mercredi 8 mars - par Philippe Huysmans

Wikileaks dévoile les outils de piratage utilisés par la CIA

Depuis hier, 7 mars, Wikileaks a commencé à révéler des informations sur les outils que la CIA utiliserait pour s'introduire dans les systèmes informatiques.

Cela va des smartphones aux ordinateurs sous windows et linux en passant par l'Internet Of Things (les objets connectés comme les smartTV).

Rien de vraiment nouveau sous le soleil, si ce n'est qu'ils mentionnent explicitement que les applications de messagerie « sécurisées » sous android telles Signal Private Messenger, Whatsapp, Telegram... sont compromises.

Elles le sont pour une raison toute simple : lorsque la CIA veut obtenir les données transmises, elle pirate directement le terminal android plutôt que l'application (qui dans le cas de Signal est notoirement une passoire). Du coup, quelle que soit l'application que vous utiliserez, les données seront interceptées en amont.

Cela rejoint un autre article que j'avais écrit concernant la sécurité des smartphones : elle est inexistante, il serait bon que chacun se fasse à cette idée. Pour le dire autrement, vous avez nettement moins de chance de vous faire intercepter un courrier rédigé en clair au dos d'une carte postale qu'un message envoyé via ces applications soi-disant sécurisées. C'est même probablement plus grave que ça, en fait, puisque les utilisateurs croyaient de bonne foi que leurs communications ne pouvaient être interceptées.

Cruelle découverte qui nous rappelle qu'en informatique, l'illusion de sécurité peut être quelquefois plus préjudiciable encore que l'absence de sécurité.

The CIA's Mobile Devices Branch (MDB) developed numerous attacks to remotely hack and control popular smart phones. Infected phones can be instructed to send the CIA the user's geolocation, audio and text communications as well as covertly activate the phone's camera and microphone.

Despite iPhone's minority share (14.5%) of the global smart phone market in 2016, a specialized unit in the CIA's Mobile Development Branch produces malware to infest, control and exfiltrate data from iPhones and other Apple products running iOS, such as iPads. CIA's arsenal includes numerous local and remote « zero days » developed by CIA or obtained from GCHQ, NSA, FBI or purchased from cyber arms contractors such as Baitshop. The disproportionate focus on iOS may be explained by the popularity of the iPhone among social, political, diplomatic and business elites.

A similar unit targets Google's Android which is used to run the majority of the world's smart phones ( 85%) including Samsung, HTC and Sony. 1.15 billion Android powered phones were sold last year. « Year Zero » shows that as of 2016 the CIA had 24 « weaponized » Android « zero days » which it has developed itself and obtained from GCHQ, NSA and cyber arms contractors.

These techniques permit the CIA to bypass the encryption of WhatsApp, Signal, Telegram, Wiebo, Confide and Cloackman by hacking the « smart » phones that they run on and collecting audio and message traffic before encryption is applied. Source : Wikileaks

Un petit avertissement pour la route

Pour celles et ceux qui confondraient encore Wikileaks ou Julian Assange avec Snowden, je précise tout de même que l'application Signal était portée aux nues par l'EFF, des experts comme Bruce Schneier et Edward Snowden...

Pour comprendre ceci, je vous suggère la lecture de l'article que j'avais écrit sur Snowden, et particulièrement le chapitre consacré aux contradictions du personnage qui semble plus graviter autour de la nébuleuse OpenSociety de Soros qu'autour de la CIA.

Conclusion

Nous vivons dans un monde ou la vie privée et le droit au secret sont de plus en plus menacés, y compris par nos propres gouvernements. Cela s'ajoute à la censure qui tend à s'imposer soit par association diffamatoire, soit plus directement (sur Facebook notamment) avec le concours des géants du web.

  • L'interception des données est la conséquence directe de la centralisation de celles-ci via le canal de communication que constitue Internet, et qui est par essence beaucoup plus facile à espionner dans son ensemble que les divers moyens de communication qui étaient utilisés auparavant.
  • La censure est la conséquence du rassemblement sous forme de véritable troupeau de tous les utilisateurs au sein d'une seule et même application : facebook.

Dans les deux cas, cela revenait à monter sur le tabouret, se passer la corde au cou et espérer que personne ne donnerait un coup de pied dans le tabouret. Nous leur avons donné les armes de la censure et du contrôle de toute forme d'expression, et cela, un peu trop facilement, sans aucune contrepartie, sans garantie.

