Une tempête a soufflé la semaine dernière sur Internet. Oh, pas une de ces tempêtes médiatiques basée sur un lolcat truculent, un président enscooterifié ou un buzz médiatique facile, et c’est probablement pour cela que vous n’en avez pas entendu parler. Il n’en reste pas moins que ce qui s’est passé autour de Truecrypt est particulièrement intéressant.
Avant d’aller plus loin, rappelons que Truecrypt est un logiciel gratuit, dont le code source est disponible, qui permet de chiffrer des données sur un disque dur. Le chiffrage est ainsi fait que l’utilisateur légitime, qui fournit son mot de passe au démarrage de la machine, ne voit pas la différence avec un disque dur normal (non chiffré) ; l’encryptage est réalisé à la volée, de façon transparente pour le système d’exploitation ou l’utilisateur. En revanche, un utilisateur qui ne dispose pas de la clé d’accès ne pourra pas lire le disque ainsi chiffré.
Ce logiciel existe depuis une dizaine d’années, et son mode de fonctionnement très simple mais efficace lui a valu une excellente renommée auprès de ses millions d’utilisateurs. Le cryptage utilisé (qui peut être basé sur AES, Serpent et Twofish) est suffisamment solide pour que le FBI, notamment, ne parvienne pas à le casser dans une affaire financière où des disques, saisis comme pièces à conviction, n’ont pas livré leurs secrets après des mois d’analyse par le bureau fédéral américain.
C’est donc avec consternation que mercredi 31 mai, la page officielle du logiciel qui présentait le produit a été remplacée par une page rudimentaire expliquant essentiellement que Truecrypt n’est pas sûr, et que l’utiliser ne permet pas d’assurer la confidentialité de ses données. La consternation est d’autant plus grande que l’ensemble du message est rédigé et signé avec les clés habituelles des développeurs officiels du produit, et qu’il invite les utilisateurs à se rabattre sur Bitlocker pour Windows, produit notoirement connu pour disposer de facilités spécifiques de décryptage pour les autorités américaines. Or, jusqu’à présent, Truecrypt avait pour lui d’avoir résisté à l’épreuve du temps en n’ayant jamais présenté de grandes vulnérabilités. En outre, un audit de la cryptographie utilisée est actuellement en cours pour déterminer sa solidité générale. Les failles rapportées en avril dernier ne montraient en tout cas rien qui permette de classer le produit comme à ce point dangereux à utiliser. D’ailleurs, l’un des pontes de la cryptographie, Bruce Schneier, expliquait récemment continuer à utiliser le produit malgré les quelques problèmes découverts.
Le reste de l’audit permettra peut-être de trouver une faille suffisamment importante pour remettre en cause le modèle utilisé par Truecrypt depuis 2004, année de son apparition, mais on peut légitimement en douter. En tout cas, les exécutables des versions historiques, disponibles sur la version précédente du site avant ce revirement dramatique, n’ont pas montré d’anomalies douteuses.
La situation est donc particulièrement étrange puisqu’on découvre qu’une équipe, qui a travaillé pendant dix ans sur un produit qui a déjà largement prouvé son efficacité, vient de saborder complètement son travail en redirigeant ses utilisateurs vers des alternatives douteuses. Les rumeurs vont évidemment bon train sur les forums spécialisés, mais essentiellement, trois hypothèses surnagent au milieu des différentes possibilités plus ou moins farfelues :
– D’une part, il pourrait bien y avoir une grosse faille de sécurité, grosse au point que les développeurs ont préféré saborder leur outil plutôt que l’admettre ou tenter de la réparer. C’est évidemment une réaction très étrange d’autant que le code source, largement disponible, aurait permis une correction rapide par la communauté des développeurs intéressés à la survie et à la maintenance du projet.
– D’autre part, il pourrait s’agir d’une méthode de la part de l’équipe de développement pour laisser tomber tout support du produit, et inciter (par la peur, donc) le reste du monde à reprendre en charge le développement. Cette hypothèse intéressante est développée ici, et permet en tout cas de relativiser la disparition de la page officielle et des codes sources des précédentes versions. Du reste, internet étant ce qu’il est, on trouve facilement des bibliothèques qui contiennent toutes les versions de Truecrypt jusqu’à mercredi dernier.
– Enfin, la nouvelle page du site rapidement bricolée tendrait à faire penser à un « warrant canary », expression américaine utilisée dans un cas assez spécifique de législation américaine : en substance, lorsqu’un fournisseur de service reçoit une assignation secrète (essentiellement celles en lien avec le Patriot Act, article 18 U.S.C. §2709(c)), il lui est interdit de divulguer à des tiers son statut légal (grossièrement équivalent à une mise en examen), mais il peut, sur demande d’un client, indiquer si, sur une période donnée, il n’était pas sujet à une telle assignation. Par analogie, l’acte étrange de l’équipe de développement de Truecrypt serait une forme de mise en garde minimaliste permettant de prévenir les utilisateurs que l’ensemble de l’équipe a subi des menaces ou des pressions de la part d’une organisation gouvernementale et qu’à ce titre, l’ensemble des développements de Truecrypt est sujette à caution.
