Truecrypt : une histoire éclairante

Partager sur:
Sauvegarder cet article
Aimer cet article 0
Internet liberté cadenas

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

Truecrypt : une histoire éclairante

Publié le 4 juin 2014
- A +

Une tempête a soufflé la semaine dernière sur Internet. Oh, pas une de ces tempêtes médiatiques basée sur un lolcat truculent, un président enscooterifié ou un buzz médiatique facile, et c’est probablement pour cela que vous n’en avez pas entendu parler. Il n’en reste pas moins que ce qui s’est passé autour de Truecrypt est particulièrement intéressant.

logo truecryptAvant d’aller plus loin, rappelons que Truecrypt est un logiciel gratuit, dont le code source est disponible, qui permet de chiffrer des données sur un disque dur. Le chiffrage est ainsi fait que l’utilisateur légitime, qui fournit son mot de passe au démarrage de la machine, ne voit pas la différence avec un disque dur normal (non chiffré) ; l’encryptage est réalisé à la volée, de façon transparente pour le système d’exploitation ou l’utilisateur. En revanche, un utilisateur qui ne dispose pas de la clé d’accès ne pourra pas lire le disque ainsi chiffré.

Ce logiciel existe depuis une dizaine d’années, et son mode de fonctionnement très simple mais efficace lui a valu une excellente renommée auprès de ses millions d’utilisateurs. Le cryptage utilisé (qui peut être basé sur AES, Serpent et Twofish) est suffisamment solide pour que le FBI, notamment, ne parvienne pas à le casser dans une affaire financière où des disques, saisis comme pièces à conviction, n’ont pas livré leurs secrets après des mois d’analyse par le bureau fédéral américain.

C’est donc avec consternation que mercredi 31 mai, la page officielle du logiciel qui présentait le produit a été remplacée par une page rudimentaire expliquant essentiellement que Truecrypt n’est pas sûr, et que l’utiliser ne permet pas d’assurer la confidentialité de ses données. La consternation est d’autant plus grande que l’ensemble du message est rédigé et signé avec les clés habituelles des développeurs officiels du produit, et qu’il invite les utilisateurs à se rabattre sur Bitlocker pour Windows, produit notoirement connu pour disposer de facilités spécifiques de décryptage pour les autorités américaines. Or, jusqu’à présent, Truecrypt avait pour lui d’avoir résisté à l’épreuve du temps en n’ayant jamais présenté de grandes vulnérabilités. En outre, un audit de la cryptographie utilisée est actuellement en cours pour déterminer sa solidité générale. Les failles rapportées en avril dernier ne montraient en tout cas rien qui permette de classer le produit comme à ce point dangereux à utiliser. D’ailleurs, l’un des pontes de la cryptographie, Bruce Schneier, expliquait récemment continuer à utiliser le produit malgré les quelques problèmes découverts.

Le reste de l’audit permettra peut-être de trouver une faille suffisamment importante pour remettre en cause le modèle utilisé par Truecrypt depuis 2004, année de son apparition, mais on peut légitimement en douter. En tout cas, les exécutables des versions historiques, disponibles sur la version précédente du site avant ce revirement dramatique, n’ont pas montré d’anomalies douteuses.

nsa backup copy

La situation est donc particulièrement étrange puisqu’on découvre qu’une équipe, qui a travaillé pendant dix ans sur un produit qui a déjà largement prouvé son efficacité, vient de saborder complètement son travail en redirigeant ses utilisateurs vers des alternatives douteuses. Les rumeurs vont évidemment bon train sur les forums spécialisés, mais essentiellement, trois hypothèses surnagent au milieu des différentes possibilités plus ou moins farfelues :

– D’une part, il pourrait bien y avoir une grosse faille de sécurité, grosse au point que les développeurs ont préféré saborder leur outil plutôt que l’admettre ou tenter de la réparer. C’est évidemment une réaction très étrange d’autant que le code source, largement disponible, aurait permis une correction rapide par la communauté des développeurs intéressés à la survie et à la maintenance du projet.

– D’autre part, il pourrait s’agir d’une méthode de la part de l’équipe de développement pour laisser tomber tout support du produit, et inciter (par la peur, donc) le reste du monde à reprendre en charge le développement. Cette hypothèse intéressante est développée ici, et permet en tout cas de relativiser la disparition de la page officielle et des codes sources des précédentes versions. Du reste, internet étant ce qu’il est, on trouve facilement des bibliothèques qui contiennent toutes les versions de Truecrypt jusqu’à mercredi dernier.

– Enfin, la nouvelle page du site rapidement bricolée tendrait à faire penser à un « warrant canary », expression américaine utilisée dans un cas assez spécifique de législation américaine : en substance, lorsqu’un fournisseur de service reçoit une assignation secrète (essentiellement celles en lien avec le Patriot Act, article 18 U.S.C. §2709(c)), il lui est interdit de divulguer à des tiers son statut légal (grossièrement équivalent à une mise en examen), mais il peut, sur demande d’un client, indiquer si, sur une période donnée, il n’était pas sujet à une telle assignation. Par analogie, l’acte étrange de l’équipe de développement de Truecrypt serait une forme de mise en garde minimaliste permettant de prévenir les utilisateurs que l’ensemble de l’équipe a subi des menaces ou des pressions de la part d’une organisation gouvernementale et qu’à ce titre, l’ensemble des développements de Truecrypt est sujette à caution.

on the internet nobody knows youre a dogL’avenir dira peut-être ce qu’il en est exactement, mais au-delà des péripéties qui secouent actuellement le monde de la cryptographie et celui, plus large, des logiciels de chiffrement de disques à la volée, on peut néanmoins noter qu’encore une fois, la communauté Internet a prouvé sa capacité d’organisation. En effet, moins d’une semaine après l’annonce surprise de l’abandon de Truecrypt est apparu un nouveau site, Truecrypt.ch, dont les auteurs entendent reprendre le flambeau, incorporer les corrections éventuelles que l’audit, toujours en cours, auraient jugées nécessaires, et maintenir le code actuel. On ne peut, à ce stade, présumer de la capacité de ce binôme de développeurs à maintenir le code et le produit, mais leur prompte réaction montre en tout cas que le chiffrement de données personnelles est une idée jugée suffisamment importante pour mobiliser rapidement les énergies.