Dès lors il ne faut pas trop s'étonner qu'ils en usent, et qu'à la fin ils abusent.

Article original sur le site du Vilain Petit Canard



72 réactions


  • Rincevent Rincevent 8 mars 15:52

    Quand on voit, avec quel entrain, des « innocents » remplissent, avec beaucoup de détails, leur profil sur les réseaux sociaux, c’est une véritable incitation à espionner. Après, ils iront se plaindre...


    • Doume65 8 mars 20:47

      @Rincevent
      « Après, ils iront se plaindre »
      Mais non, c’est connu, ils n’ont rien à cacher smiley
      Et ils n’imaginent pas que le gouvernement de demain pourra être dictatorial ou fou-furieux (y’a pas qu’aux USA qu’on peut avoir des surprises) et disposera des tous les outils que d’autres dictateurs passés auraient bien appréciés.


  • Alpo47 Alpo47 8 mars 16:08

    Tiens ... tiens , et il y a encore quelques mois, tous ceux qui disaient que « les services » pouvaient nous écouter partout était traités de « conspirationnistes » ou de doux fêlés ... Et maintenant, ils disent quoi ?

    Et puis, il faut le dire, chez nous, avec des moyens certes bien moindres, nos services spéciaux, la DCRI je crois , peuvent nous écouter de même. Et les terroristes ont bon dos.

    Big Brother is watching us !


  • riff_r@ff.93 riff_r@ff.93 8 mars 16:28

    Dans le dossier mis en ligne par Wikileaks hier il y a la preuve que la CIA travaillait en 2014 sur les moyens d’ infecter le contrôle des systèmes de navigation électroniques des voitures et camions modernes. Vous avez tendance à trop ouvrir votre gueule ? Une petite sortie de route et hop, c’est réglé. 


    • Rincevent Rincevent 8 mars 16:45

      @riff_r@ff.93

      Dès maintenant, tout ce qui fonctionne avec le GPS est susceptible d’être neutralisé, il suffit que les américains le coupent et tout s’arrête. C’est bien pour ça que l’Europe (Galiléo), les Russes (Glonass) et les Chinois (Beidou) ont développé leurs propres systèmes. Et pas que pour les transports, un missile, ça a besoin de la géolocalisation aussi...


    • riff_r@ff.93 riff_r@ff.93 8 mars 17:32

      @Rincevent
      Une bonne raison de plus de faire du vélo.


    • agent ananas agent ananas 8 mars 17:33

      @riff_r@ff.93

      Michael Hasting ?


    • riff_r@ff.93 riff_r@ff.93 8 mars 17:44

      @agent ananas
      Je ne connaissais pas cette affaire mais, bien vu. Merci pour l’info.


    • rogal 8 mars 19:08

      @Rincevent
      Certains conspirationnistes prétendent que de nombreuses sorties de route suspectes auraient été relevées depuis une quinzaine d’années. Comment savoir ?


    • Ruut Ruut 9 mars 06:27

      @Rincevent « un missile, ça a besoin de la géolocalisation aussi... »
      oui et non, tout dépend de son système de guidage.
      Il peut être 100 % autonome, mais c’est plus cher.


    • sweach 9 mars 15:54

      @riff_r@ff.93
      L’ordinateur de bord, peu bouger le volant, l’accélérateur et le frein

      Même sans avoir le coté parano d’un piratage, tout cet électronique est loin d’être fiable, on risque surtout des pannes, mais aussi des accidents.

      Ma voiture a déjà eu un problème de capteur, la voiture fonctionnait parfaitement mais un capteur avait décidé qu’il y avait un problème « inexistant » de pression dans le moteur, la conséquence est de couper purement et simplement le moteur. Je vous laisse imaginer le danger que représente un moteur qui se coupe sans prévenir. 

      J’ai eu plusieurs panne sur ma voiture et à chaque fois la réparation consistait à changer un capteur, la question est serais-je tombé en panne sans tout ces capteurs ?

    • riff_r@ff.93 riff_r@ff.93 9 mars 17:44

      @sweach
      Même problème sur ma C3.


