Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

La sanction du refus de remettre la convention de déchiffrement soumise au Conseil constitutionnel

Eric Ciotti en PLS

La sanction du refus de remettre la convention de déchiffrement soumise au Conseil constitutionnel

Le 15 janvier 2018 à 08h36

Une importante décision du Conseil constitutionnel est attendue dans trois mois. Elle concerne l’obligation pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie, de fournir cette information dans le cadre d’une procédure judiciaire. À défaut, son refus serait lourdement sanctionné.

L’article 434-15-2 du Code pénal est clair : celle ou celui qui a connaissance d’une convention de déchiffrement et qui refuse de la transmettre aux autorités judiciaires (ou refuse de la mettre en œuvre sur réquisition) risque aujourd’hui trois ans d’emprisonnement et 270 000 euros d’amende dans le cadre d’un crime ou d’un délit.

Mieux. Si ce refus est opposé alors que « la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission » de ces infractions, alors les peines sont portées à cinq ans d'emprisonnement et 450 000 euros d'amende.

Ce quantum des peines avait ainsi été multiplié par six à l’occasion du projet de loi sur la réforme pénale. Un texte qui vise ici tous les « organismes détenteurs ou fabricants de moyens de cryptologie » comme l’expliquait le 11 mai 2016, le député Pascal Popelin, rapporteur pour l’Assemblée nationale. 

Cette disposition présente cependant une fragilité juridique, estime un certain Malik X. Celui-ci a en effet soulevé une question prioritaire de constitutionnalité (QPC). Devant la Cour de cassation, étape préalable avant saisine du Conseil constitutionnel, il avance qu’elle ne permet pas au mis en cause de faire valoir de son droit au silence et du droit de ne pas s’auto-incriminer.

Droit de se taire, droit de ne pas s'auto-incriminer

Et pour cause, les alternatives ne sont pas bien denses : ou bien cette personne transmet la convention de déchiffrement, ou bien elle est condamnée lourdement.

Le 10 janvier, la chambre criminelle de la Cour de cassation a jugé que cette QPC présentait effectivement un caractère « sérieux », l’un des critères auscultés avant toute transmission : l’article « pourrait porter atteinte au droit de ne pas faire de déclaration et à celui de ne pas contribuer à sa propre incrimination qui résultent des articles 9 et 16 de la Déclaration des droits de l’homme et du citoyen du 26 août 1789 ».

Elle l’a donc transmise au Conseil constitutionnel, qui a désormais trois mois pour jauger la conformité de l’article 434-15-2 au bloc de constitutionnalité.

Après la CEDH, la Cour de cassation avait déjà consacré le droit de se taire et celui de ne pas s’incriminer soi-même dans un arrêt d’assemblée le 6 mars 2015. Dans sa décision du 30 juillet 2010, le Conseil constitutionnel avait fait de même avec le droit au silence

Commentaires (59)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Il y a déjà eu des cas où une personne (ou une société) devait remettre cette convention en France ?



Ce monsieur X peut-être ? Ou bien c’est un avocat qui défend son client dans cette situation ?

votre avatar

sinon tu as la technique qui consiste à chiffrer avec une clé aléatoire l’intégralité du disque au bout de X tentatives infructueuses, de façon à ce que plus personne ne puisse le lire. ^^

mais sans vouloir trop m’avancer, je pense qu’au moins une partie du texte français sera flinguée par le CC.

votre avatar

L’article de Rue89 aborde plusieurs cas. Seul le 3ème correspond à la QPC.



L’exemple de départ du serveur de communications chiffrées n’entre pas dans ce cadre.



Dans les 2 premiers cas, même si les questions sont intéressantes, il y a un certain biais du journaliste.




  • protection des données personnelles, mais qui en fait ne s’applique pas à la communication aux autorités.



  • obligation de dénonciation : ce n’est pas cela en fait. Si cela conduit à une dénonciation, c’est que la personne obligée de fournir la convention de chiffrement connaît les données en clair. Elle est dans ce cas complice ou coupable de violation du secret de correspondance. Mais la question de savoir si un parent proche doit être obligée ou non de fournir cette convention est intéressante.

votre avatar

à mon avis le Malik X est justement le lycéen lyonnais de l’article cité par Marc. ^^

Sinon ça doit arriver tous les jours, mais ça doit être la première fois que le suspect refuse de donner la clé et fait une QPC.

votre avatar

Il y a sûrement ce monsieur X et aussi le cas cité par Marc dans son premier commentaire.

votre avatar

À mon avis, non, parce qu’il ne serait pas dans le cas de l’auto-incrimination. Il s’agit dans son cas de incrimination de tiers.

votre avatar

En fait, tu as peut-être raison, je lis sur Numerama qui cite Le Monde qu’il a par ailleurs refusé de fournir aux enquêteurs les clés de cryptage de son ordinateur.



