand leur donnée seront piraté.



A ce demandé si les politiques on réellement suivi des cours ou s’il ont juste jouer au cartes durant les cours.



Mihashi Abonné
Le 14/03/2020 à 23h 08







Macarie a écrit :



Au lieu d’interdire le E2E il n’ont qu’a passé une loi du type “les appli E2E doivent trouvé les pedo”, au final ca donnerais un chiffrement très fort, tout protégeant les enfants.





Le principe du E2E c’est justement que les applications peuvent pas savoir ce qui transite…









Mihashi a écrit :



Le principe du E2E c’est justement que les applications peuvent pas savoir ce qui transite…





Sauf si le scan se fait sur le client lui meme quand l’info a été ouverte…



Edit: cela permet de maintenir la confidentialité car seul les positifs serait envoyé sur le serveur et donc tes données serait sauf



Quiproquo Abonné
Le 15/03/2020 à 06h 36

Avec ton système :



* Il faut prouver à chaque lancement que le client n’a pas été modifié et qu’on peut donc lui faire confiance.

* Il faut stocker la base d’empreintes localement, ce qui limite sa taille

* Il faut faire tourner le logiciel de détection avec les ressources du terminal, ce qui va plomber les perfs.





La vraie question, c’est sur la pertinence d’empêcher coûte que coûte les échanges d’images, sachant que ce qui pose vraiment problème c’est le passage à l’acte, qui le plus souvent n’a pas besoin d’internet.


Le 15/03/2020 à 07h 40

<img data-src=" />


Le 15/03/2020 à 09h 44

Certains ont joué aux cartes pendant les cours d’orthographe

Ou alors ils le font exprès





gavroche69 Abonné
Le 15/03/2020 à 09h 51

T’a rien comprit. L’ortografe cé hasbin, jenre cé un truc de vieu… <img data-src=" /><img data-src=" />








Quiproquo a écrit :



Avec ton système :



* Il faut prouver à chaque lancement que le client n’a pas été modifié et qu’on peut donc lui faire confiance.

* Il faut stocker la base d’empreintes localement, ce qui limite sa taille

* Il faut faire tourner le logiciel de détection avec les ressources du terminal, ce qui va plomber les perfs.





La vraie question, c’est sur la pertinence d’empêcher coûte que coûte les échanges d’images, sachant que ce qui pose vraiment problème c’est le passage à l’acte, qui le plus souvent n’a pas besoin d’internet.





Le scan de photo de ce style se fait via hash, ce n’est pas aussi énorme que tu le pense car cela est juste du texte, et une update comme un antivirus est simple a faire.



Le scan de client se fait déjà suffi de voir what’s app qui chasse les clients tier pour les bloqué.

Le scan de détection peut se faire en meme temps que le scan de mauvais fichier que la plupart des smartphone possède.



Je préfère perdre 0.01s a l’affichage d’une photo que de savoir qu’on lis mes message et info coté serveur sans aucun contrôle sur ce qu’ils font de mes données.



Le 15/03/2020 à 20h 53







Geai a écrit :



Donc y’aura plus aucune solution grand public pour avoir du chiffrement de bout en bout ? ( Signal est open source, donc je vois mal comment ils pourraient cacher la porte dérobée, mais bon… )







Synapse, Matrix, Riot, Mattermost, Rocketchat (si ça existe encore)

Le self hosting, ya que ça de vrai !



À noter que les gouvernements cryptent eux aussi. Et qu’ils utilisent parfois ces solutions eux aussi.



Le 16/03/2020 à 08h 39







hellmut a écrit :



le serveur signal ne voit effectivement pas le contenu, mais a accès à plus ou moins de métadonnées.



&nbsp;

La seule chose que je vois par rapport aux FAI (ou opérateurs) c’est que le serveur a accès à la liste des contacts qui échangent entre eux.

Pour les messages, l’horodatage est faisable par fingerprinting chez les opérateurs directement.



Mais c’est déjà fortement problématique.



&nbsp;





hellmut a écrit :



la dernière sortie à la mode c’est Session, qui est un fork de Signal en mode mutualisé avec de la blockchain dedans. j’ai pas lu le whitepaper, et faut avouer que jsuis pas sûr de tout capter. ^^

mais sur le papier ça a l’air vachement bien. sauf que c’est encore un truc exotique de barbu. <img data-src=" />





Connais pas . Mais comme tu l’a déjà dit on s’en fout d’avoir 50 messagerie sécurisé si la plupart des gens utilisent whatsapp et facetime.