L’avenir dira peut-être ce qu’il en est exactement, mais au-delà des péripéties qui secouent actuellement le monde de la cryptographie et celui, plus large, des logiciels de chiffrement de disques à la volée, on peut néanmoins noter qu’encore une fois, la communauté Internet a prouvé sa capacité d’organisation. En effet, moins d’une semaine après l’annonce surprise de l’abandon de Truecrypt est apparu un nouveau site, Truecrypt.ch, dont les auteurs entendent reprendre le flambeau, incorporer les corrections éventuelles que l’audit, toujours en cours, auraient jugées nécessaires, et maintenir le code actuel. On ne peut, à ce stade, présumer de la capacité de ce binôme de développeurs à maintenir le code et le produit, mais leur prompte réaction montre en tout cas que le chiffrement de données personnelles est une idée jugée suffisamment importante pour mobiliser rapidement les énergies.
Et c’est le cas : d’un côté, nous avons des institutions gouvernementales dont les moyens grossissent de façon exponentielle, et dont le but ultime est bien de tout savoir sur vos plus intimes motivations, vos convictions religieuses, politiques ou sentimentales. Pour celles-là, la cartographie précise de chaque être humain est devenu un préalable non seulement nécessaire mais aussi techniquement réalisable (ce qui est encore plus effrayant) à leur soif inextinguible de contrôle. Ces institutions ne reculeront devant aucun moyen pour vous ficher, quand bien même (de l’aveu même de ceux qui y travaillent) la masse de données résultante ne leur sera pas utile pour remplir leur ordre de mission officiel. Terrorisme, crimes et délits, oubliez ça : ces technologies servent d’abord et surtout à surveiller tout le monde.
De l’autre, il n’existe guère que ces moyens cryptographiques pour se préserver quelques domaines de vie vraiment privée, où l’État et ses agences ne pourront venir mettre leurs yeux. Il est donc absolument impératif que des systèmes voient le jour, soient maintenus et massivement utilisés pour assurer à chaque humain un minimum de protection contre les grandes oreilles gouvernementales.
Cette affaire Truecrypt montre encore une fois qu’aucune technologie n’est acquise, aucune sécurité n’est trop forte contre les moyens que déploient les États pour asservir leurs populations. Et cette affaire montre aussi, heureusement, que nombreux sont ceux qui en ont conscience et qui sont prêts à sacrifier leur temps et leur savoir pour calmer les ardeurs gouvernementales.
—-
Sur le web
Personnellement et quitte à passer ici pour un naze , j’utilise Bitlocker de Microsoft.
L’articla zappe totalement la lutte contre le terrorisme qui est la motivation première des autorités américaines pour mettre des obstacles à toute forme d’encryptage des données pouvant porter atteinte à la sécurité des états.
De ce fait j’approuve la possibilité offerte aux servies secrets d’avoir accès au déchiffrage des données.
Ce sont des états forts qui nous protègeront du terrorisme et personne d’autre.
C’est vrai sauf qu’ils n’ont jamais rien empêché !
L’attentat de Boston, ben pas pu l’empêcher.
Mera, pas pu l’empêcher.
Nemmouche, pas pu l’empêcher.
Alors bien sur, on peut mettre une puce dans chaque citoyen. Ca doit être votre souhait pour être en « sécurité ».
Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux. »
Benjamin Franklin
Tu prétends qu’aucun attentat n’a été évité?
Jamais?
Tu as des sources?
Si ça l’était, les gouvernements seraient trop content d’avoir de quoi justifier leurs politiques liberticides.
Si un attentat a été évité sans aucun recours à un système de surveillance global, je ne vois pas bien comment ça justifie PRISM et compagnie.
Ces personnes ont bien été neutralisées. Cela évite qu’elles récidivent.
Grace à des traces informatiques dans le cas de Mohamed Merah (il a laissé l’adresse IP de l’accès Internet de sa mère sur le site leboncoin.fr).
Merci @Simple-touriste de faire la démonstration de l’inutilité totale de programmes tels que PRISM. Des milliards de dollars dépensés pour (soit disant) nous protéger des dangereux terroristes cachés sous nos lits, alors que n’importe quel nono peut trouver une adresse IP.
Vous mesurez comment le succès de toute cette surveillance ?
Lorsqu’il n’y a pas de récidives ?
La police du 19eme siècle faisait ça très bien sans mettre une puce dans le corps de tout le monde.
Pour moi, les attentats de Boston, Merah, etc sont la preuve de l’inefficacité de la surveillance.
Je ne mesure pas le succès de PRISM, vu que je ne sais pas ce que la NSA en retire comme substantifique moelle!
Les nazis ne disaient pas autre chose. Le problème est que ça a dérivé, parce que ça dérive toujours.
Aujourd’hui vous êtes dans le bon camp. Si demain vous êtes pour x raisons dans le mauvais camp, ce que vous dites aujourd’hui se retournera contre vous.
Avec un Etat fort, se retrouver terroriste présumé coupable est facile.
Au fil des siècles, les services secrets ont développé de nombreuses techniques pour retrouver de l’information. La plus facile a toujours été d’ouvrir le courrier avant livraison, avec les abus associés.