Les infos de l’article de Marc ne permettent pas de trancher.

votre avatar







Nytryk a écrit :







Je me trompe ?







Oui.<img data-src=" />


votre avatar

Il a raison, au moins en partie. Cela oblige aussi les entreprises.



En fait cela oblige “quiconque”, c’est-à- dire tout le monde.

votre avatar







fred42 a écrit :





  • obligation de dénonciation : ce n’est pas cela en fait. Si cela conduit à une dénonciation, c’est que la personne obligée de fournir la convention de chiffrement connaît les données en clair.





    Non, elle connaît le moyen d’accéder à ces informations, mais pas forcément les informations en elle-mêmes.







    fred42 a écrit :



    À mon avis, non, parce qu’il ne serait pas dans le cas de l’auto-incrimination. Il s’agit dans son cas de incrimination de tiers.





    Donc de la dénonciation <img data-src=" />.


votre avatar

Le déni plausible c’est bien en théorie mais c’est compliqué à mettre en œuvre, car les fichiers présents sur la partie visible doivent être régulièrement modifiés sans quoi leur ancienneté parait immédiatement suspecte, or modifier la partie visible met en péril le conteneur qui est caché dans la partie prétendument vide. C’est une technique intéressante pour transporter ponctuellement des données sur un périphérique usb ou à long terme sur un disque (prétendument) d’archives mais certainement pas pour du stockage local à usage courant.

votre avatar







fred42 a écrit :



Il a raison, au moins en partie. Cela oblige aussi les entreprises.



En fait cela oblige “quiconque”, c’est-à- dire tout le monde.







Non puisque ces entreprises, même si elles le veulent ne peuvent pas les donner ces “conventions de déchiffrement”.

Apple a clairement dit que leur outil est conçu de telle façon que même eux ne peuvent pas y avoir accès.


votre avatar

Une dénonciation c’est quand on connaît les faits. Donc, s’il ne connaît pas le contenu, ce n’est pas une dénonciation.

votre avatar

Tu te places dans un cas particulier de chiffrement de bout en bout avec clés inconnues du fournisseur de service. Il y a des cas où l’entreprise peut fournir les clés. Et dans ce cas, la loi Française les y oblige.



Le cas que tu cites est effectivement le plus protecteur de secret puisque seul l’utilisateur est en possession du moyen d’accéder aux clés.

votre avatar

Sur la partie : “pourrait porter atteinte au droit de ne pas faire de déclaration” , cela ne vaut techniquement que pour les personnes incriminées et non les témoins qui ont d’ailleurs une obligation de déclaration selon les cas (notamment en cas de connaissance de la preuve de l’innocence).



&nbsp;Sur la partie: “à celui de ne pas contribuer à sa propre incrimination”: dans son esprit, le texte semble viser surtout les personnes extérieures à l’infraction mais sa rédaction parait incomplète: il eut été utile de rajouter une précision du style “dans le respect des droits de la défense”.

&nbsp;

Toutefois, en l’absence de mention, le droit pénal s’interprétant strictement, il n’y a pas de possibilité d’interprétation extensive. Il semble alors difficile de réclamer à un suspect les clés de cryptage, celui-ci pouvant s’y opposer en invoquant le droits évoqués ci-dessus et le juge étant là pour faire respecter ces droits.



La garantie des droits me semble donc bien assurée. Du coup,&nbsp; je vois mal ce que pourrait censurer le CC.

votre avatar







fred42 a écrit :



Tu te places dans un cas particulier de chiffrement de bout en bout avec clés inconnues du fournisseur de service.







Ben, oui, c’est de ça qu’il est question dans ma réponse à Nytryk. :)


votre avatar







Ricard a écrit :



Non puisque ces entreprises, même si elles le veulent ne peuvent pas les donner ces “conventions de déchiffrement”.

Apple a clairement dit que leur outil est conçu de telle façon que même eux ne peuvent pas y avoir accès.





Parce que les politiciens comprennent comment ça marchent la technologie ?



