Puisque tu commences à devenir désagréable, je vais faire de même : allume tes neurones et relis ce que j’ai dit. J’ai dit que ça revient au même parce que l’impact sur le résultat est strictement le même. Désolé si ça te défrise, mais ton vote blanc a strictement le même effet sur le résultat final qu’une abstentions ou un vote nul. Strictement le même. Certes, tu n’es pas comptabilisé de la même façon parmi les trois compteurs qui ne servent à rien. Mais l’impact sur le résultat final est le même. Allez, je te propose un petit jeu rigolo : prends les résultats d’une élection quelconque et amuses toi à changer la répartition des blancs/nuls/abstentions sans toucher au total. Et regarde ce que ça change sur le résultat. Ah ben oui. Rien.
D’ailleurs, les “blancs qui ont choisi de ne pas voter”, il étaient jusqu’à peu comptabilisés exactement comme les “cons qui ont rajouté un cœur sur leur bulletin parce qu’ils aiment beaucoup le candidat et qu’ils ne savaient pas que ça le rendait nul”. Hé oui. C’est dire l’importance du truc hein… Et aujourd’hui, celui qui glisse un bulletin Tartempion annoté de la liste des affaires dans lesquelles Tartempion est incriminé, croyant faire un geste militant, pareil, il est comptabilisé comme celui qui a accidentellement écorné son bulletin en le glissant dans l’enveloppe. Il n’y a que lui qui croit que son geste a eu du sens et un quelconque effet.
J’ai bien compris le but de la manœuvre : tu veux garder une trace prouvant que tu as voté. L’accès à la liste d’émargement étant extrêmement restreint (Conseil constitutionnel), c’est pas plus une trace que le tampon sur ta carte.
Non. Le but premier de la machine électronique, c’est d’avoir les résultats plus rapidement. Pas les économies sur les bulletins (j’ai donné les chiffres plus haut, sur les élections présidentielles et législatives de 2012, les bulletins représentent moins de 2% du coût global des élections contre plus de 50% pour la propagande électorale, donc le premier poste sur lequel il faudrait travailler pour faire des économies, c’est cette propagande).
Après, dans l’absolu, même sur les bulletins, ce système fait quand même une économie : un bulletin par votant, contre plus d’un bulletin par votant et par choix possible actuellement.
Quand au fait que le système que je propose (enfin pas “je”, comme je l’ai dit plus haut, il est déjà en vigueur à certains endroits, je ne revendique pas la paternité de cette idée, je l’approuve simplement) complexifie le compte, je suis d’accord que ça prend plus de temps pour comptabiliser un bulletin avec ce système qu’avec le système classique. Sauf que comme on n’a besoin de comptabiliser qu’une petite portion des bulletins pour avoir un résultat statistiquement valable (ie être sûr que, si fraude il y a eu, elle est d’une ampleur insuffisante pour influencer le résultat de l’élection), au final on gagne du temps quand même. Et on peut annoncer dès le départ un résultat qui a de très fortes chances d’être définitif. En gros, au lieu d’annoncer des résultats issus de sondages et de quelques bureaux tests, on pourrait immédiatement annoncer le résultat final, accompagné d’un indice de confiance qui augmenterait au fil des décomptes partiels.
Et surtout, le vote électronique est un prérequis indispensable à une vraie évolution du mode de scrutin. Ça fait plusieurs années qu’on expérimente en France des modes de scrutins alternatifs, qui visent notamment à éviter les stratégies de “vote utile”, où des gens qui ont une préférence pour le candidat A votent pour B parce que les sondages prévoient un second tour avec B ou C contre D et qu’ils ne veulent surtout pas de C ou D (toute ressemblance avec une présidentielle ayant eu lieu récemment est purement fortuite). Je pense notamment à des systèmes de votes à point (l’électeur dispose de n points qu’il peut répartir comme il le veut entre les différents candidats, et celui qui a le plus de points l’emporte), par classement (électeur classe l’ensemble des candidats par ordre de préférence), par approbation (l’électeur indique pour chaque candidat s’il l’approuve ou le désapprouve), par note (l’électeur donne à chaque candidat la note -1, 0 ou 2, celui qui a le plus de points gagne). Mais ces modes de scrutin alternatifs, plus “robustes” face aux sondages, ils sont beaucoup plus longs et compliqués à comptabiliser. Un système électronique qui permettrait de diviser par 10 le volume de bulletins à comptabiliser tout en gardant un résultat statistiquement très fiable est donc un préalable indispensable.
