Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites". Attention, le forum rencontre actuellement quelques difficultés. En cas d'erreur 502, il ne faut pas re-valider l'envoi d'un message ou l'ouverture d'une discussion, au risque de créer un doublon.

La section divers se réorganise ! De nouvelles sous-sections à venir. (plus d'infos + donner son avis)

#1 Le 13/06/2014, à 00:20

moko138

Sécurité : fantasme et réalisme

Ces derniers temps, on a pu remarquer plusieurs fils s'interrogeant sur la sécurité avec Linux.
Et - mais ce n'est qu'un exemple - sur un autre fil de ce forum, j'ai lu ceci :

Il parait, du moins pour les usa, que des services interceptent des livraisons entières d'ordinateurs pour les trafiquer puis les ré emballer sans que personne ne s'en aperçoivent.

  Arrrêtons de fantasmer. Au pays-phare du capitalisme, on ne va pas procéder ainsi : trop coûteux.
Il est infiniment plus simple et moins coûteux de s'arranger directement avec :
- les quelques industriels qui fabriquent les machines,
- les quelques concepteurs de puces (de bios, de cartes-réseau, de HDD, de téléphones etc.),
- les quelques transporteurs de flux,
- les quelques FAI par pays,
- les quelques fabricants d'antivirus,
- les quelques fabricants de satellites de télécom,
- les quelques concepteurs-distributeurs d'OS.

=====

Il faut regarder les choses avec réalisme, donc momentanément prenons d'autres lunettes :
  Les puissants s'entr'aident par intérêt :
  Comment imaginer une seconde qu'un homme seul (Steve, Bill, Mark, "Hubert les conils" ou, en France, Francis père, Jean-Luc père, Claude, Vincent ou autre) puisse bâtir un empire en vingt-cinq ans sans passer quelques accords verbaux de coopération avec les services de renseignement (S.R.) de son pays ?

  Chaque banque a un service de "renseignements commerciaux". Lequel peut fournir des "blancs" officieux provenant des S.R., tout simplement parce qu'il est dirigé par un ancien de la police ou des S.R. auxquels, en échange de bons procédés, il fournit des renseignements bancaires.

  Si un jeune industriel veut croître et prospérer, il doit évidemment dire oui aux S.R. Sinon il sait bien que ses banques vont trouver plus charmant son concurrent. Et que c'est ce dernier qui bénéficiera de facilités bancaires.
  Pause rigolade : de temps en temps une entreprise traverse un grain, puis elle est sauvée, smile youpie ! cool (Ou pas : AOM-Air Littoral, mais  on ne va quand même pas se remuer les miches pour à peine cinq mille chômeurs d'un coup). A côté de ça - vous allez rire - y a le cas Alcatel. Ça fait vingt-cinq ans qu'on nous explique qu'Alcatel traverse de graves, très graves, difficultés et qu'ils ne peuvent pas s'en sortir sauf miracle. Et paf ! comme John Wayne, Alcatel est toujours là à la fin du film. Je vous avais prévenus qu'il y aurait un happy end ! smile
  Et en bonus, qu'est-ce qu'il fait, Alcatel ? des modems et des câbles sous-marins. Quelle excellente comédie...
  Puisque vous avez lu patiemment, je vous offre une série de devinettes :
Si je m'appelle Thierry Breton,
me suis-je formé à Supélec (ingéniérie paramilitaire) ?
oui, bravo !
et à l'IHEDN (l'Institut des Hautes Études de Défense Nationale) ?
oui, re-bravo !
ai-je été conseiller pour l'informatique d'un ministre de l'Éducation nationale-futur président du Sénat ?
oui ? re-re bravo !
ai-je été ministre de l'Économie, des Finances et de l'Industrie ?
Et oui, vous avez encore donné la bonne réponse !
ai-je été administrateur de Bouygues ?
Oui, encore un bonne réponse !
du CNES (satellites) ?
Oui, encore un bonne réponse !
de La Poste ?
Oui ? Rrôôô, bra-vooo !
ai-je été patron de Thomson ?
Oui, encore un bonne réponse !
puis de France Télécom-Wanadoo-Orange ?
Oui, encore un bonne réponse ! Vous êtes vraiment très très fort !
  Toutes ces entreprises gèrent-elles le transit de vos mails et données, quel que soit votre O.S. ?
Oui ! Ce n'était pas une comédie mais un diptyque ! lol

N'y a-t-il pas un salmigondis entre pouvoirs militaire, économique, médiatique et exécutif ?
  Si vous avez répondu "oui" ou "non", vous avez hélas perdu ! La bonne réponse était :
"il faudrait vérifier la définition de "salmigondis" dans le Grand Dictionnaire de cuisine d'Alexandre Dumas."
  FIN de la pause.