D’autant qu’avec un peu de bonne (mauvaise ?)&nbsp; volonté, il doit y avoir des moyens pour les sociétés de s’arroger un passe-droit.&nbsp;


votre avatar







fred42 a écrit :



Une dénonciation c’est quand on connaît les faits. Donc, s’il ne connaît pas le contenu, ce n’est pas une dénonciation.





Non, pas forcément, même si c’est généralement le cas. Mais tu peux par exemple dénoncer quelqu’un juste sur un soupçon, donc sans connaître les fait (ça c’est d’ailleurs beaucoup fait pendant la guerre…).


votre avatar







anomail a écrit :



Le déni plausible c’est bien en théorie mais c’est compliqué à mettre en œuvre, car les fichiers présents sur la partie visible doivent être régulièrement modifiés sans quoi leur ancienneté parait immédiatement suspecte, or modifier la partie visible met en péril le conteneur qui est caché dans la partie prétendument vide.





La partie en italique me semble erronée, les 2 conteneurs sont indépendants (le public et le secret), sinon ça ne serait pas utilisable.


votre avatar

Le droit à ne pas s’auto-incriminer fait partie de la déclaration des droit de l’homme. Je ne vois pas comment (du moins j’espère) le conseil constitutionnel peut laisser passer ce point.

votre avatar

S’il n’y a que soupçon, ce n’est pas une dénonciation.


votre avatar







Ricard a écrit :



Non puisque ces entreprises, même si elles le veulent ne peuvent pas les donner ces “conventions de déchiffrement”. 



Apple a clairement dit que leur outil est conçu de telle façon que même eux ne peuvent pas y avoir accès.






C’est marrant cette affirmation : je ne vois pas comment on peut concevoir un système où il serait impossible d’avoir accès aux clés de chiffrement.

Celles-ci sont forcément stockées quelque part, serveurs ou téléphones? Dans les deux cas, si la police&nbsp; dispose de ces matériels, elle a forcément accès auxdites clés, peut-être elles-même chiffrées


votre avatar

Affaire a suivre … <img data-src=" />





De toute facon, il doit y avoir d’autre éléments pour les enquêteurs …

votre avatar

il ne faut aussi pas oublier que cette technique fonctionne correctement dans le cas d’une menace qui ne sait pas vraiment ce qu’elle cherche (d’où le “plausible”).

l’enquêteur qui fait des recherches ciblées dans le terminal d’un geek ayant chiffré son disque avec Veracrypt ne ferait pas son taf s’il ne prenait pas en compte la possibilité d’une telle technique.



Ainsi il me parait plus “honnête” de refuser directement de donner la clé de déchiffrement plutôt que de se compromettre à moitié en jouant un petit jeu comme celui-là avec un enquêteur. En effet le souci de la technique de déni plausible se retourne directement contre le suspect au moment où elle est découverte: le suspect a là quelque chose à cacher.



Autant le chiffrement cherche à protéger des données, autant le déni plausible cherche bien à cacher des données.

Je préfère donc arriver devant un juge avec un principe à défendre (le droit à la non auto-incrimination, le droit de se taire) qu’avec des choses à cacher…

votre avatar

Je comprends pas pourquoi faire un texte de loi !

&nbsp;Suffit que ledit criminel ait un processeur Intel© Meltdown®, et le tour est joué !

votre avatar







anomail a écrit :



Le déni plausible c’est bien en théorie mais c’est compliqué à mettre en œuvre, car les fichiers présents sur la partie visible doivent être régulièrement modifiés sans quoi leur ancienneté parait immédiatement suspecte, or modifier la partie visible met en péril le conteneur qui est caché dans la partie prétendument vide. C’est une technique intéressante pour transporter ponctuellement des données sur un périphérique usb ou à long terme sur un disque (prétendument) d’archives mais certainement pas pour du stockage local à usage courant.









OlivierJ a écrit :



La partie en italique me semble erronée, les 2 conteneurs sont indépendants (le public et le secret), sinon ça ne serait pas utilisable.







Alors en fait, ils sont séparés, mais pas trop <img data-src=" /> Sinon on verrait forcement la supercherie.

Par contre, dans le cadre de veracrypt, il est possible d’entrer les deux clés pour protéger le hidden volume quand on veut modifier le contenu du volume “leurre” sans risquer de péter quoique ce soit.



Si on ne protège pas, alors l’écriture dans le volume leurre pourrait écrire sur la partie hidden et corrompre complétement ce volume.


votre avatar







hellmut a écrit :



oui c’est d’ailleurs tout le but de cette fonctionnalité: le “Plausable Deniability”.