Mais à quoi ça sert d’obtenir les résultats plus rapidements ? On les connait déjà en fin de soirées la plupart du temps . Quel est l’intérêt de complexifié une procédure qui est hyper simple ?
cela ne concerne que les gens suspect et probablement en garde à vu. Pas vous et mois
Le mot de passe n’a pas à être communiqué, seul l’identifiant
Bref aucun changement pour l’immensité de la populace.
Bonjour
Se retrouver en garde à vue peut arriver à tout le monde même si vous n’avez rien fait ( j’en connais à qui c’est arrivé et c’est pas drôle )
Je veux bien la source qu’il ne s’agit que de l’identifiant. Il existe un abus de langage qui n’amalgame identifiants de connexion et couple login/mot de passe . Est on sûr que le mot de passe est exclu ?
Et même ça ne change rien. Vous connaissez la liste de tous les sites sur lesquels vous vous êtes inscrits depuis que vous êtes sur internet ? Si oui bravo ;)
De toute façon il est clair que ça ne sert vraiment à rien comme produit.
Et puis au delà de ça, tant que les équipes n’ont pas déterminés comment les binaires ont pu être compromis il faut se dire que ça peut arrivé à nouveau à tout moment dans une future version. A desinstaller donc disons définitivement :)
Sinon ça s’enflamme sur 4chan et ça flood du compte twitter. Mais rien de bien concret dans ce que j’ai pus trouver. Les pseudo archives disparaissent très vite. A voir, mais si c’est vrai on va en apprendre un peu plus sur notre futur président.
De ce que j’ai cru comprendre il s’agirait de document de campagne tout à fait inintéressant
En revanche, à aucun moment dans cet article le rédacteur nous invite à voter pour l’un ou l’autre des candidats. Et j’espère que d’ici dimanche, aucun article, du même style que celui paru sur Numerama, ne sera publié pour nous inviter à voter pour un certain candidat en marche, plus que pour une candidate bleu marine. Les lecteurs ont leur libre arbitre et voteront en leur âme et conscience. J’en ai plus qu’assez de ceux qui appelle au front républicain.
Les gens qui font ça ne pensent pas forcémment à mal. Nous sommes inquiet c’est tout , c’est une réaction bien naturel .
100 Go par mois cela fait plus de 3Go par jour en moyenne.
Cela suffirait pour pas mal de monde comme connexion internet à la maison avec parfois un débit supérieur à ce qu’ils ont actuellement.
Si la guerre continue, ils vont réussir à phagocyter leur offre fixe " />
Faudrait pas que ça arrive j’aimerais toujours avoir la possibilité d’avoir une IP publique pour exposer le serveur qui est à côté de ma télé " />
Et sinon question en général c’est pour les nouveaux abonnés seulement ? Parce que je me suis connecté sur le site de RED et je ne vois pas encore cette offre
Cela dit, je ne te blâme pas personnellement - Je comprends que beaucoup de personnes voient les expatriés un peu comme des exilés fiscaux recherchant à fuir les impôts Français, et c’est justement l’intérêt de confronter ses opinions. :)
Ouais et quand tu es dans d’autres pays parfois tu dis “ ouais les impôts en France bah finalement ça va " /> “
Le
11/03/2017 à
18h
45
Jarodd a écrit :
Dans ce cas là il y aura appel à tartes ! " />
calme toi je plaisantais " />
PS : En fait je ne sais pas c’est complexe comme question ça dépend tellement de la situation ( genre si c’est la France qui devient belliqueuse ils peuvent se gratter " />)
Le
11/03/2017 à
18h
25
GrosBof a écrit :
Pour aller encore plus loin que ben57338 : de plus, être citoyen c’est aussi avoir certains devoirs civiques. Par exemple l’appel sous les drapeaux. Que tu vives au Venezuela, en France ou en Tanzanie, si demain il y a la guerre, sans t’empêchera pas d’être appeler.
