Group items tagged

"La start-up américaine Silent Circle, basée à Washington, propose depuis quelques semaines un service de cryptage intégral de toutes les formes de correspondance électronique : appels téléphoniques par mobile ou ordinateur, SMS, e-mails, visioconférences."

POur Poul-Henning Kamp, la cryptographie et la vie privée ne peuvent fonctionner que si les deux fonctionnent en bonne intelligence. A l'heure de la surveillance massive, beaucoup estime que le cryptage des données est la soluion. Poul-Henning Kamp, prend le contrepied de cette affirmation : le développement de la crypto, risque de rendre la crise de la vie privée encore plus difficile. D'abord, certains pays ont voté des lois qui permet à la police d'emprisonner des gens jusqu'à ce qu'ils révèlent leurs codes cryptographiques. Dans de nombreux pays, certaines personnes n'ont pas les mêmes droit à la vie privée que d'autres (pensez notamment aux prisonniers, mais peut-être aussi aux employés. Enfin, le chiffrement peut être brisé, surtout si un pays est capable d'utiliser tous les moyens disponibles pour cela. En fait, le cryptage ne fonctionne que si les deux extrémités y travaillent en toute bonne foi. Mais peut-on être assuré de la bonne foi des entreprises technologiques ? Poul-Henning Kamp n'a pas confiance dans son smartphone et ses secrets, ni dans les failles possible du code source... permettant d'installer des portes dérobées. Pour lui, la réponse doit être politique, elle ne peut-être technique.

Des scientifiques du laboratoire de Toshiba ont annoncé avoir développé une technique de cryptage qui permet d'étendre une protection à un petit groupe d'utilisateurs d'ordinateurs. Certes, depuis les révélations de la NSA, les chercheurs soulignent que le système n'empêche pas l'écoute, mais il sait déclencher une alerte si c'est le cas.

Pour Trevor Pott, tout les outils sur lesquels nous travaillons chaque jour sont construits par quelqu'un d'autre. Ce qui nécessite d'avoir confiance dans les instruments que nous utilisons quotidiennement. Prenons l'exemple des mots de passe pour s'authentifier sur un service. Nous savons tous qu'ils craignent. Nous continuons à utiliser des mots de passe facile à se remémorer et donc facile à craquer, même si on nous a 1000 fois répéter le contraire. L'usage du double facteur d'identification est certes à la hausse, mais il pose un vrai problème d'arbitrage entre la sécurité et l'usabilité. Chaque jour nous ouvrons des centaines de sessions, nous connectons à nombre de réseaux, plusieurs fois, ce qui nécessite d'entrer et reentrer des dizaines de fois nos mots de passe. Si nous devions passer à l'authentification à double facteur cela nous prendrait deux fois plus de temps. Cela s'annonce insoutenable. L'autre alternative est donc un gestionnaire de mots de passe.  Il en existe de deux types : ceux qui sont installés sur votre système local et ceux qui stockent vos données sur un système distant. Mais nous avons désormais plusieurs machines, ce qui rend obsolète le gestionnaire local. La seule solution est donc dans le système distant. Je peux donc utiliser un service dans les nuages comme LastPass - https://lastpass.com : il vous suffit alors de vous souvenir d'un seul mot de passe (celui de lastpass) pour que vos outils accèdent à tous vos services. La seconde option consiste à créer un lastpass que vous hébergez sur un serveur qui vous appartient, mais aucun logiciel qui permette cela n'est au niveau, notamment en terme de facilité d'utilisation. Ces 2 options posent chacune un problème. Le magasin central des mots de passe de LastPass doit être particulièrement protégé, même s'il utilise une technologie de cryptage efficace. Ce que montre le cas de l'affaire Prism de la NSA c'est que le gouvernement pourrait avoir accè

Voici la vidéo de la conférence donnée par Jacob Appelbaum au Chaos Communication Congress le 30 Décembre 2013. C'est technique, un peu compliqué parfois mais c'est très important pour comprendre l'ampleur de ce qui se passe après les révélations de Snowden. La NSA installe un totalitarisme des données en faisant non seulement du Deep packet inspection mais aussi du Deep Packet Injection. Ils dupliquent toute l'infrastructure internet pour leur surveillance totale en veillant à maintenir un internet non sécurisé en exploitant toutes les backdoors de toutes les produits et logiciels des entreprises américaines (toutes !) : depuis les mails, les contacts (contact chaining system Marina), mais aussi le BIOS, le disque dur et même l'ordinateur que vous commandez par la poste. Tous les détails techniques des produits sont présentés, un Great Firewall of Earth est en train d'être mis en place. Face à cela, une seule solution nous dit Appelbaum : un cryptage généralisé, certes mais associé à une solution politique, nous dit-il avec sagesse, pour rendre explicitement illégales toutes ces activités.

Wessel van Rensburg revient sur le dernier livre d'Evgeny Morozov qui dénonçait le fait que l'échangede nos données contre l'accès gratuit aux services nous mène inexorablement à l "apocalypse de l'information", c'est-à-dire à la fois à la surveillance, à la perte d'autonomie voir même à la fin de la démocratie... Wessel van Rensburg critique un point très particulier de l'argumentation de Morozov, le fait que la gratuité empêche à nos échanges d'être cryptés de bout en bout, afin de pouvoir y développer des services spécifiques. Pour Wessel van Rensburg l'absence de cryptographie est surtout liée à la mauvaise ergonomie que génèrent ces services. Est-ce pour autant une raison pour rejeter le cryptage ? Et si le design s'intéressait au sujet pour voir comment améliorer l'expérience utilisateur ? Peut-être que van Rensburg a raison et que Morozov met peut-être un peu vite de côté, ce qui nous pousse à partager et échanger ?