Donc ça doit rester interdit, et s’ils trouvent le moyen de le faire discrètement, pas de problème, mais c’est à leurs risques et périls. Sinon on peut aussi bien légitimer l’assassinat légal des terroristes etc, mais les dommages collatéraux arrivent vite.
atchoum: « Ce sont des états forts qui nous protègeront du terrorisme et personne d’autre. »
Quel sens des priorités,
On a plus de chance de gagner au loto que d’être victime de terrorisme et cela alors que les services secrets ne peuvent pas encore décoder tous notre correspondance grâce à des outils comme truecrypt.
En bref tu es prêts à jeter toutes tes libertés et ta vie privée au nom d’une chimère de sécurité.
Je suis sûr que vous savez de quoi vous parlez, mais « des outils comme truecrypt » peut induire en erreur certains lecteurs :
TrueCrypt n’a rien à voir avec la protection de la correspondance (courriels) : il protège en cas de vol (ou saisie par la Justice) d’un disque dur, dans un ordinateur éteint.
Pour protéger les courriels, il y a GnuPG. Attention, cela ne protège pas les métadonnées (= qui communique avec qui, à quelle fréquence, à quelles dates).
simple-touriste: « TrueCrypt n’a rien à voir avec la protection de la correspondance (courriels) »
Container truecrypt déguisé en image jpg envoyée par mail par exemple.
« On a plus de chance de gagner au loto que d’être victime de terrorisme »
Cela pourrait changer.
Mais là n’est pas l’essentiel: Le terrorisme veut, et obtient, des changements de notre culture, de nos usages, de nos institutions.
On n’est pas en guerre contre le terrorisme, ni contre les chars ou quelque autre moyen d’imposer un ordre social. C’est contre cet ordre qu’on est en guerre, pas contre les moyens que ses partisans emploient pour nous y plier.
Serez-vous victime d’un attentat terroriste ? C’est très improbable.
Un de vos proches ? Ce l’est moins
Aurez-vous à vous soumettre à une forme de charia ?
Ça, c’est probable, et c’est même commencé.
Ca fait belle lurette que les terroristes ont compris qu’il ne fallait pas utiliser des moyens de communication traçables. Les « états forts » le savent d’ailleurs fort bien.
Atchoum : vous approuvez et vous argumentez, c’est donc votre choix. Par contre, je n’ai pas vu la case « je n’approuve pas », si vous la voyez elle va intéresser du monde.
Votre argument est recevable mais se heurte à certaines réalités, qui définit le terrorisme ? C’est la même chose que « riche », définition vague, il suffit à un gouvernement de décréter qu’avec 2500€/mois vous l’êtes pour vous prélever d’avantage d’impôt.
Il y a plein de définitions différentes, mais aucune n’est aussi vague que « riche ».
Cette définition ne semble pas extensible et déformable à volonté, par exemple :
https://fr.wikipedia.org/wiki/D%C3%A9finition_du_terrorisme
Simple touriste, vous sites « ne semble pas… », donc un conditionnel. Par ailleurs, vous avez découvert Wiki et me sortez une définition toute faite, zut alors, je n’y avais pas pensé. Encore une fois, QUI définit le terrorisme (pas QUOI) la nuance vous a échappé ?
Les gens qui sont à Guantánamo (entre autre) êtes vous bien certain qu’ils répondent à votre jolie définition ?
« vous avez découvert Wiki »
non…
« me sortez une définition toute faite »
Je vous démontre qu’il est tout à fait possible d’utiliser des définitions qui ne permettent pas d’étendre la portée à volonté.
« Encore une fois, QUI définit le terrorisme »
Qui fait les lois?
« Les gens qui sont à Guantánamo (entre autre) êtes vous bien certain qu’ils répondent à votre jolie définition ? »
Je ne vois pas bien le rapport. Ils sont suspects de crimes ou de complicité de crimes.
Je suis certain qu’ils ne sont pas juste suspectés d’avoir dit que Bush est un gros con et Obama encore plus.
Vous prétendez qu’il faut supprimer la police, parce qu’il y a des abus policiers?
Vous prétendez qu’il faut supprimer la loi, parce que la loi pourrait empiéter sur vos libertés?
Vous êtes anarchiste?
Bien sûr…il n’y a qu’à voir la Suisse (Etat minimal) et bien d’autres pays sans « patriot act » qui sont envahis de légions de terroristes.
Heureusement en France, l’Etat régente tout, regarde tout, mais oublie de protéger les individus contre les terroristes à la Merah. Mais comme les gens n’ont pas le droit de se défendre seuls, ça arrange bien le gouvernement.
« Ce sont des états forts qui nous protègeront du terrorisme et personne d’autre. »
Et aussi nous protéger du complot juif et des invasions aliens ?
Allez, statistiquement par rapport aux chiffres mondiaux, vous avez 4 fois plus de risques de mourir foudroyé que de mourir dans un attentat. Et en occident, on est bien en dessous de la moyenne mondiale…
Est-ce que l’action des services antiterroristes n’est pas justement la cause du fait qu’il y a peu de risque de mourir (ou d’être blessé) dans un attentat terroriste?
Comme la poudre anti-éléphants est la cause de l’absence d’éléphants en Europe ?
