ben57338
est avec nous depuis le 5 octobre 2016 ❤️
Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?
24 commentaires
Le gouvernement songe à interdire les machines à voter et à réformer le vote électronique
Le 29/09/2017Le 01/10/2017 à 13h 11
Les députés adoptent l’obligation de déclarer tous ses identifiants électroniques
Le 27/09/2017Le 30/09/2017 à 13h 15
CCleaner : un malware plus complexe que prévu, des grandes entreprises visées
Le 22/09/2017Le 23/09/2017 à 09h 51
De toute façon il est clair que ça ne sert vraiment à rien comme produit.
Et puis au delà de ça, tant que les équipes n’ont pas déterminés comment les binaires ont pu être compromis il faut se dire que ça peut arrivé à nouveau à tout moment dans une future version. A desinstaller donc disons définitivement :)
#MacronLeaks, ou l’éloge d’une meilleure sécurité et du chiffrement des échanges
Le 06/05/2017Le 06/05/2017 à 10h 57
Les outils de surveillance de Marine Le Pen ou d’Emmanuel Macron, élu(e) président(e)
Le 02/05/2017Le 03/05/2017 à 07h 17
RED by SFR : un forfait 100 Go à 20 euros par mois en série limitée dès demain
Le 15/03/2017Le 16/03/2017 à 06h 28
Retour sur la suppression du vote électronique pour les élections législatives 2017
Le 11/03/2017Le 12/03/2017 à 15h 30
Le 11/03/2017 à 18h 45
Le 11/03/2017 à 18h 25
Le 11/03/2017 à 18h 01
Apache corrige une faille déjà exploitée dans Struts 2
Le 09/03/2017Le 11/03/2017 à 18h 03
N26 corrige plusieurs failles, la sécurité des « néo-banques » en question
Le 29/12/2016Le 29/12/2016 à 10h 56
Double authentification sur Twitter : un générateur de code en alternative au SMS
Le 15/12/2016Le 15/12/2016 à 08h 53
Il me semblait que les SMS ne devait plus être utilisé pour l’envoi d’OTP non ?
Des députés veulent que les Français reçoivent un SMS lors de chaque « Alerte enlèvement »
Le 25/11/2016Le 25/11/2016 à 09h 47
Oh un nouveau vecteur de phishing ^^
Wi-Fi baptisé « Daesh 21 » : il y a aura appel de la condamnation pour apologie du terrorisme
Le 07/11/2016Le 07/11/2016 à 13h 12
Blocage par erreur chez Orange : Lionel Tardy demande des comptes à l’Intérieur
Le 02/11/2016Le 02/11/2016 à 09h 49
Dyn : une attaque DDoS perturbe l’accès à des sites importants, surtout aux États-Unis
Le 21/10/2016Le 22/10/2016 à 13h 55
Ironie ? :)
Pour l’ANSSI, le chiffrement est « une technologie de paix et de prospérité »
Le 06/10/2016Le 07/10/2016 à 15h 25
Possibilité de supprimer le commentaire au dessus ?
Tu peux pas comparer un revolver et un E2E. Un revolver est fabriqué spécifiquement pour menacé ou pour tuer les logiciels de E2E ne servent pas que à cacher des malversations. Je trouve que la comparaison avec le couteau est plus judicieuse : objet indispensable et inoffensif dans la vie de tous les jours mais pouvant tuer.
Je pense que nous avons fait le tour , en tout cas moi je suis allé au bout de mes idées. Sache quand même que j’aborde également ce problème sous l’ordre de la gouvernance ( c’est mon background de base pour tout te dire) et que je comprends bien ces problématique. Sauf que même si j’oublie ma partie technicienne j’ai du mal à avoir suffisamment confiance dans un système de cryptographie qui admet des golden keys. Je préfère que tout le monde puisse utiliser des systèmes cryptographiques sans backdoor.
Je m’intéresserai plus en profondeur à ce système ceci dit car c’est intellectuellement intéressant :)
Le 07/10/2016 à 15h 01
plop
Le 07/10/2016 à 14h 26
Je ne suis pas dans la tête de ces professionnels de sécurité donc je ne sais pas ce qu’il les motive ni leur conviction politique. Il me semble que la possibilité de déchiffré soit envisagé par les gouvernements aussi alors oui pas avec un consortium mais in fine ça revient au même . CF plus bas.