  Donc, supposer que les S.R. ne surveillent pas le trafic de la toile comme celui du téléphone me semblerait absurde.
  Reste le cas de quelques suspects qui de plus ont un pc jamais connecté à la toile : pour ceux-là, évidemment que les S.R. font du sur-mesure.
C'est de ce cas tout à fait marginal que parle l'extrait du Spiegel résumé par Numerama :

Numerama a écrit :

De façon beaucoup plus artisanale, et sans doute plus anecdotique, le Spiegel affirme que le TAO dispose d'une unité capable d'intercepter les commandes d'ordinateurs ou d'accessoires, pour contourner les colis avant leur livraison. Ils en profiteraient alors pour ouvrir proprement les paquets, installer un moyen d'écoute (logiciel ou matériel) sur les produits, et renvoyer le tout au destinataire. L'objectif serait alors de pouvoir intercepter des données sur des ordinateurs qui ne sont pas connectés à Internet. [C'est moi qui souligne.]

  Mais ce n'est jamais que la forme moderne du renseignement postal que pratiquaient déjà (pour la France) Colbert et Louvois.
  C'est une pratique certainement aussi vieille que la messagerie pédestre fluviale, maritime ou à dos de chameau. Donc pluri-millénaire.
Et qui n'est pas près de s'arrêter, qu'on le veuille ou non.

D'ailleurs, si vous étiez le patron des S.R. de votre pays, que feriez-vous quand votre ministre de tutelle vous demanderait une synthèse sur les menaces pesant sur la sécurité des institutions, des personnes et des biens ?

  Donc un backdoor contre linux, je n'en imagine pas un seul. Plutôt quelques dizaines ou centaines de moyens d'interception.

=====

Revenons au point de vue de l'utilisateur :
  Vous êtes soucieux de protéger votre confidentialité et celle de vos correspondants ?
- Donc bien entendu vos messages ne transitent jamais en clair, n'est-ce pas ?
- Bien entendu, vous avez votre propre serveur de messagerie. Et vous l'hébergez chez vous, dans un local dont vous seul avez la clef et le mot de passe, à l'abri du feu, d'un dégât des eaux à l'étage supérieur, et d'un cambriolage.
- Bien entendu, votre carte réseau n'utilise que du matériel libre.
- Bien entendu, votre carte-mère a un bios libre, n'est-ce pas ?
- Bien entendu, vous écrivez des caractères aléatoires sur tous les secteurs non alloués ou marqués comme défectueux de chacun de vos disques et clefs usb.
- Bien entendu, toutes vos partitions sont chiffrées, swaps comprises.
- Bien entendu, vous utilisez une distribution sans SELinux élaboré avec la participation de la NSA (donc pas *buntu).
- Bien entendu, vous n'utilisez pas l'uefi,
- Bien entendu, si vous utilisez grub2, du moins avez-vous décommenté, dans /etc/default/grub la 2ème de ces 2 lignes :

# Uncomment if you don't want GRUB to pass "root=UUID=xxx" parameter to Linux
#GRUB_DISABLE_LINUX_UUID=true

Marrant, depuis le temps que je fréquente ce forum, je n'ai jamais  remarqué une question sur cette ligne ! big_smile
- Et vous avez un fstab sans UUID non plus, n'est-ce pas ?
- Bien entendu, vous ne naviguez pas sans bloqueur sélectif de javascripts, n'est-ce pas ?
- Bien entendu, vous utilisez votre fichier hosts pour empêcher les sites indésirables de sortir vos données de votre pc, n'est-ce pas ?
- Bien entendu, vous avez étudié sous toutes ses coutures la réponse mi-chèvre mi-chou de Linus Torvalds dans cette interview où on lui demandait si la NSA lui avait demandé de modifier le noyau.
- Bien entendu, quand vous envoyez une photo ou autre fichier sur la toile, votre premier soin est de l'anonymiser, n'est-ce pas ?
- Pour info, en 2013 j'ai branché une clef usb à un mac : ce dernier a ajouté sur ma clef un dossier caché de cinq mégaoctets. Sur ce sujet non plus, je n'ai rien remarqué sur le forum.
Donc bien entendu, quand vous êtes obligé de connecter un périphérique usb à un autre pc que le vôtre, vous n'utilisez que des clefs usb verrouillées (tiens, on n'en trouve presque plus, de verrouillable ! Mais c'est certainement une initiative unilatérale convergente et simultanée de tous les fabricants, due au seul hasard...) Ou des cartes-mémoire verrouillées (pourquoi en trouve-t-on encore ?)
- Bien entendu, vous fuyez les réseaux dits "sociaux" et vous vous débrouillez pour que vos amis n'y parlent pas de vous, n'est-ce pas ?.