C’est pas le réchauffement climatique qui a fait fuir les éléphants? :O
Le réchauffement qui refroidit tout ?
Oui, les glaciers de l’Antarctique se détachent, fondent et refroidissent l’eau, qui gèle, donc les éléphants sont enrhumés à cause de la grippe porcine, et il faut les abattre, c’est pour ça que les éléphants sont une espèce menacée.
J’ai bon?
Donc vous utilisez un logiciel moins sur parce que si vous devenez un terroriste vous voudriez que le gouvernent puisse accéder à vos données ? Ou alors vous espérez qu’en utilisant un logiciel moins sur vous donnez l’exemple au terroriste, et qu’ainsi on pourra accéder à leurs données ?
J’avoue ne pas comprendre votre logique.
Non.
Il ne veut pas cautionner une entreprise pro-vie privée des terroristes en lui donnant de l’arg… de la notor… bref en consommant un truc pas kascher.
Venant de Microsoft, il est possible que bitlocker posséde des backdoors…
Par contre, je désapprouve totalement la possibilité au services secrets d’avoir accés au déchiffrage des données.
Cela va se finir par une guerre cryptographique en bonne et due forme sur le net, conflit perdu d’avance pour les états.
Personnellement je crypte déjà mes données sensibles, passe sous vpn quand nécessaire, le fait de crypter fortement l’intégralité de mes flux internet, ou de basculer sur un darknet entièrement crypté ne me pose aucun problème de conscience.
Au final, si quelqu’un veux vraiment passer inaperçu, il le fera, quelque que soit l’argent public gaspillé dans l’interception du trafic.
Il est aussi possible que Windows possède des backdoors (ou des failles involontaires exploitables).
Il est aussi possible que le BIOS possède des backdoors (ou des failles involontaires exploitables).
Il est aussi possible que le micrologiciel de gestion de la mémoire possède des backdoors (ou des failles involontaires exploitables).
Etc.
« Venant de Microsoft, il est possible que bitlocker posséde des backdoors… »
« il est possible » ? Vous êtes sérieux quand vous doutez ?
Juste à prendre Skype comme exemple et vos doutes s’estomperons dans la seconde.
Skype possède des backdoors?
Tous les scénarios sont possible, en effet.
Il y a eu une génération qui n’a pas hésité à proposer des solutions et éventuellement se heurter aux différentes autorités régulatrices, autorités et lois qui du reste ont surgit au fur et à mesure que des solutions telles Truecrypt prenaient corps, c’est dire si ça dérange du monde.
Désormais, il est à craindre que pour essayer de protéger sa vie privée, il soit nécessaire d’en passer par des solutions de plus en plus exotiques, ce qui aura pour effet de marginaliser tous les créateurs de ces solutions.
Big Dta, Big Brother, Orwellien en diable.
C’est pire que ça Salamanque: aujourd’hui aux US, parler de vie privée et de vouloir la protéger est considéré comme suspect. Une sorte de soutien indirect au terrorisme.
c’est un combat idiot , d’un coté on demande plus de transparence pour les états et de l’autre l’individu exige de protéger ses secrets..hors les états sont des milliers d’individus encore plus suspects que les citoyens ‘normaux’..
N’oublions pas ce qu’à dit Ben Laden lorsqu’il a parlé du « talon d’Achille » du monde occidental qui est notre attachement aux libertés individuelles mais qui offre à Al Qaida un « boulevard » pour developper son activité de terrorisme destabilisateur.
Quand je lit des inepties issues de la politique de l’autruche: comme on a plus de chance de gagner au loto que d’être victime du terrorisme
Allez dire cela à la communauté juive de France qui se demande si demain elle ne va pas devoir quitter ce pays.
Bonjour atchoum
Un classique.
« Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux. »
Benjamin Franklin
Roooh, les vilains sophismes…
En tous cas, dans nos pays auxquels vous reprochez ce boulevard à terrorisme qu’est la liberté individuelle, il y a infiniment moins d’attentats qu’ailleurs. Oh zut, zut et rezut, tout votre raisonnement idiot et paranoïaque tombe à l’eau… Peut-être préférez vous vivre en Iran ou en Corée du Nord, ces pays sans liberté et donc bien plus surs ?
« Allez dire cela à la communauté juive de France »
Il est tout de même difficile de dire quelque chose à une communauté.
Atchoum , il apparaît que c’est en prison , donc sous le contrôle de l’Etat que les terroristes recrutent..,
Et vous vous en redemander encore plus ?…
Si un jour un représentant de l’état vous met un fusil dans les mains, et, vous désignant un quidam, vous déclare: « cet individu tient un discours anti-gouvernemental, il est une menace pour ta sécurité, pour notre sécurité à tous, tire! » Ce jour là, vous tirerez sur le quidam?
Votre légitimation de l’intrusion de l’état dans notre vie privée ne vaut pas mieux. Si vous voulez abandonner votre liberté à l’état, faites-vous soldat ou je ne sais quoi, et allez casser du barbu au Nigéria. Mais vous n’avez aucun droit, pas plus que l’état, de dire aux autres qu’ils devraient abandonner leur vie privée sous quelque prétexte que ce soit.