&nbsp;





Macarie a écrit :



Au lieu d’interdire le E2E il n’ont qu’a passé une loi du type “les appli E2E doivent trouvé les pedo”, au final ca donnerais un chiffrement très fort, tout protégeant les enfants.



&nbsp;

Ca suppose que les “appli E2E” disposent d’une société éditrice, serveur closed-source et centralisés, et que les clients sont closed-source aussi pour pas être modifiés.



Aujourd’hui, RIEN ne dit que l’appli whatsapp ne stocke pas tous les messages & les métadonnés dans le datacenter de la NSA. Et même si l’appli le fait pas, l’OS est fourni par google & apple (ou par les intégrateurs) donc c’est faisable niveau OS.



Même une appli 100% décentralisé & opensource (et scrutée) aura ce souci-là.



Après tout est affaire de compromis.



Perso si je voulais vraiment avoir un truc confidentiel, le strict minimum serait un téléphone sous Replicant (ou carrément un autre OS mobile ,https://itsfoss.com/open-source-alternatives-android/ ) et un téléphone avec un process de développement un peu plus ouvert genrehttps://www.pine64.org/pinephone/ (mais c’est pas le seul , et il n’est pas sans inconvénients)

Et dessus un choix d’appli restreint & validé.



Et un autre téléphone “normal” a coté, pour ne pas éveiller les soupçons :-)



&nbsp;Il y a quelques années, je pensais que les seuls personnes à avoir besoin de ce genre de chose c’était les dealers, les terroristes, les évadés fiscaux.

Mais aujourd’hui, avec des gouvernements violents qui considèrent la contestation comme illégitime et qui n’hésitent pas à utiliser les outils légaux lié au terrorisme contre des mouvements sociaux - notamment le noyautage des organisations, je me dit que les gens qui s’organisent par facebook , whatsapp ou instagram sont fous.



C’est (à mon avis) pourquoi il faut expliquer, diffuser, apprendre aux gens d’autres techniques.

DoH , malgré ses problème initiaux d’implémentation chez firefox, va dans ce sens.









OB a écrit :



&nbsp;

Ca suppose que les “appli E2E” disposent d’une société éditrice, serveur closed-source et centralisés, et que les clients sont closed-source aussi pour pas être modifiés.



Aujourd’hui, RIEN ne dit que l’appli whatsapp ne stocke pas tous les messages & les métadonnés dans le datacenter de la NSA. Et même si l’appli le fait pas, l’OS est fourni par google & apple (ou par les intégrateurs) donc c’est faisable niveau OS.



Même une appli 100% décentralisé & opensource (et scrutée) aura ce souci-là.



Après tout est affaire de compromis.



Perso si je voulais vraiment avoir un truc confidentiel, le strict minimum serait un téléphone sous Replicant (ou carrément un autre OS mobile ,https://itsfoss.com/open-source-alternatives-android/ ) et un téléphone avec un process de développement un peu plus ouvert genrehttps://www.pine64.org/pinephone/ (mais c’est pas le seul , et il n’est pas sans inconvénients)

Et dessus un choix d’appli restreint & validé.



Et un autre téléphone “normal” a coté, pour ne pas éveiller les soupçons :-)



&nbsp;Il y a quelques années, je pensais que les seuls personnes à avoir besoin de ce genre de chose c’était les dealers, les terroristes, les évadés fiscaux.

Mais aujourd’hui, avec des gouvernements violents qui considèrent la contestation comme illégitime et qui n’hésitent pas à utiliser les outils légaux lié au terrorisme contre des mouvements sociaux - notamment le noyautage des organisations, je me dit que les gens qui s’organisent par facebook , whatsapp ou instagram sont fous.



C’est (à mon avis) pourquoi il faut expliquer, diffuser, apprendre aux gens d’autres techniques.

DoH , malgré ses problème initiaux d’implémentation chez firefox, va dans ce sens.





Je comprend le points de vue, mais a choisir entre rendre illégal le E2E, et ajouté un scan coté des app client opensource mon choix se porte sur le scan et non sur le blocage de l’E2E.