  N'est-ce pas que, vous qui êtes soucieux de protéger vos données, votre profil, et, encore une fois, vos correspondants, vous prenez toutes ces précautions ?
N'est-ce pas ?

  Si oui, je suppose que vous mentez comme un arracheur de dents - je ne sais même pas si ça existe, une carte réseau à composants entièrement libres - ou que vous êtes un professionnel de la sécurité, auquel cas, dans ma liste vous observez surtout des trous, parce que je ne suis pas un pro de la sécu ni des réseaux.
  Si non, continuez à fantasmer...

Dernière modification par moko138 (Le 13/06/2014, à 03:13)

Hors ligne

#2 Le 13/06/2014, à 01:24

melixgaro

Re : Sécurité : fantasme et réalisme

salut,

... et bien entendu, vous ne postez pas sur un forum (genre ubuntu-fr wink), ne commentez pas les articles lus ici ou là, n'achetez pas sur tel ou tel site marchand... big_smile

Vraiment merci moko pour ce message bien écrit !


Utilisateur Linux depuis ~2007 : Mandriva 2007 => Ubuntu 8.04 => Ubuntu 8.10 => Opensuse 10 => Ubuntu 9.10 => Fedora 11 => Ubuntu 10.04 => Ubuntu 10.10 [la meilleure des ubuntu avant la cata unity] => Xubuntu 11.10 => Xubuntu 12.04 => Xubuntu 12.10 => Xubuntu 13.10

Hors ligne

#3 Le 13/06/2014, à 03:07

L_d_v_c@

Re : Sécurité : fantasme et réalisme

Héhé moko138 !
As-tu déjà lu «L’œil de Washington» ?

Fabrizio Calvi et Thierry Pfister a écrit :

La loi du monde est celle du plus puissant : telle est la règle morale du gouvernement américain. Forts de ce principe et de leur avance technologique, les États-Unis ont, depuis le début des années 1980, infiltré frauduleusement les banques de données et les mémoires d'ordinateurs de leurs adversaires, mais aussi de leurs alliés et des principales institutions internationales. La France compte parmi les victimes de cette opération montée en complicité avec Israël.
Le récit de cette collecte de renseignements constitue un roman d'espionnage des plus ébouriffants. Pourtant, tous les faits rassemblés ici sont authentiques, les personnages réels et présentés sous leur véritable identité. Née au cœur de la réserve d'une tribu indienne de Californie, l'affaire n'a filtré qu'à l'occasion d'une âpre controverse juridique entre une firme d'informatique, Inslaw, et le gouvernement américain, à propos de la propriété industrielle d'un logiciel. Relatant cette incroyable histoire où s'imbriquent des événements tels que la prise d'otages à l'ambassade américaine de Téhéran, l'Irangate et le Contragate, la mort mystérieuse de Robert Maxwell ou l'étrange "suicide" du conseiller personnel du couple Clinton, L'œiI de Washington permet une mise à nu aussi passionnante qu'inédite des rapports de forces internationaux sans aucun rapport avec la façade des bons sentiments et du ballet diplomatique.
L’œil de Washington
Auteurs : Fabrizio Calvi, Thierry Pfister

Ta rédaction est parfaite, je préfère les lettres S.E. (en français) à O.S. (en anglais). wink


Plus rien sur 1001HA ni sur K50IE ; Ubuntu Studio 12.04 MAO. sur E6600
CentOS 6.5 sur Tyan S2915E RAID 5
Pourquoi Linux
Bug -1 : Derrière chaque bogue se cache constamment la faille humaine !

Hors ligne

#4 Le 13/06/2014, à 03:28

moko138

Re : Sécurité : fantasme et réalisme

Bonjour L_d_v_c@ !  Non je ne connais pas ce livre : je me suis contenté de mettre en perspective des éléments notoires.

Hors ligne

#5 Le 13/06/2014, à 03:45

L_d_v_c@

Re : Sécurité : fantasme et réalisme

moko138 a écrit :

Bonjour L_d_v_c@ !  Non je ne connais pas ce livre : je me suis contenté de mettre en perspective des éléments notoires.