  • L'enfoiré L’enfoiré 8 mars 17:32

    Salut Philippe,
     Si ce n’était que cela, ai-je envie d’écrire.
     Je sors comme tu le sais, un eBook à ce sujet dont le 1er tome était déjà paru l’année dernière..
     Le secret, un poids qui existe depuis que les hommes sont arrivés sur terre.
     Ce n’est pour rien que la CIA a un « I » pour intelligence.
     


  • riff_r@ff.93 riff_r@ff.93 8 mars 17:52

    Et le système Tor du coup. Vraie parade ou illusion de sécurité ?


    • pemile pemile 8 mars 18:00

      @riff_r@ff.93 « Et le système Tor du coup. Vraie parade ou illusion de sécurité ? »

      idem, si le poste client est « écouté » en amont du logiciel de chiffrement smiley


    • Alpo47 Alpo47 8 mars 19:14

      @riff_r@ff.93

      Il me semble que Snowden suggérait d’utiliser Tails, un ensemble sur clé usb qui utilise Tor et d’autres systèmes de chiffrement.
      Maintenant, si vous utilisez cela, vous attirez l’attention sur vous, car on peut supposer que vous avez quelque chose à cacher.


    • Philippe Huysmans Philippe Huysmans 8 mars 19:14

      @pemile

      C’est une vraie bonne question : regardez ses financements... Et vous comprendrez que souvent celui qui paie l’orchestre choisit la musique.

      À côté de cela, on sait que les services américains ONT essayé de prendre le contrôle de différents nodes.

      Après chacun sa religion, mais moi je ne considère ça que comme un outil de troisième zone, pour me protéger de la curiosité de quelqu’un qui n’aurait vraiment aucun moyen de me tracer.


    • Philippe Huysmans Philippe Huysmans 8 mars 19:16

      @Alpo47 - Tails

      Ne convient pas pour un téléphone portable qui est un système autonome. Il y a énormément à dire là-dessus, je vous conseille l’article généraliste sur la sécurité des smartphones.

      La conclusion ? Achetez un 3310 d’occase smiley Celui-là vous ne risquez pas qu’il se transforme en espion. Sauf bien sur pour le tracking SS7 (géoloc) et l’écoute. Rien de bien méchant ... Enfin, normal, quoi.


    • L'enfoiré L’enfoiré 9 mars 13:51

      @Philippe Huysmans Bonjour

       Exact. Un 3310 de Nokia qui a sorti une version plus moderne mais avec le même design qui n’atteint (et n’est pas atteint) par Internet est « la » solution pour assurer sa sécurité et sa vie privée.
       Tout ce qui transite par le cloud est susceptible d’être piraté.
       J’ai connu le temps pendant lesquels un ordinateur n’était absolument pas un outil de communication mais seulement destiné à traiter l’information. 
       Notre JT de hier soir (19:50-...) en parlait. L’es objets nous espionnent...
       Pourquoi le font-ils ?
       Parce que tout existe pour le faire.
       Le but d’un réseau est de donner accès à tout ce qui est disponible.
       Comment ? 
       Par du software, des instructions machines qui ont été créées pour cela.
       Il existe des instructions pour lire et écrire sur un ordinateur à distance.
       Bine sûr il y a la barrière des mots de passe, mais cela aussi, la machine peut plus facilement casser le code pour l’atteindre.
       Internet est ouvert. On peut fermer le robinet mais aujourd’hui, tout s’arrête et tout le monde est en chômage technique.
       Revenir en arrière.. ???
       Amusante idée.
       Il faut bien que l’on vous
       Je ne vais pas commencé à déterminer tout ce que cela à permis.
       Tim Berners-Lee a ouvert la boîte de Pandore.
       Ecoutez bien ce qu’il a à dire sur son invention.
       Si ce n’est pas clair...
       Nous sommes à l’entrée d’une grand forêt sombre avec des zones d’ombres et des clairières que l’on appelle « NUMERIQUE »


  • pemile pemile 8 mars 17:59

    @Philippe Huysmans « je précise tout de même que l’application Signal était portée aux nues par l’EFF, des experts comme Bruce Shcneier et Edward Snowden... »

    Votre article explique très bien que ce n’est pas l’application et l’architecture de Signal qui pose problème, mais que c’est l’OS et le hardware des smartphones.