Et allez dire à la communauté juive qu’on va passer à la loupe leur vie privée sous prétexte de les protéger, on verra comment vous serez reçu.
Comme si laisser libre accès à votre correspondance, vos comptes bancaires, vos communications, allait empêcher des fous terroristes de passer à l’acte… soutenir ce genre d’argument inepte ne peut être le fait que de menteurs (l’état), ou d’idiots complets (genre vous).
Une surveillance ciblée, avec le concours de RG, services secrets, police, informateurs, etc, se fait déjà, si elle est inefficace, c’est à l’état de revoir ses méthodes, de s’adapter aux nouvelles menaces, pas aux citoyens d’accepter un état big brother. Et enfin, une sécurité absolue est impossible: il y aura toujours des attaques qui réussiront, quelque soient les précautions mises en oeuvre. Abandonner toute liberté, toute vie privée, cela revient à abandonner toute sécurité, mettez vous ça dans le crâne.
« Une surveillance ciblée, avec le concours de RG, services secrets, police, informateurs, etc, se fait déjà, si elle est inefficace »
Mais ça, il s’en fout qu’il y ait déjà des politiques de surveillance. Ce qu’il veut, c’est abolir la liberté et le droit, car il s’est mis en tête que c’était mal.
un très bon article de H16 , qui pointe la mise au pas de nos libertés en particulier celui d’avoir une vie privée et cela sans l’intervention d’un juge où une mise en examen . de plus cette intrusion est faite par des organisations d’un état étranger qui par exemple bafouent le droit international tout les jours.
cf par exemple l’amende et le procès fait à la BNP Paribas non parce que une filiale établie aux états unis aurais commercé avec l’Iran mais parce que la transaction à eu lieu en $
La BNP aurait truqué les pièces établissant les transactions, ce qui motive la dureté de la sanction.
Je pense qu’il faudra un référendum pour dire ce que les gens veulent et qu’une grande majorité optera pour davantage de pouvoirs régaliens pour les états et donc plus de sécurité.
Que vous le vouliez ou non, l’état policier sera inéluctable si l’evolution des technologies freine la lutte anti-terroriste .
Autrefois, en temps de guerre on ouvrait certains courriers.Maintenant, confronté au terrorisme, je ne vois pas pourquoi on devrait empêcher l’inspection des disques durs ou les ecoutes telephoniques.
Même si le terme « état policier » fait peur et qu’aucun politicien n’osera le proposer ouvertement, dans les faits il sera imposé
Et quelle serait la légitimité d’un tel referendum ? Aucune, sauf si seuls ceux qui ont voté OUI sont concernés par les diminutions de leurs libertés.
Référendum, majorité des votes, on s’en fout.
Qu’une loi soit édicté par un roi, qu’elle soit édicté par des autorités religieuses (ex mollah en Iran), qu’elle soit voté par une majorité de députés, qu’elle soit voté par référendum, ce qui compte c’est que cette loi n’aille à l’encontre des droits fondamentaux de l’être humain.
Ce n’est pas parce qu’une majorité décide de déporter une minorité que la loi est légitime.
L’écoute de personnes suspectées ou l’écoute de tout le monde?
Question comme cela:
Les terroristes sont-ils capables de développer leur propre logiciel de cryptage.
Ma réponse est oui.
Alors, à quoi sert cette discussion?
Cette interdiction me semble aussi stupide qu l’interdiction des mots croisés dans la presse, durant l’occupation, pour éviter les messages codés.
En fait pour être précis:
C’est quoi un terroriste ?
Un terroriste c’est un étranger (de préférence musulman) qui habite dans un pays non démocratique (quoi que pas toujours) qui peut éventuellement se prendre un missile de drone dans la tête (ou ailleurs).
Un Etat démocratique, va décider sur ses propres critères l’échelle de dangerosité du dit terroriste et adapter le missile en fonction.
Pendant ce temps des milliers de gens peuvent monter dans un avion, qui de toute façon, sera piégé si le terroriste le veut.
On en revient au lois de la supériorité numérique et de la majorité qui décide pour une minorité qui explose. Que cette minorité soit d’ailleurs victime, ou terroriste, cela revient presque au même.
Pathétique de nier le terrorisme.
Il y a toujours eu dans l’histoire de France des laches qui fuient devant l’ennemi et se donnent bonne conscience en disant « a quoi bon , de toute façon on ne peut rien faire ».
Pitoyable ces loosers de m….
Et il y a surtout toujours eu des cons qui se croient investis de la mission de faire chier les autres au nom de chimères…
Il ne s’agit pas de nier le terrorisme, mais de le jauger à sa juste proportion, on ne monte pas des cathédrales pour 3 fidèles. Lorsque le monde sera tel que vous l’imaginez, ce qui reste possible, croyez moi, le terrorisme sera devenu le cadet de vos soucis.
Lorsque le monde sera tel qu’il se l’imagine, il est possible qu’il devienne terroriste….
Ben atchoum, vous n’avez qu’a aller faire la guerre en syrie liban mali irak ou ailleurs avec vos amis Doc, Dormeur, Grincheux, Simplet et les autres.
> Les terroristes sont-ils capables de développer leur propre logiciel de cryptage.