Pas sur que j’entende l’appel " />
Le
11/03/2017 à
18h
01
Vachalay a écrit :
Au delà des impôts ou du lieu de résidence, c’est bien dommage de permettre à des personnes de voter alors qu’elles ne participent en rien au pays ou à son avenir … A mon sens le vote devrait être octroyé à ceux qui vivent en France ou en sont détachés temporairement …
Je suis français vivant en Belgique et je ne comprends pas ce genre de position. Ce n’est pas parce qu’on décide à un moment donné de notre vie d’aller vivre ailleurs que nous ne souhaitons pas revenir un jour. Les élections à portés nationales fixe les grandes ligne politiques de notre pays et c’est le droit de tout citoyen, même expatrié, de donner son avis dessus. Par exemple, il ne t’a pas échappé qu’un parti de petit facho à la noix est en bonne position pour passer au second tour des présidentiels et j’ai le droit de pouvoir dire non à ça . Non ?
Ensuite des décisions prises au niveau nationales peuvent largement impacté ma situation d’expatrié. Par exemple si un parti anti-européen gagne décide de quitter Schengen et Masstricht c’est ma possibilité d’aller et venir en France librement sans me prendre la tête avec des conversions de devise qui est remis en question . Et j’aimerais aussi pouvoir donner mon avis là dessus cas échéant .
oui, dans ma boite, c’est le framework utilisé pour notre produit, et ça fonctionne plutôt bien
Par contre, c’est sympa cette charge de travail pas prévue, ça fait plaisir de devoir patcher nos versions de production pour ça…avec tout le cycle modif/validation/packaging/livraison…
elle était déjà bien pourrie cette semaine, c’est la cerise sur le gâteau
Quand je maintenais un produit sous Struts 2 on avait des alertes presque tous les deux mois " />
Pour le coup ça me paraîtrait normal qu’une banque soit dans l’obligation de faire passer un audit de sécurité par un organisme indépendant à ses frais. Ca fait un peu partie des choses dont tu dois tenir compte quand tu finances ton projet et ça ne devrait pas être un problème que la banque supporte les coûts.
J’ai même envie d’aller plus loin, le produit devrait recevoir une certification type EAL4+ ou un truc similaire.
Tu es partisan du “laisser faire” alors ? Ou bien de l’espionnage entre voisin ?
Tu fais surement parti de ceux qui arrivent à déceler des signes avant coureurs après un attentat… " />
Attention, je ne dis pas que dans ce cas précis, on est clairement dans une glissade vers la radicalisation blabla bla. Mais dans un contexte “de peur” (alimenté par les media et le gouvernement on est bien d’accord) il est logique d’avoir des personnes qui vont flipper à la première équivoque de daesh, ei ou autre mot clé équivalent à çà ; et donc quand ces gens là ont peur ils font quoi ? Ils appellent la police… et accessoirement vote extrême…
Dans ce contexte c’est aux autorités à un moment de ne pas alimenté ce contexte de peur. A la limite que les policiers réagissent aux peurs des voisins c’est voisins. Mais dans toute la chaine impliquée ( police , procureur, juge ) un maillon aurait du dire stop. Ou est l’apologie du terrorisme là dedans ?
Et notamment sur « la conservation ou non de l’URL complète émise par le navigateur de l’Internaute et qui figure dans la requête HTTP traitée par le serveur de renvoi ». Perso j’utilise un plugin sur chromium qui dégage le header “referer” de toutes les requetes, tranquille comme ça.
Voir même impossible, il manque littéralement la moitié des informations.
Edit : le champ de saisie de com sur NX est vraiment pète couille à virer les retour à la ligne !!!