Et c’est le cas : d’un côté, nous avons des institutions gouvernementales dont les moyens grossissent de façon exponentielle, et dont le but ultime est bien de tout savoir sur vos plus intimes motivations, vos convictions religieuses, politiques ou sentimentales. Pour celles-là, la cartographie précise de chaque être humain est devenu un préalable non seulement nécessaire mais aussi techniquement réalisable (ce qui est encore plus effrayant) à leur soif inextinguible de contrôle. Ces institutions ne reculeront devant aucun moyen pour vous ficher, quand bien même (de l’aveu même de ceux qui y travaillent) la masse de données résultante ne leur sera pas utile pour remplir leur ordre de mission officiel. Terrorisme, crimes et délits, oubliez ça : ces technologies servent d’abord et surtout à surveiller tout le monde.

De l’autre, il n’existe guère que ces moyens cryptographiques pour se préserver quelques domaines de vie vraiment privée, où l’État et ses agences ne pourront venir mettre leurs yeux. Il est donc absolument impératif que des systèmes voient le jour, soient maintenus et massivement utilisés pour assurer à chaque humain un minimum de protection contre les grandes oreilles gouvernementales.

Cette affaire Truecrypt montre encore une fois qu’aucune technologie n’est acquise, aucune sécurité n’est trop forte contre les moyens que déploient les États pour asservir leurs populations. Et cette affaire montre aussi, heureusement, que nombreux sont ceux qui en ont conscience et qui sont prêts à sacrifier leur temps et leur savoir pour calmer les ardeurs gouvernementales.
—-
Sur le web

Voir les commentaires (100)

Laisser un commentaire

Créer un compte Tous les commentaires (100)
  • Personnellement et quitte à passer ici pour un naze , j’utilise Bitlocker de Microsoft.
    L’articla zappe totalement la lutte contre le terrorisme qui est la motivation première des autorités américaines pour mettre des obstacles à toute forme d’encryptage des données pouvant porter atteinte à la sécurité des états.
    De ce fait j’approuve la possibilité offerte aux servies secrets d’avoir accès au déchiffrage des données.
    Ce sont des états forts qui nous protègeront du terrorisme et personne d’autre.

    • C’est vrai sauf qu’ils n’ont jamais rien empêché !
      L’attentat de Boston, ben pas pu l’empêcher.
      Mera, pas pu l’empêcher.
      Nemmouche, pas pu l’empêcher.

      Alors bien sur, on peut mettre une puce dans chaque citoyen. Ca doit être votre souhait pour être en « sécurité ».

      Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux. »
      Benjamin Franklin

      • Tu prétends qu’aucun attentat n’a été évité?
        Jamais?

        Tu as des sources?

      • L’attentat de Boston, ben pas pu l’empêcher.
        Mera, pas pu l’empêcher.
        Nemmouche, pas pu l’empêcher.

        Ces personnes ont bien été neutralisées. Cela évite qu’elles récidivent.

        Grace à des traces informatiques dans le cas de Mohamed Merah (il a laissé l’adresse IP de l’accès Internet de sa mère sur le site leboncoin.fr).

        • Merci @Simple-touriste de faire la démonstration de l’inutilité totale de programmes tels que PRISM. Des milliards de dollars dépensés pour (soit disant) nous protéger des dangereux terroristes cachés sous nos lits, alors que n’importe quel nono peut trouver une adresse IP.

        • Vous mesurez comment le succès de toute cette surveillance ?
          Lorsqu’il n’y a pas de récidives ?
          La police du 19eme siècle faisait ça très bien sans mettre une puce dans le corps de tout le monde.
          Pour moi, les attentats de Boston, Merah, etc sont la preuve de l’inefficacité de la surveillance.

    • Les nazis ne disaient pas autre chose. Le problème est que ça a dérivé, parce que ça dérive toujours.
      Aujourd’hui vous êtes dans le bon camp. Si demain vous êtes pour x raisons dans le mauvais camp, ce que vous dites aujourd’hui se retournera contre vous.
      Avec un Etat fort, se retrouver terroriste présumé coupable est facile.
      Au fil des siècles, les services secrets ont développé de nombreuses techniques pour retrouver de l’information. La plus facile a toujours été d’ouvrir le courrier avant livraison, avec les abus associés.
      Donc ça doit rester interdit, et s’ils trouvent le moyen de le faire discrètement, pas de problème, mais c’est à leurs risques et périls. Sinon on peut aussi bien légitimer l’assassinat légal des terroristes etc, mais les dommages collatéraux arrivent vite.

    • atchoum: « Ce sont des états forts qui nous protègeront du terrorisme et personne d’autre. »

      Quel sens des priorités,
      On a plus de chance de gagner au loto que d’être victime de terrorisme et cela alors que les services secrets ne peuvent pas encore décoder tous notre correspondance grâce à des outils comme truecrypt.

      En bref tu es prêts à jeter toutes tes libertés et ta vie privée au nom d’une chimère de sécurité.

      • Je suis sûr que vous savez de quoi vous parlez, mais « des outils comme truecrypt » peut induire en erreur certains lecteurs :

        TrueCrypt n’a rien à voir avec la protection de la correspondance (courriels) : il protège en cas de vol (ou saisie par la Justice) d’un disque dur, dans un ordinateur éteint.

        Pour protéger les courriels, il y a GnuPG. Attention, cela ne protège pas les métadonnées (= qui communique avec qui, à quelle fréquence, à quelles dates).

        • simple-touriste: « TrueCrypt n’a rien à voir avec la protection de la correspondance (courriels) »

          Container truecrypt déguisé en image jpg envoyée par mail par exemple.

      • « On a plus de chance de gagner au loto que d’être victime de terrorisme »

        Cela pourrait changer.
        Mais là n’est pas l’essentiel: Le terrorisme veut, et obtient, des changements de notre culture, de nos usages, de nos institutions.