Plausable deniability qui n’est pas reproductible avec dm-crypt sous linux car les devs n’ont jamais voulu l’implementer aussi simplement que truecrypt.

Argument qui est tout le temps invoque (et qui par ailleurs commence a me casser les noix): “de toute facon ca ne vous protegera pas pour X et X raisons”.


votre avatar







CryoGen a écrit :



Alors en fait, ils sont séparés, mais pas trop <img data-src=" /> Sinon on verrait forcement la supercherie.

Par contre, dans le cadre de veracrypt, il est possible d’entrer les deux clés pour protéger le hidden volume quand on veut modifier le contenu du volume “leurre” sans risquer de péter quoique ce soit.

Si on ne protège pas, alors l’écriture dans le volume leurre pourrait écrire sur la partie hidden et corrompre complétement ce volume.





Oui merci, entretemps j’avais un doute je suis allé regardé le site de Veracrypt. Heureusement on peut protéger, sinon ça ne serait pas pratique si on risquait facilement d’écraser le contenu caché.


votre avatar

Ça fait très longtemps qu’on sait faire des systèmes de protection par un mot de passe stocké nulle part

(que dans la mémoire du propriétaire, et s’il l’oublie, il perd l’accès à ses données).



J’emploie l’italique pour mettre en lumière quelques points




  • On s’appuie sur un travail mathématique de bonne facture

    (et qui donne mal à la tête à la plupart des gens, dont moi, sans garantie de compréhension).

  • On ne se plante pas dans l’implémentation.



    C’est pourquoi c’est si peu employé.

votre avatar

J’ai vu un article je le sais plus où qui disait qu’il était mathématiquement impossible de déchiffrer du contenu uniquement pour un but précis. Donc ici le cas d’une backdoor. En gros c’est tout ou rien.

votre avatar

ben ça peut avoir une utilité.

typiquement à la douane dans un pays étranger si les mecs veulent faire un check rapide et que t’as pas envie de trop te frotter aux services locaux en cas de refus.

mais même dans ce cas il est juste conseillé de ne pas passer la douane avec du matos un peu trop “sophistiqué”.

votre avatar







js2082 a écrit :



C’est marrant cette affirmation : je ne vois pas comment on peut concevoir un système où il serait impossible d’avoir accès aux clés de chiffrement.

Celles-ci sont forcément stockées quelque part, serveurs ou téléphones? Dans les deux cas, si la police  dispose de ces matériels, elle a forcément accès auxdites clés, peut-être elles-même chiffrées







Tu connais GPG ? <img data-src=" />


votre avatar

On a un exemple de contexte où ça pourrait s’appliquer ?

votre avatar







Xire a écrit :



On a un exemple de contexte où ça pourrait s’appliquer ?





Tu as un exempleici.


votre avatar

Comme ça, je dirais que ça a plus vocation d’obliger les entreprises à communiquer en cas d’enquête. Style une communication via telle appli, la justice demande l’accès aux messages, l’entreprise doit donc fournir un moyen de déchiffrer le message.



Je me trompe ?

votre avatar

Ce que je me demande c’est comment prouver que la dite personne a la convention de chiffrement?

Comment distinguer une personne qui a oublié son mot de passe d’une personne qui ne veut pas le donner ? (hormis en cas d’aveux).

&nbsp;

votre avatar







MarcRees a écrit :



Tu as un exempleici.





Ah d’accord, merci !


votre avatar

Les entreprises de qui fournissent des services de chiffrement, ne connaissent pas la convention de déchiffrement. Si c’était le cas, ça voudrait dire qu’ils transmettent et stockent la clef de chaque utilisateur et leur service serait abandonné par tous à cause des vulnérabilités que ça induirait …

Une belle perte de temps que cette loi…

votre avatar

…articles 9 et 16 de la Déclaration des droits de l’homme et du citoyen du 26 août 1789 »….



elle existe encore “cette Cours des DH” ? <img data-src=" />

votre avatar

Dans le cas de VeraCrypt (anciennement Truecrypt), il suffit donc de configurer un hidden volume avec le vrai mot de passe et un volume classique protégé par une deuxième clé ‘leurre’ qui contient des photos du chat sur le canapé pour être pépère.

votre avatar

oui c’est d’ailleurs tout le but de cette fonctionnalité: le “Plausable Deniability”.

votre avatar

tout dépend du cas.

mais si ton PC perso est chiffré PGP et que t’es le seul nerd de la famille, on peut raisonnablement penser que c’est toi qui as le password. par exemple.

votre avatar

Il faut donc, pour chaque application qui contient une clé de chiffrement, en mettre une deuxième avec du texte/contenu bidon.

votre avatar

Euh, si, rien de plus facile : utilisé comme clé de chiffrement un mot de passe demandé à l’utilisateur, à sa charge de le retenir.