Et comme je disait what’s app sais détecté les app qui ne sont pas a elle, je suppose qu’il doit existé un moyen, et la majorité des pédo ne sont pas des pro en informatique.



Le dit scan est déjà disponible sur les domaines utilisé avec cloudflare en un clic, donc rien n’empêche le E2E de faire pareil.



Aussi quand tu dit “100% décentralisée & open source (et scrutée)” je suis désolé de te le dire mais … c’est très rare que les appli open source soit scrutée, la majorité ne sont jamais lue par personne, seul les plus gros projets sont fortement audité.



Et le décentralisé, peut aider au tracking, suffi de voir le nombre d’instance mastodon “BOT” qui ne font que d’écouté et absorbé un max de data.



Sans oublier t’a beau te blindé a mort, si ton contact lui ne l’est pas tu aura perdu ton temps (et ton argent) pour rien.



manhack Abonné
Le 16/03/2020 à 16h 37

btw, la DGSE continue d’utiliser le terme “décryptement”, cf cette offre d’emploi&nbsp;de crypto-mathématiciens&nbsp;:&nbsp;

“Le poste consiste, au sein d’une équipe R&D, à concevoir et à développer des cryptanalyses pour permettre le décryptement de productions chiffrées d’intérêt pour la DGSE.”


Le 16/03/2020 à 20h 35







Macarie a écrit :



Je comprend le points de vue, mais a choisir entre rendre illégal le E2E, et ajouté un scan coté des app client opensource mon choix se porte sur le scan et non sur le blocage de l’E2E.



&nbsp;

Entre la peste et le choléra….

M’enfin , pour moi, les faits sont têtus : Aujourd’hui, techniquement, on sait (et on a fait) des applis E2E open-source. Les interdire ou leur imposer tel ou tel comportement pourrait avoir un certain effet sur leur diffusion (par exemple , car on ne la trouverais pas dans les store) , mais ça n’empêcherais en rien leur existence ou leur modification.



Et GIT, par exemple, permet à tout-un-chacun d’avoir , si il le souhaite, une copie des sources avec l’historique des modifs qu’il peux à son tour proposer en partage synchroniser.



Donc, oui, ok…. interdire c’est toujours possible, et entraver quelque peu la diffusion.



&nbsp;





Macarie a écrit :



Et comme je disait what’s app sais détecté les app qui ne sont pas a elle, je suppose qu’il doit existé un moyen, et la majorité des pédo ne sont pas des pro en informatique.





Il sait le faire dans une certaine mesure…. et un changement régulier du protocole.

(Notamment en rendant obsolète les anciennes versions de l’app). Mais ça nécessite de fait une centralisation, à minima du point de contact initial.



Certains pédo ne sont pas des pro. D’autres ont appris. J’avais lu un article il n’y a pas longtemps sur des services de “pédo en streaming” hébergé en asie dont l’accès se fait via du VNC / teamviewer / RDP , utilisés via des distrib tails en read-only et sur des accès publics ….

Oui, ceux dont t’entends parler ce sont les plus incompétents. Comme les évadés fiscaux ou les terroristes .&nbsp;



&nbsp;



Macarie a écrit :



Aussi quand tu dit “100% décentralisée & open source (et scrutée)” je suis désolé de te le dire mais … c’est très rare que les appli open source soit scrutée, la majorité ne sont jamais lue par personne, seul les plus gros projets sont fortement audité.





C’est vrai. Mais au moins c’est faisable.



&nbsp;





Macarie a écrit :



Sans oublier t’a beau te blindé a mort, si ton contact lui ne l’est pas tu aura perdu ton temps (et ton argent) pour rien.





100% d’accord.



&nbsp;





Macarie a écrit :



Et le décentralisé, peut aider au tracking, suffi de voir le nombre d’instance mastodon “BOT” qui ne font que d’écouté et absorbé un max de data.





Alors pour moi c’est pas la même chose: Mast est similaire à twitter et aux blog : Par définition ce que tu y écris est public, ce n’est pas du E2E mais du E2Many. Là, le but de la décentralisation est plutôt la résistance à la censure, qui est un autre problème. Et Mast n’est pas spécifiquement conçu pour anonymiser la source - c’est un choix assumé.

&nbsp;