En dégageant le referer tu n’as pas de problème lors de la validation de certains formulaire POST ? Vérifier la présence d’un Referer cohérent est une mesure anti-CSRF standard
Possibilité de supprimer le commentaire au dessus ?
Tu peux pas comparer un revolver et un E2E. Un revolver est fabriqué spécifiquement pour menacé ou pour tuer les logiciels de E2E ne servent pas que à cacher des malversations. Je trouve que la comparaison avec le couteau est plus judicieuse : objet indispensable et inoffensif dans la vie de tous les jours mais pouvant tuer.
Je pense que nous avons fait le tour , en tout cas moi je suis allé au bout de mes idées. Sache quand même que j’aborde également ce problème sous l’ordre de la gouvernance ( c’est mon background de base pour tout te dire) et que je comprends bien ces problématique. Sauf que même si j’oublie ma partie technicienne j’ai du mal à avoir suffisamment confiance dans un système de cryptographie qui admet des golden keys. Je préfère que tout le monde puisse utiliser des systèmes cryptographiques sans backdoor.
Je m’intéresserai plus en profondeur à ce système ceci dit car c’est intellectuellement intéressant :)
Le
07/10/2016 à
15h
01
plop
Le
07/10/2016 à
14h
26
Je ne suis pas dans la tête de ces professionnels de sécurité donc je ne sais pas ce qu’il les motive ni leur conviction politique. Il me semble que la possibilité de déchiffré soit envisagé par les gouvernements aussi alors oui pas avec un consortium mais in fine ça revient au même . CF plus bas.
C’est un effet positif possible mais à titre personnel je n’y crois pas trop car tu prends le point comme si c’était un problème qui ne concernait que les démocraties qui seraient prêtes à franchir ce pas ( et encore avec du mal). Je pense que pour que le système fonctionne il faut :
Que touts les gouvernement soient d’accords pour utiliser ce genre de système dans le monde entier sinon c’est inefficace car il y’aura des “zones” qui échaperont à cette possible surveillance ;
Que les “méchants” ( putain je déteste parler comme ça ) ne puisse pas utiliser des systèmes alternatifs pour communiquer. Sans ce point c’est inéfficace .
Pour le point 1) pour obtenir une adhésion forte des gouvernements du monde entier tu es forcément obligé d’avoir un consortium de gestion de golden key qui fasse l’unanimité. Des associations citoyennes oui peut être si on était dans un problème franco-français. Là tu dois obtenir l’adhésion de pays ayant des lois et des principes très différents. Je ne peux pas croire que tu te retrouves à la fin avec un consortium raisonnable et dont tous les membres sachent résister à la pression pour ne pas utiliser les clés à mauvais escient.
Pour le point 2) comment on fait concrètement pour empêcher des gens d’utiliser des logiciel E2E fort ? Les protocoles sont ouverts, les RFC sont disponibles. Mis à part interdire les compilateurs je ne vois pas comment on peut empêcher quelqu’un d’implémenter un protocoles “dissident”. C’est perdu d’avance.
Je comprends la problématique, mais je préfère un outils techniquement robuste et dont la fiabilité ne dépend pas de problème de gouvernance et de politique. Que l’outil soit utilisé à mauvais escient n’est pas un problème en soit sinon on aurait déjà interdit les couteaux et les camions ….
Le
07/10/2016 à
13h
32
Je ne suis pas d’accord avec tes arguments non plus.
Quels seraient les moyens de contrôles que l’on pourrait exercer en tant que citoyen pour nous assurer que ces golden keys soient utilisés à bon escient ? Comment serait choisi les détenteurs ? Sur quels critères ? Par qui ? Par rapport à quels lois ? Quels seraient leurs droits ? Quels seraient leur devoirs ? On est plus sur un problème technique là mais sur un problème de gouvernance assez majeur.