        On n’est pas en guerre contre le terrorisme, ni contre les chars ou quelque autre moyen d’imposer un ordre social. C’est contre cet ordre qu’on est en guerre, pas contre les moyens que ses partisans emploient pour nous y plier.

        Serez-vous victime d’un attentat terroriste ? C’est très improbable.
        Un de vos proches ? Ce l’est moins

        Aurez-vous à vous soumettre à une forme de charia ?
        Ça, c’est probable, et c’est même commencé.

    • Ca fait belle lurette que les terroristes ont compris qu’il ne fallait pas utiliser des moyens de communication traçables. Les « états forts » le savent d’ailleurs fort bien.

    • Atchoum : vous approuvez et vous argumentez, c’est donc votre choix. Par contre, je n’ai pas vu la case « je n’approuve pas », si vous la voyez elle va intéresser du monde.

      Votre argument est recevable mais se heurte à certaines réalités, qui définit le terrorisme ? C’est la même chose que « riche », définition vague, il suffit à un gouvernement de décréter qu’avec 2500€/mois vous l’êtes pour vous prélever d’avantage d’impôt.

      • Votre argument est recevable mais se heurte à certaines réalités, qui définit le terrorisme ? C’est la même chose que « riche », définition vague, il suffit à un gouvernement de décréter qu’avec 2500€/mois vous l’êtes pour vous prélever d’avantage d’impôt.

        Il y a plein de définitions différentes, mais aucune n’est aussi vague que « riche ».

        Cette définition ne semble pas extensible et déformable à volonté, par exemple :

        Convention européenne du 10 janvier 2000 pour la répression du financement du terrorisme : « Tout acte destiné à tuer ou blesser grièvement un civil ou toute autre personne qui ne participe pas directement aux hostilités dans une situation de conflit armé, lorsque par sa nature ou par son contexte, cet acte vise à intimider une population ou à contraindre un gouvernement ou une organisation internationale à accomplir ou à s’abstenir d’accomplir un acte quelconque. »

        https://fr.wikipedia.org/wiki/D%C3%A9finition_du_terrorisme

        • Simple touriste, vous sites « ne semble pas… », donc un conditionnel. Par ailleurs, vous avez découvert Wiki et me sortez une définition toute faite, zut alors, je n’y avais pas pensé. Encore une fois, QUI définit le terrorisme (pas QUOI) la nuance vous a échappé ?

          Les gens qui sont à Guantánamo (entre autre) êtes vous bien certain qu’ils répondent à votre jolie définition ?

          • « vous avez découvert Wiki »

            non…

            « me sortez une définition toute faite »

            Je vous démontre qu’il est tout à fait possible d’utiliser des définitions qui ne permettent pas d’étendre la portée à volonté.

            « Encore une fois, QUI définit le terrorisme »

            Qui fait les lois?

            « Les gens qui sont à Guantánamo (entre autre) êtes vous bien certain qu’ils répondent à votre jolie définition ? »

            Je ne vois pas bien le rapport. Ils sont suspects de crimes ou de complicité de crimes.

            Je suis certain qu’ils ne sont pas juste suspectés d’avoir dit que Bush est un gros con et Obama encore plus.

            Vous prétendez qu’il faut supprimer la police, parce qu’il y a des abus policiers?

            Vous prétendez qu’il faut supprimer la loi, parce que la loi pourrait empiéter sur vos libertés?

            Vous êtes anarchiste?

    • Bien sûr…il n’y a qu’à voir la Suisse (Etat minimal) et bien d’autres pays sans « patriot act » qui sont envahis de légions de terroristes.
      Heureusement en France, l’Etat régente tout, regarde tout, mais oublie de protéger les individus contre les terroristes à la Merah. Mais comme les gens n’ont pas le droit de se défendre seuls, ça arrange bien le gouvernement.

    • « Ce sont des états forts qui nous protègeront du terrorisme et personne d’autre. »

      Et aussi nous protéger du complot juif et des invasions aliens ?

      Allez, statistiquement par rapport aux chiffres mondiaux, vous avez 4 fois plus de risques de mourir foudroyé que de mourir dans un attentat. Et en occident, on est bien en dessous de la moyenne mondiale…

    • Donc vous utilisez un logiciel moins sur parce que si vous devenez un terroriste vous voudriez que le gouvernent puisse accéder à vos données ? Ou alors vous espérez qu’en utilisant un logiciel moins sur vous donnez l’exemple au terroriste, et qu’ainsi on pourra accéder à leurs données ?

      J’avoue ne pas comprendre votre logique.

      • Non.

        Il ne veut pas cautionner une entreprise pro-vie privée des terroristes en lui donnant de l’arg… de la notor… bref en consommant un truc pas kascher.

    • Venant de Microsoft, il est possible que bitlocker posséde des backdoors…

      Par contre, je désapprouve totalement la possibilité au services secrets d’avoir accés au déchiffrage des données.

      Cela va se finir par une guerre cryptographique en bonne et due forme sur le net, conflit perdu d’avance pour les états.

      Personnellement je crypte déjà mes données sensibles, passe sous vpn quand nécessaire, le fait de crypter fortement l’intégralité de mes flux internet, ou de basculer sur un darknet entièrement crypté ne me pose aucun problème de conscience.

      Au final, si quelqu’un veux vraiment passer inaperçu, il le fera, quelque que soit l’argent public gaspillé dans l’interception du trafic.

      • Il est aussi possible que Windows possède des backdoors (ou des failles involontaires exploitables).
        Il est aussi possible que le BIOS possède des backdoors (ou des failles involontaires exploitables).
        Il est aussi possible que le micrologiciel de gestion de la mémoire possède des backdoors (ou des failles involontaires exploitables).
        Etc.

      • « Venant de Microsoft, il est possible que bitlocker posséde des backdoors… »

        « il est possible » ? Vous êtes sérieux quand vous doutez ?

        Juste à prendre Skype comme exemple et vos doutes s’estomperons dans la seconde.