Livre à lire si tu as le temps de lire 500 pages. Environs 2 à 3 heures si tu es en forme, ça se lit très vite, très facilement.
Attention ! à chaque fois que tu allumes la lumière une puce caméra (caché dans la douille de la lampe) envoie des images aux satellites basses altitudes toutes les 15 secondes. tongue - Rires.
Non, c'est un livre qui fait du bien, et qui guérit. En effet, il existe des équipes capables de piéger sur place en moins d'une minute n'importe quel ordinateur qui n'aurait pas été piégé à la fabrication. Années 1980. Nous sommes en 2014. Tout est piégé ! tracé …
Ils pouvaient voir, et lire les écran CRT à travers les murs ! par la puissance modulé du spot qui laissait une signature.
Qu'en est-il avec les écran plats ? L'électronique doit prendre le relais ?
Puis tiens ! les câbles HDMI passent l'éthernet pour certains ! une façon de rester connecté wink

Dernière modification par L_d_v_c@ (Le 13/06/2014, à 03:54)


Plus rien sur 1001HA ni sur K50IE ; Ubuntu Studio 12.04 MAO. sur E6600
CentOS 6.5 sur Tyan S2915E RAID 5
Pourquoi Linux
Bug -1 : Derrière chaque bogue se cache constamment la faille humaine !

Hors ligne

#6 Le 13/06/2014, à 06:29

fcn50

Re : Sécurité : fantasme et réalisme

moko138 a écrit :

Et - mais ce n'est qu'un exemple - sur un autre fil de ce forum, j'ai lu ceci :

Il parait, du moins pour les usa, que des services interceptent des livraisons entières d'ordinateurs pour les trafiquer puis les ré emballer sans que personne ne s'en aperçoivent.

  Arrrêtons de fantasmer. Au pays-phare du capitalisme, on ne va pas procéder ainsi : trop coûteux.

moko138 a écrit :

C'est de ce cas tout à fait marginal que parle l'extrait du Spiegel résumé par Numerama :

Numerama a écrit :
De façon beaucoup plus artisanale, et sans doute plus anecdotique, le Spiegel affirme que le TAO dispose d'une unité capable d'intercepter les commandes d'ordinateurs ou d'accessoires, pour contourner les colis avant leur livraison. Ils en profiteraient alors pour ouvrir proprement les paquets, installer un moyen d'écoute (logiciel ou matériel) sur les produits, et renvoyer le tout au destinataire. L'objectif serait alors de pouvoir intercepter des données sur des ordinateurs qui ne sont pas connectés à Internet. [C'est moi qui souligne.]

  Mais ce n'est jamais que la forme moderne du renseignement postal que pratiquaient déjà (pour la France) Colbert et Louvois.

Pas vraiment un fantasme parano, alors ?!

Der Spiegel affirme également que la TAO dispose d'un programme d'interception de livraison de certains ordinateurs (par exemple destinés à un employé d'une agence de renseignement) afin de les équiper de mouchards ou de programmes espion.

http://www.lefigaro.fr/secteur/high-tec … orange.php

http://www.lemonde.fr/technologies/arti … 51865.html

Dernière modification par fcn50 (Le 13/06/2014, à 07:22)


14.04.1 LTS, Xfce 4.10.1, Phenom II x6 1090T BE, SSD Patriot Inferno 60 Go, WD Black 1 To, Sapphire HD 7750 ULTIMATE, RME HDSP 9632, Dell U2713HM.
Un site qui vaut le détour: http://blog.syti.net  Une radio hors du commun: http://solenopole.org  You like the american dream? Wellcome to Guantànamo!

Hors ligne

#7 Le 13/06/2014, à 08:03

tiramiseb

Re : Sécurité : fantasme et réalisme

Salut,

Je ne rentrerai pas dans le sujet global du message : on peut être d'accord ou pas avec le point de vue, on est plus ou moins parano, complotiste ou non, etc. Je ne me risquerai pas à écrire « mais non, le logiciel libre ne peut pas avoir de backdoors car on peut vérifie rles sources » parce que je doute que de nos jours il y en a encore qui auditent de fond en comble ne serait-ce que le noyau de manière indépendante - surtout qu'avec certaines "affaires" récentes, on voit bien que le code Open Source n'est pas si bien audité que ça. Et puis il ne me semble pas que tu aies écrit de grosse connerie technique... Bon, je pense que pour être correctement sécurisé on n'a pas besoin de tout ça, mais c'est sûr que si on veut se sécuriser au maximum, tu as donné une bonne liste de techniques que l'on peut combiner.

Par contre, je me pose une question : quel est le problème avec les UUID ? En quoi ne pas les utiliser augmenterait la sécurité ?


-----

PS : cela dit, quand on est vraiment hyper parano niveau sécurité informatique, on n'utilise pas Internet... voire on n'allume pas son PC... voire on n'a pas de PC...