Je ne crois pas qu’il soit possible de créer des protocoles qui permettent d’assurer un échange sécurisé pour les gens qui respectent pas la loi tout en cassant les conversations chiffrés des gens qui ne la respectent pas. J’ai tendance à dire qu’un système de sécurité technique est assez binaire : le protocole protège une communication ou le protocole ne la protège pas mais il n’y a pas d’entre deux possibles. Et il se fout de l’intention derrière l’échange. Ce système serait automatiquement bouffé par les problèmes de gouvernance. Par exemple l’état français n’ira surement pas demandé l’accès aux clés pour les mêmes raison que l’état thailandais. Et puis si les clés se font volés ont fait quoi ? Tout le système est apte à être déchiffré par n’importe qui. Je peux pas croire que des professionnels de la sécurité propose une telle solution.
Ce que tu dis sur les logiciels E2E a du sens. Mais la problématique est très différente. Le protocole est correct puisqu’il permet d’assurer la confidentialité de la communication. En revanche l’implémentation pourrait volontairement ou involontairement mauvaise. Au delà du code source il est toujours possible de faire du reverse engineering pour vérifier comment ça se passe. Alors oui c’est dur, oui c’est à la porté de tout le monde mais c’est bien plus simple à contrôler qu’une espèce de gouvernance opaque et tentaculaire. Je préfère une multitude de distributeurs que je peux mettre en concurrence sur l’implémentation d’un protocole, plutôt qu’un protocoles troué par conception et dont la responsabilité, sous la forme d’un consortium, est très centralisé.
Et puis la mise en pratique devra faire adhésion. Et pour ma part ils iront se brosser et si un jour je me retrouve dans une situation où la loi m’oblige d’implémenter ce genre de protocole pourri chez les clients bein j’arrêterai la sécurité informatique pour faire de la pizza car tout ça n’aura plus de sens.
Le
07/10/2016 à
09h
27
jaffalibre a écrit :
La seule solution “plausible” (à mon avis) pour interdire le chiffrement au lambda moyen serai un systeme calqué sur les armes à feu => seule des personnes habilité (banque, industrie habilité etc …) peuvent initier une communication avec cryptage fort, les autres (nous ou entreprise non habilité) n’aurais le droit qu’a du cryptage faible ou rien.
Apres c’est comme tout, le chiffrement n’est qu’un outils se le procurer sera toujours possible (comme les armes a feu pour des criminels).
Mon NAS est exposé sur Internet. Je m’en sers pour accéder à mes documents administratifs à distances. Pour protéger mes communication j’ai mis du HTTPS et je n’ai activé que les les algortithmes de chiffrement considerés comme très fort et pour rendre très difficile l’interception. Moi selon toi en tant que particulier je n’aurais pas le droit de mettre tout en oeuvre pour protéger l’accès à mes documents confidentiels ? Le droit à la confidentialité doit donc être un privilège ?
Moi je dis non et de toute façon ils n’ont aucun moyen de le contrôler …
Son dépôt peut être hébergé chez eux ou bien chez un Ovh par exemple, sur un serveur privé. Rien de surprenant, surtout pour des dev.
Pardon je ne parlais pas de sa solution mais des solutions proposées par nextinpact ( à part keepass) qui reposent sur des services externes
Le
06/10/2016 à
19h
05
milouse1664 a écrit :
Pour les linuxien et android, n’hésitez pas à aller faire un tour du côté de pass. C’est du bête bash, qui peut s’interfacer super facilement avec n’importe quoi. Perso, c’est un raccourcis clavier et dmenu qui me permettre de récupérer les mdp. Sous le capot, c’est une simple arborescence de fichiers chiffrés en gpg. Du coup au boulot c’est clé gpg partagé par les membres de l’équipe et dépôt git pour synchroniser. C’est simple, fiable, rapide et pas stocké sur des serveurs américain.
Pour un milieu professionnel, le fait que les mots de passe sortent chez un tiers ne me plait pas du tout. C’est quand même compliqué à justifier d’un point de vue risque.