  • Tous les scénarios sont possible, en effet.
    Il y a eu une génération qui n’a pas hésité à proposer des solutions et éventuellement se heurter aux différentes autorités régulatrices, autorités et lois qui du reste ont surgit au fur et à mesure que des solutions telles Truecrypt prenaient corps, c’est dire si ça dérange du monde.

    Désormais, il est à craindre que pour essayer de protéger sa vie privée, il soit nécessaire d’en passer par des solutions de plus en plus exotiques, ce qui aura pour effet de marginaliser tous les créateurs de ces solutions.
    Big Dta, Big Brother, Orwellien en diable.

    • C’est pire que ça Salamanque: aujourd’hui aux US, parler de vie privée et de vouloir la protéger est considéré comme suspect. Une sorte de soutien indirect au terrorisme.

  • c’est un combat idiot , d’un coté on demande plus de transparence pour les états et de l’autre l’individu exige de protéger ses secrets..hors les états sont des milliers d’individus encore plus suspects que les citoyens ‘normaux’..

  • N’oublions pas ce qu’à dit Ben Laden lorsqu’il a parlé du « talon d’Achille » du monde occidental qui est notre attachement aux libertés individuelles mais qui offre à Al Qaida un « boulevard » pour developper son activité de terrorisme destabilisateur.
    Quand je lit des inepties issues de la politique de l’autruche: comme on a plus de chance de gagner au loto que d’être victime du terrorisme
    Allez dire cela à la communauté juive de France qui se demande si demain elle ne va pas devoir quitter ce pays.

    • Bonjour atchoum
      Un classique.
      « Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux. »
      Benjamin Franklin

    • Roooh, les vilains sophismes…

      En tous cas, dans nos pays auxquels vous reprochez ce boulevard à terrorisme qu’est la liberté individuelle, il y a infiniment moins d’attentats qu’ailleurs. Oh zut, zut et rezut, tout votre raisonnement idiot et paranoïaque tombe à l’eau… Peut-être préférez vous vivre en Iran ou en Corée du Nord, ces pays sans liberté et donc bien plus surs ?

      « Allez dire cela à la communauté juive de France »

      Il est tout de même difficile de dire quelque chose à une communauté.

    • Atchoum , il apparaît que c’est en prison , donc sous le contrôle de l’Etat que les terroristes recrutent..,
      Et vous vous en redemander encore plus ?…

    • Si un jour un représentant de l’état vous met un fusil dans les mains, et, vous désignant un quidam, vous déclare: « cet individu tient un discours anti-gouvernemental, il est une menace pour ta sécurité, pour notre sécurité à tous, tire! » Ce jour là, vous tirerez sur le quidam?

      Votre légitimation de l’intrusion de l’état dans notre vie privée ne vaut pas mieux. Si vous voulez abandonner votre liberté à l’état, faites-vous soldat ou je ne sais quoi, et allez casser du barbu au Nigéria. Mais vous n’avez aucun droit, pas plus que l’état, de dire aux autres qu’ils devraient abandonner leur vie privée sous quelque prétexte que ce soit.

      Et allez dire à la communauté juive qu’on va passer à la loupe leur vie privée sous prétexte de les protéger, on verra comment vous serez reçu.

      Comme si laisser libre accès à votre correspondance, vos comptes bancaires, vos communications, allait empêcher des fous terroristes de passer à l’acte… soutenir ce genre d’argument inepte ne peut être le fait que de menteurs (l’état), ou d’idiots complets (genre vous).

      Une surveillance ciblée, avec le concours de RG, services secrets, police, informateurs, etc, se fait déjà, si elle est inefficace, c’est à l’état de revoir ses méthodes, de s’adapter aux nouvelles menaces, pas aux citoyens d’accepter un état big brother. Et enfin, une sécurité absolue est impossible: il y aura toujours des attaques qui réussiront, quelque soient les précautions mises en oeuvre. Abandonner toute liberté, toute vie privée, cela revient à abandonner toute sécurité, mettez vous ça dans le crâne.

      • « Une surveillance ciblée, avec le concours de RG, services secrets, police, informateurs, etc, se fait déjà, si elle est inefficace »

        Mais ça, il s’en fout qu’il y ait déjà des politiques de surveillance. Ce qu’il veut, c’est abolir la liberté et le droit, car il s’est mis en tête que c’était mal.

  • un très bon article de H16 , qui pointe la mise au pas de nos libertés en particulier celui d’avoir une vie privée et cela sans l’intervention d’un juge où une mise en examen . de plus cette intrusion est faite par des organisations d’un état étranger qui par exemple bafouent le droit international tout les jours.
    cf par exemple l’amende et le procès fait à la BNP Paribas non parce que une filiale établie aux états unis aurais commercé avec l’Iran mais parce que la transaction à eu lieu en $

  • Je pense qu’il faudra un référendum pour dire ce que les gens veulent et qu’une grande majorité optera pour davantage de pouvoirs régaliens pour les états et donc plus de sécurité.
    Que vous le vouliez ou non, l’état policier sera inéluctable si l’evolution des technologies freine la lutte anti-terroriste .
    Autrefois, en temps de guerre on ouvrait certains courriers.Maintenant, confronté au terrorisme, je ne vois pas pourquoi on devrait empêcher l’inspection des disques durs ou les ecoutes telephoniques.

    Même si le terme « état policier » fait peur et qu’aucun politicien n’osera le proposer ouvertement, dans les faits il sera imposé

    • Et quelle serait la légitimité d’un tel referendum ? Aucune, sauf si seuls ceux qui ont voté OUI sont concernés par les diminutions de leurs libertés.

    • Référendum, majorité des votes, on s’en fout.

      Qu’une loi soit édicté par un roi, qu’elle soit édicté par des autorités religieuses (ex mollah en Iran), qu’elle soit voté par une majorité de députés, qu’elle soit voté par référendum, ce qui compte c’est que cette loi n’aille à l’encontre des droits fondamentaux de l’être humain.

      Ce n’est pas parce qu’une majorité décide de déporter une minorité que la loi est légitime.