Faire sa propre solution est généralement une mauvaise idée – mieux vaut utiliser quelque chose de public et audité (ce que n’était pas vraiment TrueCrypt, et ce qu’est encore moins BitLocker).
C’est d’ailleurs arrivé à des terroristes qui avaient leur propre système, qui a été facilement cassé.
BIIIIP!
Lessons learned and misconceptions regarding encryption and cryptology
http://security.stackexchange.com/a/2210/5133
security.stackexchange.com est site que je recommande concernant les questions de sécurité informatique.
Je me suis moi même crypté, afin de ne plus me comprendre. Chose qui, bien entendu, est un gros problème pour l’Etat, les terroristes, mais surtout, pour moi même.
De toute façon laissez tomber le cryptage, l’ordi quantique va vous le pulvériser en moins de 2. Reste bien entendu l’implant cérébral, et j’y pense fortement. Toutefois, cela ne résoudra pas mon premier problème.
Il reste, finalement la bonne décision à prendre: un bon gros sac poubelle pour engloutir toute cette ferraille, ce nickel, ces métaux lourds, ces puces au silicium, ce carbone et autres substances très mignonnes pour se mettre enfin au sport, au plein air, à la vie pour « de vrai » en gros. (évitez de courir avec votre « smartphone », ainsi que de dormir au lit avec, et puis tant qu’à faire, supprimez moi ce compte face de plook)
ahaha! excellent Nelson !
J’ai eu aussi cette réflexion mais cela posera problème dans un futur très proche où toute vie humaine (socialement et économiquement parlant) sera littéralement impossible sans être connecté.
Sauf à vivre au fond du bois. Et à ce moment là, vos amis et votre famille diront que vous avez besoin d’un psychiatre et l’état vous trouvera suspect.
Il parait que le fait de ne pas être sur Facebook vous classe comme asocial!
En français :
crypter -> chiffrer
cryptage, encryptage -> chiffrement (ou chiffre)
C’était un message de l’Académie.
Merci de votre attention.
Et « décrypter », c’est déchiffrer sans connaitre la clé de chiffrement.
Témoignage suite à un prêt d’argent acquis en 48 Heures
je suis Mr louis de nationalité suisse , étant à la recherche de prêt d’argent entre particulier depuis plus de 3 mois, j’ai été beaucoup de fois dupée sur des site de prêt entre particulier en voulant fait un prêt entre particulier chez plusieurs personnes . Mais chaque fois je me suis faire avoir par des faux prêteurs et au finish je ne reçois rien sur mon compte. Mais heureusement je suis tombé sur Madame ROSE vraiment c’est une femme simple et aimable qui m’a aider a trouver mon prêt de 20.000€ que j’ai reçu sur mon compte 48 heures après sans trop de protocoles. Donc vous qui êtes dans le besoin comme moi vous pouvez lui écrire et lui expliquer votre situation il pourrait vous aider , je vous laisse son mail : roselapache@yahoo.fr
Allo la terre?
Contrepoints, H16, vous bougez vos miches?
Attention h16, l’hypothèse la plus simple reste un ras le bol du développeur de la solution.
Sinon, en solution open source fonctionnelle, vous avez diskcryptor.
Autrement dit, les auteurs ont voulu troller le monde entier.
C’est réussi!
Quel est le statut de AxCrypt?
http://www.axantum.com/AxCrypt/Default.html
Comme ce sont des Suédois ils ne tombent pas sous le coup du « Patriot Act ».
Il n’y a pas la moindre preuve de cela!
et si la faille était le fait de ne pas savoir utiliser la puce de « trusted computing », contrairement à BitLocker, ce qui expose à une attaque par modification de l’environnement de démarrage?
Faut suivre le lien donné. Et il y en a pas mal d’autres.
http://redmondmag.com/articles/2013/09/13/encryption-backdoor-by-fbi.aspx
En gros, comme c’est un code proprio, aucune façon d’être sûr. Et par défaut, en sécurité informatique, quelque chose qui entretient un doute raisonnable (comme c’est le cas) est considéré comme non sûr = disposant d’une backdoor.
Si on va par là, il n’y aucune façon d’être sûr avec TrueCrypt non plus…
simple-touriste : « Si on va par là, il n’y aucune façon d’être sûr avec TrueCrypt non plus… »
——————————-
TrueCrypt est sûr parce que l’algorithme de codage et le code source sont publics, c’est un des principes de base de la cryptographie. Cf les exposés de Zimmermann, auteur de PgP, sur ce sujet. C’est idiot d’insinuer qu’un cryptage donc le code source n’est pas public (et donc non testé et validé par la communauté des mathématiciens et cryptanalystes) puisse être d’une quelconque façon comparable à un algorithme en open source.
Tant qu’on n’a pas un moyen de décryptage assez puissant pour le casser (soit un nouveau développement mathématique, soit par un ordinateur quantique avec assez de Qbits, soit un bidulator capable de démontrer publiquement qu’il peut), TrueCrypt est 100% sûr.
Donc pour l’instant, TrueCrypt est 100% sûr.
Sur un OS non libre, avec un BIOS non libre, avec des micrologiciels non libres partout et notamment sur le CPU, notamment concernant le MMU…
Sauf que TrueCrypt est/était libre.