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#8 Le 13/06/2014, à 12:51

ignus

Re : Sécurité : fantasme et réalisme

Salut,
Tu écris :

moko138 a écrit :

Bien entendu, vous utilisez une distribution sans SELinux élaboré avec la participation de la NSA (donc pas *buntu).

À priori et concernant SELinux, il est inactif mais implémenté dans le noyau pour qui voudrait utiliser cette sécurisation. --> lire ici
Par ailleurs, SELinux est un logiciel libre, dès lors, le code source est observable et j'imagine que son code à du être lu au moins une fois non? --> voir ici

Me serais-je fourvoyé ? Sinon, bien d'accord avec toi sur le ton général (les puissants s'organisent) de ton message et les explications données, je souhaitais réagir sur ce passage concernant le SELinux.

Hasta luégo.

Hors ligne

#9 Le 13/06/2014, à 13:09

Brunod

Re : Sécurité : fantasme et réalisme

tiramiseb a écrit :

...
Par contre, je me pose une question : quel est le problème avec les UUID ? En quoi ne pas les utiliser augmenterait la sécurité ?
-----
PS : cela dit, quand on est vraiment hyper parano niveau sécurité informatique, on n'utilise pas Internet... voire on n'allume pas son PC... voire on n'a pas de PC...

+1 pour les uuid : pas compris.


Wanted : emploi dans la sécurité informatique et réseau
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
36 pc linux convertis

Hors ligne

#10 Le 13/06/2014, à 13:13

L_d_v_c@

Re : Sécurité : fantasme et réalisme

tiramiseb a écrit :

PS : cela dit, quand on est vraiment hyper parano niveau sécurité informatique, on n'utilise pas Internet... voire on n'allume pas son PC... voire on n'a pas de PC...

Exactement : les interventions sur les serveurs de banque se font par modem bas-débit, coupé d'internet… Les codes d'accès à plusieurs niveaux changent tous les jours.


Plus rien sur 1001HA ni sur K50IE ; Ubuntu Studio 12.04 MAO. sur E6600
CentOS 6.5 sur Tyan S2915E RAID 5
Pourquoi Linux
Bug -1 : Derrière chaque bogue se cache constamment la faille humaine !

Hors ligne

#11 Le 13/06/2014, à 15:35

Titouan

Re : Sécurité : fantasme et réalisme

topic bon pour la rubrique café big_smile

Hors ligne

#12 Le 13/06/2014, à 18:13

L_d_v_c@

Re : Sécurité : fantasme et réalisme

Une remarque quant au chiffrement en France : ça ne sert qu'entre voisins, ou intra-familial  car il est interdit d'utiliser un chiffrement (avec algorithme) personnel. Voir FIPS 180 pour le SECURE HASH STANDARD par exemple. Tout est réglementé, sous algorithmes «soient disant» irréversibles (ou un autre mot oublié signifiant qu'on ne peut pas renverser l'algorithme).

Mais alors pourquoi un état interdit les algorithmes personnels de chiffrage ?

Moi j'aime bien X-Or, le shérif de l'espace … Si je fais un chiffrage avec un simple XOR (ou-exclusif) dont la taille de la clé est au moins de même longueur que la taille du document, bien pas de clé, pas de document à l'arrivée …

Ça c'est le plus efficace, le plus rapide.

En revanche RSA et compagnies … grosse blague pour un état, ils ont des puissance de calculs inimaginable !

En répertorié voici un TOP 500 :

Voici le gagnant : un ordinateur chinois qui chauffe un peu : 17,8 mégawatts !

Rank 	Site 	System 	Cores 	Rmax (TFlop/s) 	Rpeak (TFlop/s) 	Power (kW)
1 	National Super Computer Center in Guangzhou
China 	Tianhe-2 (MilkyWay-2) - TH-IVB-FEP Cluster, Intel Xeon E5-2692 12C 2.200GHz, TH Express-2, Intel Xeon Phi 31S1P
NUDT 	3,120,000 	33,862.7 	54,902.4 	17,808

Tianhe-2 (MilkyWay-2) - TH-IVB-FEP Cluster, Intel Xeon E5-2692 12C 2.200GHz, TH Express-2, Intel Xeon Phi 31S1P

http://www.top500.org/system/177999#.U5svt_7I_IE a écrit :