    • Maintenant, confronté au terrorisme, je ne vois pas pourquoi on devrait empêcher l’inspection des disques durs ou les ecoutes telephoniques.

      L’écoute de personnes suspectées ou l’écoute de tout le monde?

  • Question comme cela:
    Les terroristes sont-ils capables de développer leur propre logiciel de cryptage.
    Ma réponse est oui.
    Alors, à quoi sert cette discussion?

    Cette interdiction me semble aussi stupide qu l’interdiction des mots croisés dans la presse, durant l’occupation, pour éviter les messages codés.

    • En fait pour être précis:
      C’est quoi un terroriste ?
      Un terroriste c’est un étranger (de préférence musulman) qui habite dans un pays non démocratique (quoi que pas toujours) qui peut éventuellement se prendre un missile de drone dans la tête (ou ailleurs).
      Un Etat démocratique, va décider sur ses propres critères l’échelle de dangerosité du dit terroriste et adapter le missile en fonction.
      Pendant ce temps des milliers de gens peuvent monter dans un avion, qui de toute façon, sera piégé si le terroriste le veut.
      On en revient au lois de la supériorité numérique et de la majorité qui décide pour une minorité qui explose. Que cette minorité soit d’ailleurs victime, ou terroriste, cela revient presque au même.

      • Pathétique de nier le terrorisme.
        Il y a toujours eu dans l’histoire de France des laches qui fuient devant l’ennemi et se donnent bonne conscience en disant « a quoi bon , de toute façon on ne peut rien faire ».
        Pitoyable ces loosers de m….

        • Et il y a surtout toujours eu des cons qui se croient investis de la mission de faire chier les autres au nom de chimères…

        • Il ne s’agit pas de nier le terrorisme, mais de le jauger à sa juste proportion, on ne monte pas des cathédrales pour 3 fidèles. Lorsque le monde sera tel que vous l’imaginez, ce qui reste possible, croyez moi, le terrorisme sera devenu le cadet de vos soucis.

        • Ben atchoum, vous n’avez qu’a aller faire la guerre en syrie liban mali irak ou ailleurs avec vos amis Doc, Dormeur, Grincheux, Simplet et les autres.

    • > Les terroristes sont-ils capables de développer leur propre logiciel de cryptage.

      Faire sa propre solution est généralement une mauvaise idée – mieux vaut utiliser quelque chose de public et audité (ce que n’était pas vraiment TrueCrypt, et ce qu’est encore moins BitLocker).

      C’est d’ailleurs arrivé à des terroristes qui avaient leur propre système, qui a été facilement cassé.

    • Les terroristes sont-ils capables de développer leur propre logiciel de cryptage.
      Ma réponse est oui.

      BIIIIP!

      Lessons learned and misconceptions regarding encryption and cryptology

      Don’t roll your own crypto.

      Don’t invent your own encryption algorithm or protocol; that is extremely error-prone. As Bruce Schneier likes to say,

      « Anyone can invent an encryption algorithm they themselves can’t break; it’s much harder to invent one that no one else can break ».
      Crypto algorithms are very intricate and need intensive vetting to be sure they are secure; if you invent your own, you won’t get that, and it’s very easy to end up with something insecure without realizing it.

      Instead, use a standard cryptographic algorithm and protocol. Odds are that someone else has encountered your problem before and designed an appropriate algorithm for that purpose.

      Your best case is to use a high-level well-vetted scheme: for communication security, use TLS (or SSL); for data at rest, use GPG (or PGP). If you can’t do that, use a high-level crypto library, like cryptlib, GPGME, Keyczar, or NaCL, instead of a low-level one, like OpenSSL, CryptoAPI, JCE, etc.. Thanks to Nate Lawson for this suggestion.

      http://security.stackexchange.com/a/2210/5133

      security.stackexchange.com est site que je recommande concernant les questions de sécurité informatique.

  • Je me suis moi même crypté, afin de ne plus me comprendre. Chose qui, bien entendu, est un gros problème pour l’Etat, les terroristes, mais surtout, pour moi même.

    De toute façon laissez tomber le cryptage, l’ordi quantique va vous le pulvériser en moins de 2. Reste bien entendu l’implant cérébral, et j’y pense fortement. Toutefois, cela ne résoudra pas mon premier problème.

    Il reste, finalement la bonne décision à prendre: un bon gros sac poubelle pour engloutir toute cette ferraille, ce nickel, ces métaux lourds, ces puces au silicium, ce carbone et autres substances très mignonnes pour se mettre enfin au sport, au plein air, à la vie pour « de vrai » en gros. (évitez de courir avec votre « smartphone », ainsi que de dormir au lit avec, et puis tant qu’à faire, supprimez moi ce compte face de plook)

    • ahaha! excellent Nelson !

      J’ai eu aussi cette réflexion mais cela posera problème dans un futur très proche où toute vie humaine (socialement et économiquement parlant) sera littéralement impossible sans être connecté.

      Sauf à vivre au fond du bois. Et à ce moment là, vos amis et votre famille diront que vous avez besoin d’un psychiatre et l’état vous trouvera suspect.

  • En français :

    crypter -> chiffrer
    cryptage, encryptage -> chiffrement (ou chiffre)

    C’était un message de l’Académie.

    Merci de votre attention.

  • Témoignage suite à un prêt d’argent acquis en 48 Heures
    je suis Mr louis de nationalité suisse , étant à la recherche de prêt d’argent entre particulier depuis plus de 3 mois, j’ai été beaucoup de fois dupée sur des site de prêt entre particulier en voulant fait un prêt entre particulier chez plusieurs personnes . Mais chaque fois je me suis faire avoir par des faux prêteurs et au finish je ne reçois rien sur mon compte. Mais heureusement je suis tombé sur Madame ROSE vraiment c’est une femme simple et aimable qui m’a aider a trouver mon prêt de 20.000€ que j’ai reçu sur mon compte 48 heures après sans trop de protocoles. Donc vous qui êtes dans le besoin comme moi vous pouvez lui écrire et lui expliquer votre situation il pourrait vous aider , je vous laisse son mail : roselapache@yahoo.fr

  • Attention h16, l’hypothèse la plus simple reste un ras le bol du développeur de la solution.
    Sinon, en solution open source fonctionnelle, vous avez diskcryptor.