    • Philippe Huysmans Philippe Huysmans 8 mars 19:07

      Bonjour @pemile,

      Vous avez raison... et pas raison. J’ai bien précisé par honnêteté que la structure même de Signal n’était nullement en cause ici, mais par ailleurs je citais aussi l’article que j’avais consacré à ce seul programme pour dire combien c’était un parfait cas d’école de ce qu’il ne faut surtout pas faire en termes de sécurité informatique.

      Ce problème EST connu de Schneier à qui j’avais écrit (il n’a jamais répondu) et d’ailleurs il n’a pas besoin de moi pour comprendre ce qui pose problème. Du coup s’il « soutient » quand même un produit qu’il sait défaillant, je vous laisse en deviner les raisons (cherchez du côté de EFF qui lui-même est lié à la Quadrature du Net en France et partage avec elle les financements par l’Open Society de Soros).

      Bien à vous,


    • pemile pemile 8 mars 21:35

      @Philippe Huysmans « un produit qu’il sait défaillant »

      Autant je suis d’accord que le choix imposé d’utiliser un service Google Play (GCM) et d’avoir bloqué un fork qui permettait de s’en passer (LibreSignal) est regrettable, mais cela n’en fait pas un produit défaillant. La licence libre GPL permet d’en valider le code et la confidentialité de bout en bout, non ?


    • pemile pemile 8 mars 21:46

      @Philippe Huysmans

      A comparer aux produits équivalent WhatApp (FaceBook) ou Allo (Google ), les deux basés sur Signal Protocol :

      https://theintercept.com/2016/06/22/battle-of-the-secure-messaging-apps-how-signal-beats-whatsapp/


    • Philippe Huysmans Philippe Huysmans 8 mars 21:50

      @pemile

      Le problème n’est pas le code, mais les modalités, (plus de sms, google push, pas d’encryption locale, pas d’encryption de la clé par défaut, demande d’un numéro de téléphone, du carnet d’adresses)... Totalement imbuvable, désolay.

      À ce sujet, il vaudrait mieux lire l’article consacré à Signal pour savoir précisément ce que je lui reprochains en toute logique.


    • pemile pemile 8 mars 21:58

      @Philippe Huysmans « À ce sujet, il vaudrait mieux lire l’article consacré à Signal »

      Oui, j’ai lu ton article, et n’ai pas vu de « défaillance » sur la confidentialité du contenu des messages de bout en bout ?


    • Philippe Huysmans Philippe Huysmans 8 mars 22:23

      @pemile

      Le produit est défaillant parce qu’il compromet très gravement la confidentialité (identité, métadonnées), la sécurité (pas d’encryption locale, etc). et donc l’usage.

      Si vous avez lu mon article consacré à Signal et que vous ne l’avez pas compris, c’est bien dommage, mais cela ne change rien aux faits, et je n’étais pas le seul à être arrivé à cette conclusion, d’où le fork.

      Un programme de sécurité n’est pas plus solide que le maillon le plus faible de la chaîne qu’il implique. Là c’est un emmental. On peut difficilement faire plus clair.


    • pemile pemile 8 mars 22:29

      @Philippe Huysmans « Si vous avez lu mon article consacré à Signal et que vous ne l’avez pas compris, c’est bien dommage »

      Non, j’ai pas compris où était la défaillance dans la confidentialité du contenu de bout en bout !

      Vous êtes sur que votre article en parle ? smiley


    • pemile pemile 8 mars 22:37

      @Philippe Huysmans « identité, métadonnées »

      C’est intrinsèque au système SMS, non ?


    • Philippe Huysmans Philippe Huysmans 8 mars 22:47

      @pemile

      Pas du tout, vous n’avez pas compris le fonctionnement de signal surtout dans sa nouvelle version.

      Je ne vais pas prolonger indéfiniment un petit jeu qui consiste à répondre à des questions qui n’ont pas de sens, je dois parfois dormir aussi smiley


    • pemile pemile 8 mars 23:03

      @Philippe Huysmans « Je ne vais pas prolonger indéfiniment un petit jeu qui consiste à répondre à des questions qui n’ont pas de sens »

      Sauf que vous évitez bien de répondre sur le fond, la confidentialité du contenu de bout en bout smiley


    • pemile pemile 8 mars 23:09

      @Philippe Huysmans « vous n’avez pas compris le fonctionnement de signal surtout dans sa nouvelle version. »

      J’ai vu qu’ils n’utilisaient pas le système de SMS mais les datas, mais cela ne change rien, dès que vous avez un poste client au bout d’un tuyau qui ne vous appartient pas, les métadonnées date/émetteur/destinataire sont accessibles à votre opérateur.