24 commentaires
Le gouvernement songe à interdire les machines à voter et à réformer le vote électronique
29/09/2017
Le 01/10/2017 à 13h 11
Les députés adoptent l’obligation de déclarer tous ses identifiants électroniques
27/09/2017
Le 30/09/2017 à 13h 15
CCleaner : un malware plus complexe que prévu, des grandes entreprises visées
22/09/2017
Le 23/09/2017 à 09h 51
De toute façon il est clair que ça ne sert vraiment à rien comme produit.
Et puis au delà de ça, tant que les équipes n’ont pas déterminés comment les binaires ont pu être compromis il faut se dire que ça peut arrivé à nouveau à tout moment dans une future version. A desinstaller donc disons définitivement :)
#MacronLeaks, ou l’éloge d’une meilleure sécurité et du chiffrement des échanges
06/05/2017
Le 06/05/2017 à 10h 57
Les outils de surveillance de Marine Le Pen ou d’Emmanuel Macron, élu(e) président(e)
02/05/2017
Le 03/05/2017 à 07h 17
RED by SFR : un forfait 100 Go à 20 euros par mois en série limitée dès demain
15/03/2017
Le 16/03/2017 à 06h 28
Retour sur la suppression du vote électronique pour les élections législatives 2017
11/03/2017
Le 12/03/2017 à 15h 30
Le 11/03/2017 à 18h 45
Le 11/03/2017 à 18h 25
Le 11/03/2017 à 18h 01
Apache corrige une faille déjà exploitée dans Struts 2
09/03/2017
Le 11/03/2017 à 18h 03
N26 corrige plusieurs failles, la sécurité des « néo-banques » en question
29/12/2016
Le 29/12/2016 à 10h 56
Double authentification sur Twitter : un générateur de code en alternative au SMS
15/12/2016
Le 15/12/2016 à 08h 53
Il me semblait que les SMS ne devait plus être utilisé pour l’envoi d’OTP non ?
Des députés veulent que les Français reçoivent un SMS lors de chaque « Alerte enlèvement »
25/11/2016
Le 25/11/2016 à 09h 47
Oh un nouveau vecteur de phishing ^^
Wi-Fi baptisé « Daesh 21 » : il y a aura appel de la condamnation pour apologie du terrorisme
07/11/2016
Le 07/11/2016 à 13h 12
Blocage par erreur chez Orange : Lionel Tardy demande des comptes à l’Intérieur
02/11/2016
Le 02/11/2016 à 09h 49
Dyn : une attaque DDoS perturbe l’accès à des sites importants, surtout aux États-Unis
21/10/2016
Le 22/10/2016 à 13h 55
Ironie ? :)
Pour l’ANSSI, le chiffrement est « une technologie de paix et de prospérité »
06/10/2016
Le 07/10/2016 à 15h 25
Possibilité de supprimer le commentaire au dessus ?
Tu peux pas comparer un revolver et un E2E. Un revolver est fabriqué spécifiquement pour menacé ou pour tuer les logiciels de E2E ne servent pas que à cacher des malversations. Je trouve que la comparaison avec le couteau est plus judicieuse : objet indispensable et inoffensif dans la vie de tous les jours mais pouvant tuer.
Je pense que nous avons fait le tour , en tout cas moi je suis allé au bout de mes idées. Sache quand même que j’aborde également ce problème sous l’ordre de la gouvernance ( c’est mon background de base pour tout te dire) et que je comprends bien ces problématique. Sauf que même si j’oublie ma partie technicienne j’ai du mal à avoir suffisamment confiance dans un système de cryptographie qui admet des golden keys. Je préfère que tout le monde puisse utiliser des systèmes cryptographiques sans backdoor.
Je m’intéresserai plus en profondeur à ce système ceci dit car c’est intellectuellement intéressant :)
Le 07/10/2016 à 15h 01
plop
Le 07/10/2016 à 14h 26
Je ne suis pas dans la tête de ces professionnels de sécurité donc je ne sais pas ce qu’il les motive ni leur conviction politique. Il me semble que la possibilité de déchiffré soit envisagé par les gouvernements aussi alors oui pas avec un consortium mais in fine ça revient au même . CF plus bas.