  • Quel est le statut de AxCrypt?
    http://www.axantum.com/AxCrypt/Default.html
    Comme ce sont des Suédois ils ne tombent pas sous le coup du « Patriot Act ».

  • Bitlocker pour Windows, produit notoirement connu pour disposer de facilités spécifiques de décryptage pour les autorités américaines

    Il n’y a pas la moindre preuve de cela!

    il pourrait bien y avoir une grosse faille de sécurité, grosse au point que les développeurs ont préféré saborder leur outil plutôt que l’admettre ou tenter de la réparer

    et si la faille était le fait de ne pas savoir utiliser la puce de « trusted computing », contrairement à BitLocker, ce qui expose à une attaque par modification de l’environnement de démarrage?

    • Faut suivre le lien donné. Et il y en a pas mal d’autres.
      http://redmondmag.com/articles/2013/09/13/encryption-backdoor-by-fbi.aspx

      En gros, comme c’est un code proprio, aucune façon d’être sûr. Et par défaut, en sécurité informatique, quelque chose qui entretient un doute raisonnable (comme c’est le cas) est considéré comme non sûr = disposant d’une backdoor.

      • En gros, comme c’est un code proprio, aucune façon d’être sûr.

        Si on va par là, il n’y aucune façon d’être sûr avec TrueCrypt non plus…

        • simple-touriste : « Si on va par là, il n’y aucune façon d’être sûr avec TrueCrypt non plus… »
          ——————————-
          TrueCrypt est sûr parce que l’algorithme de codage et le code source sont publics, c’est un des principes de base de la cryptographie. Cf les exposés de Zimmermann, auteur de PgP, sur ce sujet. C’est idiot d’insinuer qu’un cryptage donc le code source n’est pas public (et donc non testé et validé par la communauté des mathématiciens et cryptanalystes) puisse être d’une quelconque façon comparable à un algorithme en open source.

          Tant qu’on n’a pas un moyen de décryptage assez puissant pour le casser (soit un nouveau développement mathématique, soit par un ordinateur quantique avec assez de Qbits, soit un bidulator capable de démontrer publiquement qu’il peut), TrueCrypt est 100% sûr.
          Donc pour l’instant, TrueCrypt est 100% sûr.

          • Sur un OS non libre, avec un BIOS non libre, avec des micrologiciels non libres partout et notamment sur le CPU, notamment concernant le MMU…

        • Sauf que TrueCrypt est/était libre.

          Ça ne garantie rien (on l’a vu avec OpenSSL), mais ça multiplie les possibilité d’audit du code, donc ça limite les risques.

          B.

      • Faut suivre le lien donné. Et il y en a pas mal d’autres.
        http://redmondmag.com/articles/2013/09/13/encryption-backdoor-by-fbi.aspx

        Oui :

        While Biddle denies building in a backdoor, his team worked with the FBI to teach them how they could possibly retrieve data, including targeting the backup encryption keys of users.

        Et?

        Est-il plausible qu’il y a une backdoor? Je dirais : à la rigueur.
        Est-ce avéré? certainement pas.

        Si une telle backdoor existe, combien de temps le gouvernement peut arriver à tenir ça secret?

    • Chic, des romains !

      Microsoft a clairement et officiellement mis à la disposition des forces de police un ensemble d’outils, appelé « COFEE », leur permettant de déjouer leur solution de cryptage Bitlocker. Ca, c’était en 2008, un bail quoi.
      Et de un.

      Snowden leeks, la confirmation à demi-mots de la NSA, les témoignages médiatisés de divers spécialistes américains de l’informatique et du cryptage, ce sont suffisamment de preuves que les puissances menacent notre vie privée et emploient pour cela des moyens dépassant de loin leurs prérogatives. H16 ne dit rien de plus que ce que l’on sait déjà à ce sujet, et s’interroge sur les raisons réelles qui auraient conduit Truecrypt à cette décision.
      Et de deux.

      Qu’un modeste usager comme vous ou moi puissent prétendre que des gars aguerris comme ceux de Truecrypt « ne savent pas utiliser la puce de trusted computing », quelle blague!
      Et de trois.
      Mais les bons petits soldats de la morale démocratique populaire ET réglementée seront toujours là pour vous dire que la réalité, c’est celle qu’ils ont décidée.
      Ils sont fous ces romains!

      • Microsoft a clairement et officiellement mis à la disposition des forces de police un ensemble d’outils, appelé « COFEE », leur permettant de déjouer leur solution de cryptage Bitlocker. Ca, c’était en 2008, un bail quoi

        Source?

        Qu’un modeste usager comme vous ou moi puissent prétendre que des gars aguerris comme ceux de Truecrypt « ne savent pas utiliser la puce de trusted computing », quelle blague!

        Donc vous prétendez que le logiciel TrueCrypt utilise le TPM?

        Où bien vous ne comprenez rien à ce que vous lisez?

      • Microsoft recently announced the availability of a computer forensic toolkit called « COFEE »: the Computer Online Forensic Evidence Extractor. According to Microsoft Senior Vice President and General Counsel, Brad Smith, this is a USB drive packed full of forensic tools for Windows. The goal is to allow a forensic examiner to collect data from a running system. (With regards to the power debate, there is no question about doing a power-on examination if the drive is likely encrypted.)

        According to the announcement, an examiner plugs the COFEE drive into the running system’s USB port. This gives provides access to a flood of tools for evaluating the system and collecting data before powering off the system.

        http://www.hackerfactor.com/blog/index.php?/archives/180-COFEE-and-Donuts.html

      • BitLocker Drive Encryption (BDE), the disk encryption feature available in Windows Vista, Windows Server 2008, and Windows 7, uses functions of the Trusted Computing platform if the computer has a Trusted Platform Module (TPM). The TPM allows software to seal data—encrypt them using a key stored inside the TPM—such that unsealing requires the same TPM again and a particular state of essential components. During the boot process, these components—for instance the BIOS and boot loader of the operating system—and the TPM work together to establish an audit trail of measurements of the current state of the system. The TPM refuses to unseal data if the current state of the system differs from the reference state specified when sealing the data.

        http://testlab.sit.fraunhofer.de/content/output/project_results/bitlocker_skimming/

        Alors, est-ce que TrueCrypt peut faire ça?