Dans le cas de l’iPhone, pour limiter les risques de brute-force du au fait que le mot de passe est un code PIN de 4 à 8 caractères, la clé de chiffrement est composé du code PIN et d’une valeur aléatoire générée à la (ré-)initialisation de l’iPhone, dont l’accès est théoriquement limité au hardware.

votre avatar







vizir67 a écrit :



…articles 9 et 16 de la Déclaration des droits de l’homme et du citoyen du 26 août 1789 »….



elle existe encore “cette Cours des DH” ? <img data-src=" />





C’est pas une cours, c’est un bloc constitutionnel. ça fait partie de notre constitution (tu sembles confondre avec la CEDH &gt; Cours Européenne des Droits de l’Homme, qui existe également encore puisque c’est l’instance au dessus de la Cassation chez nous - dans l’ordre des pourvois, l’étape suivante si tu t’estimes mal jugé - si je ne dis pas de connerie)


votre avatar







hellmut a écrit :



ben ça peut avoir une utilité.

typiquement à la douane dans un pays étranger si les mecs veulent faire un check rapide et que t’as pas envie de trop te frotter aux services locaux en cas de refus.

mais même dans ce cas il est juste conseillé de ne pas passer la douane avec du matos un peu trop “sophistiqué”.





Non mais je suis completement d’accord, j’en ai justement marre d’entendre des gens dire que “on ne va pas l’implementer car ca sert probablement a rien parce que ceci ou cela”, typiquement ce genre de reponse. Le debat est vif sur internet a ce propos, mais le plausible deniability a une vraie utilite ne serait-ce que pour le cas que tu viens de donner.



D’ailleurs y’a un gars qui a forke cryptsetup dans le ticket qui demandait le fonctionnalite mais sans avoir regarde de pres, j’ai peu d’espoir car ca se joue plutot a la couche dmcrypt.


votre avatar

merci ! <img data-src=" />

(confusion)

votre avatar

le mec répond surtout à la question: est-ce que ça vaut l’investissement en temps/énergie à développer, en regard du faible nombre de situations ou le déni plausible apporte un réel avantage?

et surtout il le dit au début: c’est un argument faible pour protéger les données.

effectivement. mais le but du déni plausible n’est pas de protéger les données mais de protéger le porteur du contenant (disque, terminal, etc…). la protection des données est opérée par le chiffrement.

On passe de l’INFOSEC à l’OPSEC, c’est pas le même sujet. autrement dit: si t’en es à utiliser la fonctionnalité de déni plausible, t’es déjà bien dans la merde et tu t’es foiré ailleurs. ^^

votre avatar







vizir67 a écrit :



merci ! <img data-src=" />

(confusion)





je te cite toi mais c’est une question générale : où en est-on des droit constitutionnels (liés à la Déclaration des Droits de l’Homme et du Citoyen) que Valls avait annoncé la suspension provisoire* pour cause d’état d’urgence ? (Droit d’aller et venir et droit à un procès équitable, notamment et de mémoire mais il y en a peut-être d’autres)



* avec tous les renvois en bas de pages possibles concernant le sens de ce terme


votre avatar







hellmut a écrit :



le mec répond surtout à la question: est-ce que ça vaut l’investissement en temps/énergie à développer, en regard du faible nombre de situations ou le déni plausible apporte un réel avantage?

et surtout il le dit au début: c’est un argument faible pour protéger les données.

effectivement. mais le but du déni plausible n’est pas de protéger les données mais de protéger le porteur du contenant (disque, terminal, etc…). la protection des données est opérée par le chiffrement.

On passe de l’INFOSEC à l’OPSEC, c’est pas le même sujet. autrement dit: si t’en es à utiliser la fonctionnalité de déni plausible, t’es déjà bien dans la merde et tu t’es foiré ailleurs. ^^





J’ai bien compris la nuance, toujours est-il que la demande est bien existante et que truecrypt n’etait pas populaire pour rien car a part le deni plausible, le logiciel n’apportait rien qui ne se faisait pas deja ailleurs. Et je ne croirais pas que truecrypt etait utilise que par des lolz en manque de sensations.