C’est un effet positif possible mais à titre personnel je n’y crois pas trop car tu prends le point comme si c’était un problème qui ne concernait que les démocraties qui seraient prêtes à franchir ce pas ( et encore avec du mal). Je pense que pour que le système fonctionne il faut :
Pour le point 1) pour obtenir une adhésion forte des gouvernements du monde entier tu es forcément obligé d’avoir un consortium de gestion de golden key qui fasse l’unanimité. Des associations citoyennes oui peut être si on était dans un problème franco-français. Là tu dois obtenir l’adhésion de pays ayant des lois et des principes très différents. Je ne peux pas croire que tu te retrouves à la fin avec un consortium raisonnable et dont tous les membres sachent résister à la pression pour ne pas utiliser les clés à mauvais escient.
Pour le point 2) comment on fait concrètement pour empêcher des gens d’utiliser des logiciel E2E fort ? Les protocoles sont ouverts, les RFC sont disponibles. Mis à part interdire les compilateurs je ne vois pas comment on peut empêcher quelqu’un d’implémenter un protocoles “dissident”. C’est perdu d’avance.
Je comprends la problématique, mais je préfère un outils techniquement robuste et dont la fiabilité ne dépend pas de problème de gouvernance et de politique. Que l’outil soit utilisé à mauvais escient n’est pas un problème en soit sinon on aurait déjà interdit les couteaux et les camions ….
Le 07/10/2016 à 13h 32
Je ne suis pas d’accord avec tes arguments non plus.
Quels seraient les moyens de contrôles que l’on pourrait exercer en tant que citoyen pour nous assurer que ces golden keys soient utilisés à bon escient ? Comment serait choisi les détenteurs ? Sur quels critères ? Par qui ? Par rapport à quels lois ? Quels seraient leurs droits ? Quels seraient leur devoirs ? On est plus sur un problème technique là mais sur un problème de gouvernance assez majeur.
Je ne crois pas qu’il soit possible de créer des protocoles qui permettent d’assurer un échange sécurisé pour les gens qui respectent pas la loi tout en cassant les conversations chiffrés des gens qui ne la respectent pas. J’ai tendance à dire qu’un système de sécurité technique est assez binaire : le protocole protège une communication ou le protocole ne la protège pas mais il n’y a pas d’entre deux possibles. Et il se fout de l’intention derrière l’échange. Ce système serait automatiquement bouffé par les problèmes de gouvernance. Par exemple l’état français n’ira surement pas demandé l’accès aux clés pour les mêmes raison que l’état thailandais. Et puis si les clés se font volés ont fait quoi ? Tout le système est apte à être déchiffré par n’importe qui. Je peux pas croire que des professionnels de la sécurité propose une telle solution.
Ce que tu dis sur les logiciels E2E a du sens. Mais la problématique est très différente. Le protocole est correct puisqu’il permet d’assurer la confidentialité de la communication. En revanche l’implémentation pourrait volontairement ou involontairement mauvaise. Au delà du code source il est toujours possible de faire du reverse engineering pour vérifier comment ça se passe. Alors oui c’est dur, oui c’est à la porté de tout le monde mais c’est bien plus simple à contrôler qu’une espèce de gouvernance opaque et tentaculaire. Je préfère une multitude de distributeurs que je peux mettre en concurrence sur l’implémentation d’un protocole, plutôt qu’un protocoles troué par conception et dont la responsabilité, sous la forme d’un consortium, est très centralisé.
Et puis la mise en pratique devra faire adhésion. Et pour ma part ils iront se brosser et si un jour je me retrouve dans une situation où la loi m’oblige d’implémenter ce genre de protocole pourri chez les clients bein j’arrêterai la sécurité informatique pour faire de la pizza car tout ça n’aura plus de sens.
Le 07/10/2016 à 09h 27
Mots de passe : on vous aide à choisir le gestionnaire qu’il vous faut
06/10/2016
Le 06/10/2016 à 20h 31
Le 06/10/2016 à 19h 05