    • Ruut Ruut 9 mars 06:31

      @pemile
      « La licence libre GPL permet d’en valider le code et la confidentialité de bout en bout, non ? »

      Pas pour le commun des mortels.
      ça nécessite du temps et des compétences spécifiques.


  • Lonzine 8 mars 18:46

    Bonsoir, vous êtes surement jeune , avant internet il n’y avait rien ( téléphone ou courrier) , donc très peu de possibilités de « surveiller », aujourd’hui ( et depuis sa création) internet permet d’écouter et de collecter mais il faut être capable d’interpréter les données. Ceci dit comment imaginer que des états soient indifférents à ce flux d’information ?


    • Philippe Huysmans Philippe Huysmans 8 mars 19:12

      @Lonzine

      Jeune ? Bof, 50 balais quand même et j’ai commencé l’informatique du temps des C64 et autres Apple IIe. Archi 6502 et compagnie, puis 8088 puis 80286 etc.

      Il existait exactement autant de possibilités de flicage, mais ça revenait très très cher.

      Pour l’interprétation, vous cassez pas, les algorithmes font très bien le premier tri tout seul, avec des filtres bayésiens, des regex, l’analyse en profondeur des packets (DPI), etc.

      La vraie question à se poser c’est : est-ce que nous n’avons pas une responsabilité dans le fait qu’ils aillent toujours plus loin au mépris des lois ? Parfait exemple : CrossCheck. Ils ont fait pression sur une major pour qu’elle fase ce qu’ils ne pouvaient pas se permettre par voie légale parce que cela supposerait une modification de la constitution qui signifierait « La France est une dictature ».


    • rogal 8 mars 19:18

      @Lonzine
      Très juste.
      1) Possibilité + utilité → effectivité. C’est chimique (voire Al-chimique).
      2) L’interprétation des données, même assistée par ordinateur (intelligence artificielle), est une tâche immense dans l’état actuel des choses. Que fait-on dans un café si l’on se doute que le voisin écoute notre conversation ? On parle allusivement. L’intelligence naturelle, bien maniée, sera toujours la plus forte dans ce domaine.
      Esprit de finesse, es-tu là ?


  • rogal 8 mars 19:30

    Très bien vos petites enquêtes sur Snowden et alii.
    Pour ce qui est de Vault 7, que penser, selon vous, de l’affirmation que des hackeurs employés par la CIA l’auraient trahie ?


    • Philippe Huysmans Philippe Huysmans 8 mars 19:54

      @rogal

      J’étais en train d’y songer, figurez-vous : j’ai un peu parcouru les documents, on reste dans le blabla... Vous pouvez gueuler le contenu avec un mégaphone au milieu de Central Park, ça reste de la floutitude complète.

      Les zero days ? Bah oui, so what ? On en trouve même à acheter sur le marché. Des outils pour les exploiter ? Aussi. L’injection DLL ? Connu depuis peu après JC (Jean Claude)... Bref, je suis légèrement dubitatif.

      En tant que programmeur, des éléments un peu plus factuels m’auraient sûrement mieux convaincu.

      Cela dit, ce que j’écris au niveau de la sécurité des terminaux est vrai, et c’est connu de ceux qui s’intéressent un tantinet à la sécurité.

      Du coup, qu’il y ait « trahison » ou pas, ça m’aide à faire passer un message qui lui est bien utile : méfiez-vous de ces gadgets, ne leur confiez rien de secret, et si vous avez un secret à murmurer à qqn, retirez d’abord la batterie de votre doudou.


    • Arcane Humphrey Binchié 8 mars 21:29

      @Philippe Huysmans

      Oui et pour correspondre de façon bien securisée les bonnes vieilles méthodes se révèlent parfois encore très efficaces.
      Prenez un gros bouquin avec plein de pages. Le correspondant à exactement le même.
      choisissez un mot du message et le retrouver dans le bouquin. Notez la page, la ligne et le numero du mot dans la ligne
      Ex : page 128, ligne 5, mot 7 soit 128.5.7
      Et ainsi de suite en changeant de pages à chaque mot.(on peut pousser le vice a faire du lettre par lettre si le mot est particulier, un nom propre par exemple)
      Assez inviolable non ?

      ps : un bon film sur le cryptage : Imitation Game
      sur l’équipe d’Alan Turing qui a réussi à casser enigma.