C’est un effet positif possible mais à titre personnel je n’y crois pas trop car tu prends le point comme si c’était un problème qui ne concernait que les démocraties qui seraient prêtes à franchir ce pas ( et encore avec du mal). Je pense que pour que le système fonctionne il faut :
Pour le point 1) pour obtenir une adhésion forte des gouvernements du monde entier tu es forcément obligé d’avoir un consortium de gestion de golden key qui fasse l’unanimité. Des associations citoyennes oui peut être si on était dans un problème franco-français. Là tu dois obtenir l’adhésion de pays ayant des lois et des principes très différents. Je ne peux pas croire que tu te retrouves à la fin avec un consortium raisonnable et dont tous les membres sachent résister à la pression pour ne pas utiliser les clés à mauvais escient.
Pour le point 2) comment on fait concrètement pour empêcher des gens d’utiliser des logiciel E2E fort ? Les protocoles sont ouverts, les RFC sont disponibles. Mis à part interdire les compilateurs je ne vois pas comment on peut empêcher quelqu’un d’implémenter un protocoles “dissident”. C’est perdu d’avance.
Je comprends la problématique, mais je préfère un outils techniquement robuste et dont la fiabilité ne dépend pas de problème de gouvernance et de politique. Que l’outil soit utilisé à mauvais escient n’est pas un problème en soit sinon on aurait déjà interdit les couteaux et les camions ….
Le 07/10/2016 à 13h 32
Je ne suis pas d’accord avec tes arguments non plus.
Quels seraient les moyens de contrôles que l’on pourrait exercer en tant que citoyen pour nous assurer que ces golden keys soient utilisés à bon escient ? Comment serait choisi les détenteurs ? Sur quels critères ? Par qui ? Par rapport à quels lois ? Quels seraient leurs droits ? Quels seraient leur devoirs ? On est plus sur un problème technique là mais sur un problème de gouvernance assez majeur.
Je ne crois pas qu’il soit possible de créer des protocoles qui permettent d’assurer un échange sécurisé pour les gens qui respectent pas la loi tout en cassant les conversations chiffrés des gens qui ne la respectent pas. J’ai tendance à dire qu’un système de sécurité technique est assez binaire : le protocole protège une communication ou le protocole ne la protège pas mais il n’y a pas d’entre deux possibles. Et il se fout de l’intention derrière l’échange. Ce système serait automatiquement bouffé par les problèmes de gouvernance. Par exemple l’état français n’ira surement pas demandé l’accès aux clés pour les mêmes raison que l’état thailandais. Et puis si les clés se font volés ont fait quoi ? Tout le système est apte à être déchiffré par n’importe qui. Je peux pas croire que des professionnels de la sécurité propose une telle solution.
Ce que tu dis sur les logiciels E2E a du sens. Mais la problématique est très différente. Le protocole est correct puisqu’il permet d’assurer la confidentialité de la communication. En revanche l’implémentation pourrait volontairement ou involontairement mauvaise. Au delà du code source il est toujours possible de faire du reverse engineering pour vérifier comment ça se passe. Alors oui c’est dur, oui c’est à la porté de tout le monde mais c’est bien plus simple à contrôler qu’une espèce de gouvernance opaque et tentaculaire. Je préfère une multitude de distributeurs que je peux mettre en concurrence sur l’implémentation d’un protocole, plutôt qu’un protocoles troué par conception et dont la responsabilité, sous la forme d’un consortium, est très centralisé.
Et puis la mise en pratique devra faire adhésion. Et pour ma part ils iront se brosser et si un jour je me retrouve dans une situation où la loi m’oblige d’implémenter ce genre de protocole pourri chez les clients bein j’arrêterai la sécurité informatique pour faire de la pizza car tout ça n’aura plus de sens.
Le 07/10/2016 à 09h 27
Mots de passe : on vous aide à choisir le gestionnaire qu’il vous faut
Le 06/10/2016Le 06/10/2016 à 20h 31
Le 06/10/2016 à 19h 05