Et tu es effectivement deja bien dans la merde a ce stade, mais si tu peux amortir ta peine faute de preuves, je pense pas que tu cracherais dessus. Car, in fine, le deni plausible permet bien de se proteger d’une preuve inculpante sans avoir a recourir a un droit quelconque, surtout vu la gueule que prennent les democraties occidentales.


votre avatar

oui oui, on est bien d’accord là-dessus. ^^

votre avatar







Bio Teckna a écrit :



Dans le cas de VeraCrypt (anciennement Truecrypt), il suffit donc de configurer un hidden volume avec le vrai mot de passe et un volume classique protégé par une deuxième clé ‘leurre’ qui contient des photos du chat sur le canapé pour être pépère.





Etre pepere, je ne sais pas. Sous certaines conditions et pour peu que les experts en forensic soient doues, l’existence d’un volume cache par TrueCrypt peut etre demontre:

https://veracrypt.codeplex.com/discussions/657302

https://hal.inria.fr/hal-01056376/document

&nbsp;

&nbsp;Le mieux, c’est de refuser de donner tout mot de passe, meme celui du volume non cache. Point. Surtout si tu vies dans un pays ou il y a encore quelques restes d’etat de droit et ou on te reconnait le droit de garder le silence…

Le hidden volume prend tout son sens sous la torture par contre… Si tu sais qu’on va te couper un bras si tu ne donnes pas un mot de passe dans les 30 secondes…


votre avatar







js2082 a écrit :



C’est marrant cette affirmation : je ne vois pas comment on peut concevoir un système où il serait impossible d’avoir accès aux clés de chiffrement.

Celles-ci sont forcément stockées quelque part, serveurs ou téléphones?









levhieu a écrit :



Ça fait très longtemps qu’on sait faire des systèmes de protection par un mot de passe stocké nulle part

(que dans la mémoire du propriétaire, et s’il l’oublie, il perd l’accès à ses données).





Depuis le début, non ?

Si je chiffre un fichier avec un mot de passe que j’entre au clavier, il n’est stocké nulle part. Et si je ne m’en souviens pas au moment où je veux déchiffrer le fichier, je ne pourrai jamais récupérer le fichier.


votre avatar







kevinz a écrit :



Etre pepere, je ne sais pas. Sous certaines conditions et pour peu que les experts en forensic soient doues, l’existence d’un volume cache par TrueCrypt peut etre demontre:

https://veracrypt.codeplex.com/discussions/657302

https://hal.inria.fr/hal-01056376/document





Le 2e lien date de 2014, et le premier a l’air de dire que c’est corrigé avec la version 1.18a ou ultérieure (avec un patch pour remplacer des zéros à chiffrer par de l’aléatoire), sauf si j’ai mal lu (c’est assez long j’ai passé des parties en diagonales).


votre avatar

dans le cas d’une enquête, la première chose qu’ils font c’est une image blocs par blocs du disque. donc le chiffrage après X tentatives, ça ne fonctionne que si le matériel est fermé. (comme un smartphone par ex)

votre avatar

Haha.



Ils se basent sur les différences trouvées dans l’espace libre de plusieurs sauvegardes faites par windows shadow copy.



Donc pour les fous qui utiliseraient Truecrypt sous windows : désactivez la restauration système.



En tout cas merci pour celle-là.

votre avatar

Ils se basent sur les différences trouvées dans l’espace libre de différentes sauvegardes faites par windows shadow copy.



Donc pour les fous qui utiliseraient Truecrypt sous windows : désactivez la restauration système.



En tout cas merci pour celle-là.

votre avatar

ah je comprenais pas, il semble que tu ne cite pas le bon post.

mais oui effectivement, ça ne fonctionne bien que sur un téléphone, à moins que le disque dur contienne lui-même les instructions.

et encore, j’ai cru voir passer des histoires de démontage d’iPhones avec récupération des données chiffrées par réinitialisation du compteur pour faire du bruteforce.

votre avatar

Merci (en fait j’avais lu dans les liens donnés), cela dit pour moi la notion de sécurité est antinomique de Microsoft et Windows (l’actualité me le confirme régulièrement depuis la fin du 20e siècle <img data-src=" /> ), donc je ne risque pas d’utiliser cet OS pour un portable bien sécurisé (ou à l’extrême rigueur, en lisant à fond tous les conseils de sécurisation, dont l’aspect que tu mentionnes).

La sanction du refus de remettre la convention de déchiffrement soumise au Conseil constitutionnel

  • Droit de se taire, droit de ne pas s'auto-incriminer

Fermer