Alors que la NSA tente de mettre sur pied un ordinateur quantique pour casser tous les systèmes de chiffrages, la société ID quantique propose un système de cryptage permettant de changer de clef toutes les minutes et de voir qui tente de les casser.

Un service email crypté...

Depuis les révélations de Snowden, beaucoup de techniciens, à l'image de Bruce Schneier, se posent la question de comment déjouer, par des moyens techniques et le plus rapidement possible, la surveillance de masse qui s'est mise en place, explique Amaelle Guiton. À propos Hackers, le livre 11 novembre 2013 Politique du chiffre Que faire lorsqu'une agence de renseignement américaine, manifestement bien aidée par ses petites camarades européennes, a - dixit Bruce Schneier, s'exprimant mercredi dernier lors de l'assemblée plénière de l'Internet Engineering Task Force, l'organisation qui rassemble les ingénieurs du réseau - « transformé l'Internet en une gigantesque plate-forme de surveillance » ? Le problème, a-t-il ajouté, est « robuste politiquement, légalement et techniquement ». Il l'est d'autant plus que, la question étant fondamentalement politique - quelle « sécurité nationale », pour qui, comment, avec quel contrôle -, toute réponse technique est en dernière analyse une réponse politique, pas seulement dans ses attendus, mais aussi dans ses conséquences. Depuis quelques mois, il y a réaffirmation par beaucoup de « techniciens » - du moins beaucoup de ceux qui s'expriment publiquement - d'une volonté de déjouer, par des moyens techniques et le plus rapidement possible, la surveillance de masse. La qualification « de masse » est tout sauf accessoire : on n'entend pas grand-monde dire qu'il faut empêcher toute surveillance en enlevant tout moyen aux autorités d'intercepter des communications. Certains le pensent sans doute (j'y reviendrai), mais la surveillance ciblée me semble être considérée comme un coût socialement acceptable, ou à tout le moins une fonction classique du pouvoir, ce qui n'est pas le cas de la surveillance indiscriminée et généralisée. "Les moyens techniques envisagés, depuis les tuyaux jusqu'à l'utilisateur final, se rangent, pour simp

Comment répondre à la surveillance de masse dont nous sommes l'objet ? Comment rendre plus opaque les données qui circulent sur le réseau ? interrogeait Bruce Schneier à la dernière conférence de l'IETF. Chiffrer par défaut les protocoles existants, intégrer des outils de chiffrement directement dans nos navigateurs... Sur les autoroutes de l'information, tout le monde circulera en voiture blindée... Cela ne rendra pas les données incassables ou illisibles, mais devrait limiter la surveillance de masse en la rendant plus difficile et plus coûteuse. Mais cela a aussi des conséquences : il nous faudra acquérir des certificats électroniques, gérer nos multiples clés... Bref, générer un usage plus complexe. Un internet plus sûr, c'est aussi un internet plus difficile à débugger et donc plus fragile (au spams, aux pannes...). Les ingénieurs de l'IETF se sont fixés des objectifs précis : atteindre 100% de chiffrement pour un protocole de messagerie instantanée et 90 % pour le trafic web en 2016. Ambitieux ! Mais si les standards qui mettent en place les protocoles sont transparents, ce n'est pas le cas des outils qui les mettent en oeuvre, rappelle Amaelle Guiton.

Le designer Matthew Plummer-Fernandez a imaginé un moyen de corrompre les fichiers 3D via un logiciel afin qu'ils ne soient pas repérer par les algorithmes de reconnaissances de formes qui s'apprêtent à protéger les formes des objets en empêchant leurs téléchargement. Les fichiers modifiés peuvent être lus via une clé permettant de leur rendre leur apparence originelle. L'idée du designer était de de trouver un moyen pour combattre les poursuites pour violation du droit d'auteur et du droit des marques qui commencent à s'intéresser aux fichiers 3D, empêchant de reproduire une figure de Mickey ou une chaise Ikea...

"Une semaine après avoir lancé le projet Dark Mail Alliance, les fondateurs de Lavabit et Silent Circle, deux services de messagerie sécurisée, ont démarré lundi une campagne de financement participatif pour concrétiser leur projet d'un "mail 3.0", c'est-à-dire entièrement sécurisé." http://www.kickstarter.com/projects/ladar/lavabits-dark-mail-initiative Signalons également les projets similaires Mailpil : http://www.mailpile.is/ et Caliiop : http://www.caliop.net/is-email-dead-surveillance-inevitable-introducing-project-caliop/

"Une semaine après avoir lancé le projet Dark Mail Alliance, les fondateurs de Lavabit et Silent Circle, deux services de messagerie sécurisée, ont démarré lundi une campagne de financement participatif pour concrétiser leur projet d'un "mail 3.0", c'est-à-dire entièrement sécurisé." http://www.kickstarter.com/projects/ladar/lavabits-dark-mail-initiative Signalons également les projets similaires Mailpil : http://www.mailpile.is/ et Caliiop : http://www.caliop.net/is-email-dead-surveillance-inevitable-introducing-project-caliop/