Site:    National Super Computer Center in Guangzhou
Manufacturer:    NUDT
Cores:    3 120 000 → 3,12 millions de processeurs Intel Xeon E5-2692 12C 2.200GHz, TH Express-2, Intel Xeon Phi 31S1P
Linpack Performance (Rmax)    33 862,7 TFlop/s
Theoretical Peak (Rpeak)    54 902,4 TFlop/s
Power:    17 808,00 kW
Memory:    1 024 000 GB
Interconnect:    TH Express-2
Operating System:    Kylin Linux
Compiler:    icc
Math Library:    Intel MKL-11.0.0
MPI:    MPICH2 with a customized GLEX channel

Dernière modification par L_d_v_c@ (Le 13/06/2014, à 18:51)


Plus rien sur 1001HA ni sur K50IE ; Ubuntu Studio 12.04 MAO. sur E6600
CentOS 6.5 sur Tyan S2915E RAID 5
Pourquoi Linux
Bug -1 : Derrière chaque bogue se cache constamment la faille humaine !

Hors ligne

#13 Le 13/06/2014, à 18:21

compte supprimé

Re : Sécurité : fantasme et réalisme

L_d_v_c@ a écrit :

Une remarque quant au chiffrement en France : ça ne sert qu'entre voisins, ou intra-familial  car il est interdit d'utiliser un chiffrement personnel.

Hello !


Tu veux dire qu'il est interdit de construire son propre algorithme de chiffrement, ou tu veux dire que l'on a pas le droit de chiffrer ses données en France (qu'on a pas le droit dans sa globalité stp ?).

#14 Le 13/06/2014, à 18:27

L_d_v_c@

Re : Sécurité : fantasme et réalisme

-pascal34- a écrit :
L_d_v_c@ a écrit :

Une remarque quant au chiffrement en France : ça ne sert qu'entre voisins, ou intra-familial  car il est interdit d'utiliser un chiffrement personnel.

Hello !


Tu veux dire qu'il est interdit de construire son propre algorithme de chiffrement, ou tu veux dire que l'on a pas le droit de chiffrer ses données en France (qu'on a pas le droit dans sa globalité stp ?).

Bonsoir !
Je parle des algorithmes privés… (si j'ai bien tout compris et que ça n'a pas changé)

http://fr.wikipedia.org/wiki/Chiffrement#En_France a écrit :

En France

L'usage de PGP (Pretty Good Privacy), un des premiers logiciels de chiffrement disponibles sur l'Internet, a longtemps été interdit en France, car considéré jusqu'en 1996 comme une arme de guerre de deuxième catégorie. La législation française s'est ensuite assouplie, et le chiffrement symétrique avec des clés aussi grandes que 128 bits a été autorisé. Certains logiciels, comme GNU Privacy Guard, peuvent être utilisés avec n'importe quelle taille de clé symétrique. Enfin, la Loi pour la confiance dans l'économie numérique du 21 juin 2004 a totalement libéré l’utilisation des moyens de cryptologie, en revanche leur importation ou exportation est soumise à déclaration ou autorisation.

«en revanche leur importation ou exportation est soumise à déclaration ou autorisation» → Tableau de synthèse de règlementation en matière de cryptologie

Dernière modification par L_d_v_c@ (Le 13/06/2014, à 18:43)


Plus rien sur 1001HA ni sur K50IE ; Ubuntu Studio 12.04 MAO. sur E6600
CentOS 6.5 sur Tyan S2915E RAID 5
Pourquoi Linux
Bug -1 : Derrière chaque bogue se cache constamment la faille humaine !

Hors ligne

#15 Le 13/06/2014, à 18:47

compte supprimé

Re : Sécurité : fantasme et réalisme

Oui c'est bien cela, le message portait à confusion, on pouvait déduire que l'on avait pas le droit de chiffrer ses données en France, alors qu'on le peut sans entraves de la part de la justice et avec des clés de chiffrement de 4096 bits si le logiciel le permet, mais comme tu dis, pas avec un algorithme privé qui n'aurait pas été soumis à une déclaration et une autorisation en bon et due forme !  wink

#16 Le 13/06/2014, à 18:51

L_d_v_c@

Re : Sécurité : fantasme et réalisme

-pascal34- a écrit :

Oui c'est bien cela, le message portait à confusion, on pouvait déduire que l'on avait pas le droit de chiffrer ses données en France, alors qu'on le peut sans entraves de la part de la justice et avec des clés de chiffrement de 4096 bits si le logiciel le permet, mais comme tu dis, pas avec un algorithme privé qui n'aurait pas été soumis à une déclaration et une autorisation en bon et due forme !  wink

J'ai corrigé : «il est interdit d'utiliser un chiffrement (avec algorithme) personnel» wink

édit zut : dois-je ajouter sans autorisation sachant que c'est refusé ? (longueur de clé aussi grande que longueur du document)

Dernière modification par L_d_v_c@ (Le 13/06/2014, à 18:53)


Plus rien sur 1001HA ni sur K50IE ; Ubuntu Studio 12.04 MAO. sur E6600
CentOS 6.5 sur Tyan S2915E RAID 5
Pourquoi Linux
Bug -1 : Derrière chaque bogue se cache constamment la faille humaine !