    • Philippe Huysmans Philippe Huysmans 8 mars 21:45

      @Humphrey Binchié : bonjour. Pour Turing, il est surtout connu pour le captcha, la définition d’automate complet et des travaux mathématiques. Pour Enigma, je crains qu’il n’ait joué qu’un rôle vraiment mineur : le travail théorique (les bombas) avaient été imaginées par des cryptologues polonais vraiment balèses et qui avaient eu entre leur mains une machine enigma version 1 si je me souviens.

      Le problème de votre système qui est vieux comme le monde (chiffre du Roi notamment), c’est qu’il nécessite d’avoir le même glossaire aux deux bouts exactement, ce qui peut éveiller les soupçons. C’est aussi ce qui était utilisé pour le chiffre de Beale, si je ne me trompe pas (pas la deuxième partie dont il a été prouvé que c’était un hoax indéchiffrable)

      Si vous êtes un peu curieux de crypto classique, j’avais moi-même développé une technique que j’ai appelé TCL qui permet de généraliser le Rail Fence, qui peut être combiné avec Vigenère, des clefs autoclaves, etc. C’est aussi une méthode qui simplifie nettement la transposition à clef (avec une exception pour les caractères de la clef s’ils se répètent). Facile à faire avec un papier et un crayon, et si vous combinez avec un vigenère et une bonne clef, c’est costaud.

      C’est expliqué très clairement, et si vous ne connaissez pas Vigenère j’ai aussi fait un article sur la crypto classique en m’attardant sur les méthodes les plus populaires.


    • rogal 8 mars 21:47

      @Philippe Huysmans
      Et, par à côté, merci pour ces magnifiques Brandebourgeois dans vos vidéos. Ça c’est l’Europe !


    • pemile pemile 8 mars 21:53

      @Philippe Huysmans "Le problème de votre système qui est vieux comme le monde (chiffre du Roi notamment), c’est qu’il nécessite d’avoir le même glossaire aux deux bouts exactement, ce qui peut éveiller les soupçons"

      Eveiller les soupçons ???


    • Philippe Huysmans Philippe Huysmans 8 mars 22:01

      @rogal - Merci,  smiley

      C’est une des meilleures interprétations que je connais : seul le chef est totalement décoratif. Les mouvements allegro du 2è et 4è sont mes préférés.

      A l’occasion si vous ne connaissez pas, jetez un oeil (et une oreille ou deux) sur Samartini (un énorme compositeur) et aussi la Chaconne de Bach par Feeley.

      Liste des vidéos (vous pouvez retrouver ceci à partir du menu en haut


    • Philippe Huysmans Philippe Huysmans 8 mars 22:04

      @pemile

      Oui une des forces de la crypto c’est par exemple le « déni plausible ». Si l’on peut recouper que votre récepteur et vous-même possédez la même version d’un même bouquin, c’est kaput.

      De plus, cela indique où il faut chercher les clés.

      C’est donc peu pratique, parce que cela nécessite un partage de véritables « dictionnaires » en plus des clés.


    • Arcane Humphrey Binchié 8 mars 22:09

      @Philippe Huysmans

      Merci pour les liens très intéressants.
      N’y connaissant rien en cryptographie, la méthode me parait cependant difficilement décryptable surtout si on a une grande bibliothèque à sa disposition ; mais je me trompe peut-être.
      J’ai l’intuition que si la clef est beaucoup plus grande que le message, cela devient bien difficile à casser.


    • Arcane Humphrey Binchié 8 mars 22:12

      ps : Le web est une grande bibliothèque et le livre peut changer à loisir


    • pemile pemile 8 mars 22:17

      @Philippe Huysmans « Si l’on peut recouper que votre récepteur et vous-même possédez la même version d’un même bouquin, c’est kaput. »

      C’est le problème de tous les systèmes à clés symétriques. Si chacun possède une belle bibliothèque, cela compliquera le « kaput », non ?

      « De plus, cela indique où il faut chercher les clés. »

      c.a.d ? Si le système utilise numéro page/ligne/mot cela laisse supposer l’utilisation d’un livre ? Chaque triplet de petite valeur peut aussi être transformé en nombre codé sur 32 bits, non ?