Ça ne garantie rien (on l’a vu avec OpenSSL), mais ça multiplie les possibilité d’audit du code, donc ça limite les risques.
B.
Oui :
Et?
Est-il plausible qu’il y a une backdoor? Je dirais : à la rigueur.
Est-ce avéré? certainement pas.
Si une telle backdoor existe, combien de temps le gouvernement peut arriver à tenir ça secret?
Chic, des romains !
Microsoft a clairement et officiellement mis à la disposition des forces de police un ensemble d’outils, appelé « COFEE », leur permettant de déjouer leur solution de cryptage Bitlocker. Ca, c’était en 2008, un bail quoi.
Et de un.
Snowden leeks, la confirmation à demi-mots de la NSA, les témoignages médiatisés de divers spécialistes américains de l’informatique et du cryptage, ce sont suffisamment de preuves que les puissances menacent notre vie privée et emploient pour cela des moyens dépassant de loin leurs prérogatives. H16 ne dit rien de plus que ce que l’on sait déjà à ce sujet, et s’interroge sur les raisons réelles qui auraient conduit Truecrypt à cette décision.
Et de deux.
Qu’un modeste usager comme vous ou moi puissent prétendre que des gars aguerris comme ceux de Truecrypt « ne savent pas utiliser la puce de trusted computing », quelle blague!
Et de trois.
Mais les bons petits soldats de la morale démocratique populaire ET réglementée seront toujours là pour vous dire que la réalité, c’est celle qu’ils ont décidée.
Ils sont fous ces romains!
Source?
Donc vous prétendez que le logiciel TrueCrypt utilise le TPM?
Où bien vous ne comprenez rien à ce que vous lisez?
http://www.laissemoichercherca.com/?q=Microsoft%20COFEE
J’ai pas trouver d’équivalent sur d’autre moteur de recherche, donc ça sera google.
Je veux bien qu’il soit important de sourcer ses propos, mais y a un moment ou quand on donne le nom exact et la date, faut pas déconner non plus.
http://lmgtfy.com/?q=monsanto+poison+food
Hint : sur le Web, parfois, des gens racontent des conneries. Si si, ça arrive!
http://www.hackerfactor.com/blog/index.php?/archives/180-COFEE-and-Donuts.html
http://testlab.sit.fraunhofer.de/content/output/project_results/bitlocker_skimming/
Alors, est-ce que TrueCrypt peut faire ça?
J’ai de plus en plus l’impression que nos états imposent une sorte d’état d’urgence permanent depuis le 11 septembre…Vouloir remettre cela en cause sera bientôt passible de prison ,d’exécution voir de supplice…Quelle sera la prochaine étape?
Le 11/09 et la lutte contre le terrorisme est largement un prétexte. Cela fait maintenant des décennies que la NSA cherche à surveiller tout le monde et à affaiblir la qualité des système de chiffrement grand public.
Très simple:
tuez un homme vous serez coupable de meurtre.
tuez en 1000 vous serez un héro.
C’est en gros la devise de nos démocraties.
Et remarquez que ça marche « aussi » avec l’argent.
Volez un porte monnaie vous irez en prison, volez un petit milliard par ci, par là, vous serez un champion !
Moralité, si vous faites un truc, pensez grand.
« J’ai de plus en plus l’impression que nos états imposent une sorte d’état d’urgence permanent depuis le 11 septembre… » Clairement.
Cela va même plus loin que la menace terroriste, on invoque constamment des menaces de toutes sortes et à tout propos, du plan sanitaire au plan climatique, sans parler de la constante complainte hypnotique de la « crise économique », le tout servant toujours de prétexte à une action salvatrice de l’état, avec de nouvelles lois, réglementations, et interdictions en tout genre…
Mais nous ne sommes pas en crise! En récession peut-être, en baisse de croissance, mais pas en « crise »! Serions-nous vraiment en crise, que ce serait une toute autre histoire. Les grecs en savent quelque chose, et ce n’est pas le pire exemple.
En effet, suite à la menaçante grippe AH1N1 (qui a fait nettement moins de victimes qu’une grippe normale), un plan avait été prévu pour faire face à un état de guerre, avec des tribunaux modifiés, des trucs hallucinant.
Même un grand type comme André Aurengo n’y a pas vu de problème, à croire que l’Académie de médecine rend con.
Au fait, on est au niveau de risque terroriste super écarlate, maintenant?
Beaucoup de libéraux ne veulent pas que les États en savent trop sur eux (et c’est toujours trop), sans se rendre compte que tous les commerces, banques, supermarchés, sociétés de services en ligne et autres multinationales en savent infiniment plus en croisant quelques mails, quelques banques de données et quelques flux financiers (auxquels les États n’ont pas forcément accès).
Qui d’entre tous ces derniers et les premiers sont les plus à craindre pour notre liberté chérie ?
Bonjour Aliani
L »état mon général. car il a le monopole de la contrainte, contrairement aux entreprises privées.