Hors ligne

#17 Le 13/06/2014, à 18:58

L_d_v_c@

Re : Sécurité : fantasme et réalisme


Plus rien sur 1001HA ni sur K50IE ; Ubuntu Studio 12.04 MAO. sur E6600
CentOS 6.5 sur Tyan S2915E RAID 5
Pourquoi Linux
Bug -1 : Derrière chaque bogue se cache constamment la faille humaine !

Hors ligne

#18 Le 13/06/2014, à 19:13

compte supprimé

Re : Sécurité : fantasme et réalisme

Merci ludo oui tu peux rajouter "sans autorisation" pas de soucis !!! Sympa les liens sur l’acoustique je lirai cela demain, ça me rappelle un article que j'ai lu tout à l’heure qui disait que la NSA (ou ses anciens bureaux) arrivaient à déchiffrer ce qui était diffusé sur un écran cathodique derrière un mur de chambre d'hôtel (par exemple), même et surtout, si l'image qui passait sur cette télé était tirée d'une cassette vidéo privée (par exemple un gars d'une entreprise avait pu filmer le fonctionnement final et secret d'une toute nouvelle machine à distiller de l'essence sans plomb (ou tout autre secret industriel filmé) et l'avait filé à son boss, son boss qui était en train de la lire sur sa télé dans sa chambre d’hôtel.

Ben la NSA s'était rendu compte que chaque télé produisait une empreinte spéciale par rapport à ce que son tube cathodique délivrait ! donc oui la série Dallas avait une autre empreinte que cette cassette vidéo de secret industriel, et ils arrivaient à projeter cela sur leur propre écran...

Alors tu parles, savoir qui poste quoi partout sur la toile, ça doit être un jeu d'enfant pour eux. Il faut tout chiffrer et produire des cartes réseaux matérielles à rotation d'architecture et d'adresse mac, et faire ce type de procédé sur tout un tas d'autres types de matériels destinés aux réseaux....

Ou débrancher la prise, je crois que je vais faire ça ce soir, bonne soirée...

#19 Le 13/06/2014, à 19:21

L_d_v_c@

Re : Sécurité : fantasme et réalisme

L'histoire des écrans CRT est mentionnée dans le livre «l'œil de Washington» … bonne soirée wink


Plus rien sur 1001HA ni sur K50IE ; Ubuntu Studio 12.04 MAO. sur E6600
CentOS 6.5 sur Tyan S2915E RAID 5
Pourquoi Linux
Bug -1 : Derrière chaque bogue se cache constamment la faille humaine !

Hors ligne

#20 Le 13/06/2014, à 19:25

compte supprimé

Re : Sécurité : fantasme et réalisme

Merci pour la référence du livre, et pis ben on leur fait un bon gros bras d'honneur alors....

#21 Le 13/06/2014, à 20:32

moko138

Re : Sécurité : fantasme et réalisme

tiramiseb a écrit :

quel est le problème avec les UUID ? En quoi ne pas les utiliser augmenterait la sécurité ?

Je suis dans le coaltar (antibiotiques en perspectives) et j'ai du mal aujourd'hui à clarifier mon expression.
  J'essaierai d'être clair la semaine prochaine.

Hors ligne

#22 Le 13/06/2014, à 21:33

Zakhar

Re : Sécurité : fantasme et réalisme

Ca c'est vraiment un truc qu'aiment les gens qui adorent sur-sécuriser !..

C'est en réalité la même chose que le coup des écrans CRT, et de toute façon à partir du moment où on a un accès physique à la machine, il n'y a plus rien de sécurisé, c'est certain. "Ecouter" que ce soit avec un micro à 30cm ou à 4m compte évidemment comme un accès physique.

Dites vous-bien une chose, il n'y a pas de sécurité inviolable (qu'elle soit physique ou informatique).

En réalité, tout est une question de temps qu'on va y passer, et de proportionner cela aux objets à sécuriser.

Une porte blindée pour un appartement, ça résiste 5 à 30 minutes, mais c'est suffisant pour dissuader 95% des voleurs.

Donc pour protéger vos photos de vacances, inutile de sortir l'artillerie lourde avec des clés à rallonge, il y a fort peu de chance que ça intéresse suffisamment quelqu'un pour qu'il passe beaucoup de temps à essayer des les voir en clair. Une simple protection "standard" suffira pour les protéger des plus indiscrets.