      « C’est donc peu pratique, parce que cela nécessite un partage de véritables « dictionnaires » en plus des clés. »

      en plus des clés ?


    • Philippe Huysmans Philippe Huysmans 8 mars 22:43

      @pemile

      La « clé » ici ce sont vos triplets de coordonnées. N’imaginez pas un quart de seconde qu’un cryptographe ne serait pas capable de vérifier leur bornage (amplitude) et d’en inférer l’usage. Ne perdez pas de vue que vous vous amusez, eux c’est leur métier parfois depuis 15 ou 20 ans.

      L’histoire qui consiste à noyer les triplets dans un word masqué binaire revient à faire de la sécurité par l’obfuscation, ce qui est à peu de chose près impardonnable en crypto, et se termine rarement bien.

      Si le sujet vous intéresse il existe des publications académiques qui traitent de la cryptanalyse de chiffres tel que Beale. Ca n’en reste pas moins un système primitif, bien pratique pour montrer dans des films d’espionnage traitant des années 1900 à 1950, mais faut quand même se souvenir qu’à l’époque, les espions avaient laissé tombé les jeujeu à la Mata hari depuis longtemps - pour mémoire elle a été fusillée.

      La sécurité doit reposer sur la fiabilité de l’algorithme et la solidité de la clé. Même Vigenère (circa 1480) répondait à ces critères raison pour laquelle il a tenu jusqu’à être cassé vers 1860, par une analyse très astucieuse elle même basée sur les travaux d’Al Kindi (11è S).

      Voilà si vous permettez je ne vais pas prolonger indéfiniment une discussion qui n’a plus qu’un rapport très lointain avec le sujet de l’article.


    • Philippe Huysmans Philippe Huysmans 8 mars 22:45

      @Philippe Huysmans

      Oups : Vigenère vers 1580 et pas 1480...


    • pemile pemile 8 mars 22:57

      @Philippe Huysmans "N’imaginez pas un quart de seconde qu’un cryptographe ne serait pas capable de vérifier leur bornage (amplitude) et d’en inférer l’usage"

      Sans connaitre le livre de référence, vous êtes sur ?


    • pemile pemile 8 mars 23:00

      @Philippe Huysmans « La « clé » ici ce sont vos triplets de coordonnées »

      Cette coordonnée ne concerne qu’un seul mot, et pour ce même mot il sera aussi utilisé une autre occurrence dans le livre.


  • Decouz 9 mars 10:31

    Dans la situation actuelle les états peuvent surveiller, mais tout spécialiste en informatique et en cryptage peut surveiller également et entrer dans les banques de données d’un état ou d’une organisation, c’est à double sens, il n’y a plus l’étanchéité (relative) qui existait auparavant et beaucoup moins le sens unique surveillant/surveillé. Il y a toujours eu des taupes et des agents doubles, mais la rapidité, l’omniprésence et la perméabilité des réseaux change la donne.
    D’après ce que j’ai compris (je ne suis pas un spécialiste ni un mathématicien), l’idéal pour les particuliers qui veulent un anonymat c’est trois niveaux de cryptage : un logiciel comme TOR qui « noie » les traces, un logiciel de cryptage avec un système clé publique/clé privée, et éventuellement un système de « tunnel » qui établit directement la communication d’un ordinateur à un autre.
    De toute façon il reste l’intelligence humaine qui seule peut saisir le sens et trouver une interprétation parmi des milliers, des millions de renseignements, on a beau avoir des tas de données, il peut y avoir des leurres, des messages faussés volontairement.


    • pemile pemile 9 mars 10:54

      @Decouz « l’idéal pour les particuliers qui veulent un anonymat »

      Quel que soit la couche d’outils de sécurité (qu’il faut en plus parfaitement maitriser), il faut d’abord être sûr de son poste client, logiciel ET matériel.


    • Philippe Huysmans Philippe Huysmans 9 mars 12:38

      @pemile

      Ce n’est désormais plus possible Pemile, à moins de prendre un ordi datant de la fin des années ’80 vous n’avez aucun moyen de savoir ce qui se passe dans les circuits intégrés, or aujourd’hui, et à l’avenir, c’est là que seront implantés les malwares.

      Dernièrement on m’avait parlé d’un malware directement implanté dans le contrôleur d’un disque dur, en reflashant le micrologiciel...

      Bref, on n’a pas le cul sorti des ronces.