  • J’ai de plus en plus l’impression que nos états imposent une sorte d’état d’urgence permanent depuis le 11 septembre…Vouloir remettre cela en cause sera bientôt passible de prison ,d’exécution voir de supplice…Quelle sera la prochaine étape?

    • Le 11/09 et la lutte contre le terrorisme est largement un prétexte. Cela fait maintenant des décennies que la NSA cherche à surveiller tout le monde et à affaiblir la qualité des système de chiffrement grand public.

    • Très simple:

      tuez un homme vous serez coupable de meurtre.
      tuez en 1000 vous serez un héro.

      C’est en gros la devise de nos démocraties.

      Et remarquez que ça marche « aussi » avec l’argent.
      Volez un porte monnaie vous irez en prison, volez un petit milliard par ci, par là, vous serez un champion !

      Moralité, si vous faites un truc, pensez grand.

    • « J’ai de plus en plus l’impression que nos états imposent une sorte d’état d’urgence permanent depuis le 11 septembre… » Clairement.

      Cela va même plus loin que la menace terroriste, on invoque constamment des menaces de toutes sortes et à tout propos, du plan sanitaire au plan climatique, sans parler de la constante complainte hypnotique de la « crise économique », le tout servant toujours de prétexte à une action salvatrice de l’état, avec de nouvelles lois, réglementations, et interdictions en tout genre…

      Mais nous ne sommes pas en crise! En récession peut-être, en baisse de croissance, mais pas en « crise »! Serions-nous vraiment en crise, que ce serait une toute autre histoire. Les grecs en savent quelque chose, et ce n’est pas le pire exemple.

      • En effet, suite à la menaçante grippe AH1N1 (qui a fait nettement moins de victimes qu’une grippe normale), un plan avait été prévu pour faire face à un état de guerre, avec des tribunaux modifiés, des trucs hallucinant.

        Même un grand type comme André Aurengo n’y a pas vu de problème, à croire que l’Académie de médecine rend con.

    • J’ai de plus en plus l’impression que nos états imposent une sorte d’état d’urgence permanent depuis le 11 septembre…

      Au fait, on est au niveau de risque terroriste super écarlate, maintenant?

  • Beaucoup de libéraux ne veulent pas que les États en savent trop sur eux (et c’est toujours trop), sans se rendre compte que tous les commerces, banques, supermarchés, sociétés de services en ligne et autres multinationales en savent infiniment plus en croisant quelques mails, quelques banques de données et quelques flux financiers (auxquels les États n’ont pas forcément accès).
    Qui d’entre tous ces derniers et les premiers sont les plus à craindre pour notre liberté chérie ?

    • Bonjour Aliani
      L »état mon général. car il a le monopole de la contrainte, contrairement aux entreprises privées.

    • Beaucoup de libéraux ne veulent pas que les États en sachent trop sur eux…

    • 1) La surveillance de l’Etat ne remplace pas la surveillance privée mais au contraire il la facilite, la rend souvent obligatoire et s’y surajoute. Pour donner un seul exemple : l’Etat français incite fortement les gens à avoir un compte bancaire courant et à s’en servir le plus souvent possible en limitant les transactions en liquide, il interdit les comptes anonyme et il centralise les informations de toutes les banques pour pouvoir consulter ces informations plus facilement.

      2) Si vous êtes mécontent d’une politique de vie privée d’une entreprise vous pouvez allez-voir ailleurs. Rien n’est plus simple que de se passer de Facebook ou de Gmail par exemple. Essayez donc de vous passez des « services » de la NSA (même le fumeux « tu es libre de partir du pays » ne fonctionne pas ici).

    • Oui, et les multinationales les obtiennent parce qu’on les leur donne volontairement.

      Mais peut-être, justifiez-vous le viol d’une femme au prétexte qu’elle couche avec tout le monde ?

      • Mais peut-être, justifiez-vous le viol d’une femme au prétexte qu’elle couche avec tout le monde ?

        C’est le genre de raisonnements que j’ai entendu venant de juriste de la HADOPI (je ne retrouve pas la source).

    • Qui veut combattre l’anonymat en ligne?

      Qui a dit :

      Nous travaillons avec XXX (…) pour éviter la tranquillité de l’anonymat qui permet de dire des choses innommables sans être retrouvé

      ?

      Qui a tenté d’interdire les blogs dont l’auteur n’est pas identifié?

      Hint : http://tempsreel.nouvelobs.com/politique/20100529.OBS4670/anonymat-des-blogueurs-quand-le-senateur-cachait-son-identite.html

      Qui exige des FAI la conservation des données de connexion?

      CHAPITRE IER : DISPOSITIONS RELATIVES AUX REQUISITIONS JUDICIAIRES PREVUES PAR LE II DE L’ARTICLE 6 DE LA LOI N° 2004 575 DU 21 JUIN 2004

      Les données mentionnées au II de l’article 6 de la loi du 21 juin 2004 susvisée, que les personnes sont tenues de conserver en vertu de cette disposition, sont les suivantes :
      1° Pour les personnes mentionnées au 1 du I du même article et pour chaque connexion de leurs abonnés :
      a) L’identifiant de la connexion ;
      b) L’identifiant attribué par ces personnes à l’abonné ;
      c) L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès ;
      d) Les dates et heure de début et de fin de la connexion ;
      e) Les caractéristiques de la ligne de l’abonné ;
      (…)

      http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023646013&categorieLien=id

      Ces obligations s’appliquent-elles aussi aux point d’accès gratuits?

      Hint : https://www.cdse.fr/wifi-et-conservation-des-donnees.html

      2. Qui est concerné par la loi ?

      Il s’agit de toutes « personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit ».