... maintenant, si vous détenez des secrets d'état...

... bah, si c'est le cas, vous n'êtes probablement pas en train de poster ici. tongue

Dernière modification par Zakhar (Le 13/06/2014, à 21:33)


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#23 Le 13/06/2014, à 22:38

L_d_v_c@

Re : Sécurité : fantasme et réalisme

Zakhar a écrit :


Dites vous-bien une chose, il n'y a pas de sécurité inviolable (qu'elle soit physique ou informatique).

En réalité, tout est une question de temps qu'on va y passer, et de proportionner cela aux objets à sécuriser.

Je n'affirmerais pas ça… Il est facile et très rapide d'utiliser le ou-exclusif avec une clé de même taille que le fichier à chiffrer. Et c'est interdit car justement indéchiffrable.

Dernière modification par L_d_v_c@ (Le 13/06/2014, à 22:49)


Plus rien sur 1001HA ni sur K50IE ; Ubuntu Studio 12.04 MAO. sur E6600
CentOS 6.5 sur Tyan S2915E RAID 5
Pourquoi Linux
Bug -1 : Derrière chaque bogue se cache constamment la faille humaine !

Hors ligne

#24 Le 14/06/2014, à 07:29

Zakhar

Re : Sécurité : fantasme et réalisme

Certes, mais n'oublie pas qu'en cas d'affaire en justice on peut de toute façon t'obliger à révéler la clé. C'est une façon de "casser" la clé assez facile. tongue


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#25 Le 14/06/2014, à 08:49

NooP

Re : Sécurité : fantasme et réalisme

L_d_v_c@ a écrit :
-pascal34- a écrit :
L_d_v_c@ a écrit :

Une remarque quant au chiffrement en France : ça ne sert qu'entre voisins, ou intra-familial  car il est interdit d'utiliser un chiffrement personnel.

Hello !


Tu veux dire qu'il est interdit de construire son propre algorithme de chiffrement, ou tu veux dire que l'on a pas le droit de chiffrer ses données en France (qu'on a pas le droit dans sa globalité stp ?).

Bonsoir !
Je parle des algorithmes privés… (si j'ai bien tout compris et que ça n'a pas changé)

http://fr.wikipedia.org/wiki/Chiffrement#En_France a écrit :

En France

L'usage de PGP (Pretty Good Privacy), un des premiers logiciels de chiffrement disponibles sur l'Internet, a longtemps été interdit en France, car considéré jusqu'en 1996 comme une arme de guerre de deuxième catégorie. La législation française s'est ensuite assouplie, et le chiffrement symétrique avec des clés aussi grandes que 128 bits a été autorisé. Certains logiciels, comme GNU Privacy Guard, peuvent être utilisés avec n'importe quelle taille de clé symétrique. Enfin, la Loi pour la confiance dans l'économie numérique du 21 juin 2004 a totalement libéré l’utilisation des moyens de cryptologie, en revanche leur importation ou exportation est soumise à déclaration ou autorisation.

«en revanche leur importation ou exportation est soumise à déclaration ou autorisation» → Tableau de synthèse de règlementation en matière de cryptologie

Il serait bien de ne pas raconter n'importe quoi. La cryptographie est autorisée en France depuis 2004. La seule chose qui soit soumise à déclaration/autorisation est l'importation/l'exportation de procédés de chiffrement. Si tu avais seulement regardé et compris le tableau que tu nous indiques, tu verrais qu'il n'est nulle part mentionné que tu ne puisses utiliser une méthode de chiffrement développée par tes soins.

En vertu de l’article 30 de la loi 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, l’utilisation des moyens de cryptologie est libre en France. En revanche, la fourniture, le transfert depuis ou vers un Etat membre de la Communauté européenne, l’importation et l’exportation de ces moyens sont réglementés lorsque ces moyens n’assurent pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité. Ces opérations sont soumises soit au régime de la déclaration, soit au régime de l’autorisation.

Site de l'ANSSI

Section 1 : Utilisation, fourniture, transfert, importation et exportation de moyens de cryptologie.

Article 30

I. - L'utilisation des moyens de cryptologie est libre.

Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique

Dernière modification par NooP (Le 14/06/2014, à 08:49)


[1789] Pour faire fermer sa gueule au peuple, on lui coupe la tête.
[2010] Pour faire fermer sa gueule au peuple, on lui coupe le net.

Si l'ACTAruse, c'est pour que GOLDOraque.

Hors ligne

Haut de page ↑