Beaucoup de libéraux ne veulent pas que les États en sachent trop sur eux…
1) La surveillance de l’Etat ne remplace pas la surveillance privée mais au contraire il la facilite, la rend souvent obligatoire et s’y surajoute. Pour donner un seul exemple : l’Etat français incite fortement les gens à avoir un compte bancaire courant et à s’en servir le plus souvent possible en limitant les transactions en liquide, il interdit les comptes anonyme et il centralise les informations de toutes les banques pour pouvoir consulter ces informations plus facilement.
2) Si vous êtes mécontent d’une politique de vie privée d’une entreprise vous pouvez allez-voir ailleurs. Rien n’est plus simple que de se passer de Facebook ou de Gmail par exemple. Essayez donc de vous passez des « services » de la NSA (même le fumeux « tu es libre de partir du pays » ne fonctionne pas ici).
Oui, et les multinationales les obtiennent parce qu’on les leur donne volontairement.
Mais peut-être, justifiez-vous le viol d’une femme au prétexte qu’elle couche avec tout le monde ?
C’est le genre de raisonnements que j’ai entendu venant de juriste de la HADOPI (je ne retrouve pas la source).
Qui veut combattre l’anonymat en ligne?
Qui a dit :
?
Qui a tenté d’interdire les blogs dont l’auteur n’est pas identifié?
Hint : http://tempsreel.nouvelobs.com/politique/20100529.OBS4670/anonymat-des-blogueurs-quand-le-senateur-cachait-son-identite.html
Qui exige des FAI la conservation des données de connexion?
CHAPITRE IER : DISPOSITIONS RELATIVES AUX REQUISITIONS JUDICIAIRES PREVUES PAR LE II DE L’ARTICLE 6 DE LA LOI N° 2004 575 DU 21 JUIN 2004
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023646013&categorieLien=id
Ces obligations s’appliquent-elles aussi aux point d’accès gratuits?
Hint : https://www.cdse.fr/wifi-et-conservation-des-donnees.html
Qui prétend défendre la vie privée avec la loi « Informatique et liberté », mais exige la conservation longue d’informations personnelles, conservation susceptible de violer la vie privée?
http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/conservation-des-donnees-de-trafic/
Qui a freiné la standardisation de la crypto dans les protocoles Internet?
Tu crois que si la plupart des protocoles de l’Internet (décrits par les RFC) ont été conçus pour fonctionner par défaut en clair, même quant il y a une authentification avec mot de passe (souvent envoyé en clair), même quand des données par nature privées sont échangées (comme des courriels), c’est juste parce que les concepteurs n’ont pas pensé une seconde que ça pourrait poser problème que tout circule en clair?
Au fait, qui a considérer la cryptographie comme une munition?
Hint : https://en.wikipedia.org/wiki/Export_of_cryptography_from_the_United_States
Qui a décidé que la crypto devait être réservée aux militaires (et autres services de l’Etat)? Et qu’il fallait une autorisation pour publier un logiciel de crypto?
Quel pays réglemente encore en 2014 la publication de logiciels de crypto?
http://www.ssi.gouv.fr/fr/reglementation-ssi/cryptologie/
Tu crois que ce genre d’obligation et de complication législative est de nature à encourager l’usage de la crypto dans le plus de logiciels possibles?
Ah oui, et qui interdit de payer de « grosses » sommes en espèces, ce qui rend les échanges traçables par les banques?
http://vosdroits.service-public.fr/particuliers/F10999.xhtml
(La limite n’est pas la même selon que le domicile fiscal est en France ou non.)
Qui cherche à dévaloriser le Bitcoin dans l’opinion publique, à l’associer au trafic de drogue et au terrorisme?
Hint : http://www.banque-france.fr/fileadmin/user_upload/banque_de_france/publications/Focus-10-stabilite-financiere.pdf
Qui cherche à combattre un système basé sur des pseudonymes (Bitcoin), pour ne laisser aux internautes que les paiements par CB ou par PayPal (ou autres intermédiaires), système qui permet à ces intermédiaires de savoir comment une personne dépense son argent?
Je comprends que les liens activent le filtre antispam automatiquement, mais franchement les liens vers WP, service-public.fr, banque-france.fr, *.gouv.fr, cnil.fr, ça pourrait passer en non-spam automatiquement, non?
A vous lire on voit que la France reste un pays de « collabos ».
Ou plutôt d’esclaves, avec cette faiblesse psychologique de vouloir se placer toujours du coté du plus fort (ic l’Etat), c’est si confortable.
D’après http://www.globalsecuritymag.fr/Vigil-nce-TrueCrypt-multiples,20140430,44664.html
« un entête PBKDF2 »????
Mais qui a produit ce gloubiboulga?
Ce n’est pas du gloubiboulga du tout.
Qu’est-ce qu’un « entête PBKDF2 »?
Il y a une norme d’entête de fichiers nommée « PBKDF2 »?
« Un attaquant peut effectuer un brute-force sur un volume chiffré, avec un entête PBKDF2, afin de le déchiffrer »
————-
ça signifie qu’on peut « attaquer » un fichier ou un disque crypté par Truecrypt en essayant tous les mots de passe jusqu’à ce que ça marche.
En clair, ça signifie que si l’on a de la chance au Loto, on peut gagner. Sacré scoop !
Les commentaires sont fermés.