      Qui prétend défendre la vie privée avec la loi « Informatique et liberté », mais exige la conservation longue d’informations personnelles, conservation susceptible de violer la vie privée?

      Les « données de trafic » sont les informations techniques générées par l’utilisation des réseaux de communications tels qu’internet. Il s’agit par exemple de l’adresse IP de l’ordinateur (n° identifiant chaque ordinateur connecté à internet) utilisé, de la date, de l’heure et de la durée de chaque connexion ou encore des informations permettant d’identifier le destinataire d’une communication (par exemple le numéro de téléphone appelé).

      En principe, ces informations doivent être effacées ou rendues anonymes. Cependant, certains textes législatifs et réglementaires permettent de déroger à cette règle et imposent au contraire de les conserver dans le but de permettre la recherche et la poursuite des infractions pénales.

      http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/conservation-des-donnees-de-trafic/

    • Qui a freiné la standardisation de la crypto dans les protocoles Internet?

      Tu crois que si la plupart des protocoles de l’Internet (décrits par les RFC) ont été conçus pour fonctionner par défaut en clair, même quant il y a une authentification avec mot de passe (souvent envoyé en clair), même quand des données par nature privées sont échangées (comme des courriels), c’est juste parce que les concepteurs n’ont pas pensé une seconde que ça pourrait poser problème que tout circule en clair?

      Au fait, qui a considérer la cryptographie comme une munition?

      Hint : https://en.wikipedia.org/wiki/Export_of_cryptography_from_the_United_States

      Qui a décidé que la crypto devait être réservée aux militaires (et autres services de l’Etat)? Et qu’il fallait une autorisation pour publier un logiciel de crypto?

      Quel pays réglemente encore en 2014 la publication de logiciels de crypto?

      En revanche, la fourniture, le transfert depuis ou vers un Etat membre de la Communauté européenne, l’importation et l’exportation de ces moyens sont réglementés lorsque ces moyens n’assurent pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité. Ces opérations sont soumises soit au régime de la déclaration, soit au régime de l’autorisation.

      http://www.ssi.gouv.fr/fr/reglementation-ssi/cryptologie/

      Tu crois que ce genre d’obligation et de complication législative est de nature à encourager l’usage de la crypto dans le plus de logiciels possibles?

    • Ah oui, et qui interdit de payer de « grosses » sommes en espèces, ce qui rend les échanges traçables par les banques?

      http://vosdroits.service-public.fr/particuliers/F10999.xhtml

      (La limite n’est pas la même selon que le domicile fiscal est en France ou non.)

      Qui cherche à dévaloriser le Bitcoin dans l’opinion publique, à l’associer au trafic de drogue et au terrorisme?

      Hint : http://www.banque-france.fr/fileadmin/user_upload/banque_de_france/publications/Focus-10-stabilite-financiere.pdf

      Qui cherche à combattre un système basé sur des pseudonymes (Bitcoin), pour ne laisser aux internautes que les paiements par CB ou par PayPal (ou autres intermédiaires), système qui permet à ces intermédiaires de savoir comment une personne dépense son argent?

      • Je comprends que les liens activent le filtre antispam automatiquement, mais franchement les liens vers WP, service-public.fr, banque-france.fr, *.gouv.fr, cnil.fr, ça pourrait passer en non-spam automatiquement, non?

    • A vous lire on voit que la France reste un pays de « collabos ».

      Ou plutôt d’esclaves, avec cette faiblesse psychologique de vouloir se placer toujours du coté du plus fort (ic l’Etat), c’est si confortable.

  • D’après http://www.globalsecuritymag.fr/Vigil-nce-TrueCrypt-multiples,20140430,44664.html

    Un attaquant peut effectuer un brute-force sur un volume chiffré, avec un entête PBKDF2, afin de le déchiffrer

    « un entête PBKDF2 »????

    Mais qui a produit ce gloubiboulga?

    • Ce n’est pas du gloubiboulga du tout.

    • « Un attaquant peut effectuer un brute-force sur un volume chiffré, avec un entête PBKDF2, afin de le déchiffrer »
      ————-
      ça signifie qu’on peut « attaquer » un fichier ou un disque crypté par Truecrypt en essayant tous les mots de passe jusqu’à ce que ça marche.
      En clair, ça signifie que si l’on a de la chance au Loto, on peut gagner. Sacré scoop !

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

Ah, le charme tranquille de Paris alors que l’été s’est installé et que beaucoup de ses habitants sont partis, loin, en vacance ! Pas de doute, il règne actuellement sur la capitale française cette ambiance décontractée qu’on n’avait plus connue depuis des années…

Pourtant, ce n’était pas gagné d’avance. Il y a de cela à peine quelques mois, la presse donnait une image assez peu rassurante de la vie parisienne, et y notait par exemple une hausse assez marquée de l’insécurité : cambriolages, coups et blessures, vols et dégradations volo... Poursuivre la lecture

Mettre en prison des développeurs qui conçoivent des outils de cryptage revient à mettre en prison des fabricants de coffres, au prétexte qu'ils seraient trop solides et opaques.

 

Une mécanique de la surveillance a lieu depuis 20 ans toujours de la même manière. La surveillance est confinée sur des personnes, des lieux ou des évènements précis. Puis, une fois socialement acceptée, elle se généralise pour tout le monde.

 

Construire une prison à ciel ouvert

Ainsi vous, honnête citoyen, êtes déjà traqué co... Poursuivre la lecture

La vie en France est décidément pleine de rebondissements ! Jugez plutôt.

En une semaine, on découvre par exemple que des récidivistes multi-condamnés sont trimballés dans de petites fourgonnettes de prisons en tribunaux avec une protection minimaliste, ceci permettant les actions les plus violentes aboutissant à la mort de trois personnels pénitentiaires lors d’une évasion sanglante.

On découvre de même qu’étrangler une contrôleuse SNCF peut entraîner de la prison avec sursis à condition d’être un migran... Poursuivre la lecture

Voir plus d'articles