    • Philippe Huysmans Philippe Huysmans 9 mars 12:41

      @Decouz ---> TOR :

      Il est intéressant de voir que TOR a également été financé par :

      • Le département d’État américain
      • Human Rights Watch (dont G. Soros est l’un des fondateurs)
      • Electronic Frontier Foundation (largement financée par G. Soros)
      • Laboratoire Naval de la marine américaine
      • Darpa (organisme de recherche militaire américain la base de l’invention d’internet)
      • Ministère des affaires étrangères allemand

      Du coup, je ne sais pas j’ai comme un « léger » doute. Oui oui je suis d’un naturel méfiant.


    • pemile pemile 9 mars 13:06

      @Philippe Huysmans « un malware directement implanté dans le contrôleur d’un disque dur, en reflashant le micrologiciel »

      Oui, et c’est l’argument pour imposer que les plateformes utilisent des microcodes signés et les CRTM (Core Root of Trust and Measurement) sécurisés par les constructeurs interdisent toutes modifications de ces microcodes.


    • pemile pemile 9 mars 13:14

      @Philippe Huysmans

      PS : Mon post n’étant pas forcément explicite, je confirme votre analyse, cela empêche donc d’avoir le contrôle de ce genre de matériel et oblige à « faire confiance » aux constructeurs ! smiley


    • Philippe Huysmans Philippe Huysmans 9 mars 13:51

      @pemile

      Ouiiii comme pour les centrifugeuse de Natanz de marque Siemens ?

      Bizarrement, les Israéliens ont quand même réussi à leur faire exécuter un code les poussant à leur destruction... Comment ? En s’étant procuré la matrice, la clé au sommet de l’archi PKI du fournisseur qui servait à signer tous les certificats. Eh oui, mathématiquement, il n’existe aucune autre option, le fait est d’ailleurs avéré.

      Donc du coup, ça complique, mais ne rend rien impossible. Et j’ajoute que si je peux pipeauter le code du bootstrap de la machine, c’est MOI qui ai le contrôle de tous les logiciels qui tourneront après, y compris les vérifications de clé. Ca aussi c’est aussi vieux que l’informatique.


    • L'enfoiré L’enfoiré 9 mars 14:20

      @Decouz,

       Bien d’accord avec votre analyse.
       Quand on surveille, on doit toujours s’attendre à être surveillé.
       La perméabilité des réseaux a totalement changé la donne.
       Rien n’est perméable.
       Les mots de passe à n chiffres-n lettres et caractères spéciaux seront bientôt remplacés par des moyens plus personnels : l’emprunte digitale, ou l’iris des yeux.
       Je suis un spécialiste de la chose puisque j’en ai fait ma profession pendant 40 ans.
       J’ai vu cette évolution galopante comme un apprenti sorcier.
       Les robots ne sont qu’une étapes.
       Je lisais récemment un patron japonais qui parlait du QI qui en moyenne s’établit au niveau 100 pour un homme et 200 pour les plus forts.Dans 30 ans il y aura des humanoïde qui auront un QI de 10.000
       


    • pemile pemile 9 mars 15:29

      @Philippe Huysmans « Ca aussi c’est aussi vieux que l’informatique. »

      Non, les PKI ne sont pas si vielles !

      Si la clé publique est gravée dans le silicium j’aimerai bien savoir comment vous allez truander les signatures ? (hors copinage avec le propriétaire de la clé privée)


    • pemile pemile 9 mars 15:40

      @L’enfoiré « Dans 30 ans l’intelligence des robots sera bien supérieure à celle des cerveaux humains »

      Ca c’est un discours marketing non démontrable, certains spécialistes de l’IA pensent que malgré tous ces progrès, nous sommes encore bien loin de produire des machines aussi intelligentes que l’humain, ni même aussi intelligentes qu’un rat :

      "Tant que le problème de l’apprentissage non supervisé ne sera pas résolu, nous n’aurons pas de machine vraiment intelligente. C’est une question fondamentale scientifique et mathématique, pas une question de technologie. Résoudre ce problème pourra prendre de nombreuses années ou plusieurs décennies. En vérité, nous n’en savons rien."
      Yann LeCun


    • Philippe Huysmans Philippe Huysmans 9 mars 15:45

      @pemile

      1) c’est le principe du « premier programme exécuté qui est le roi » qui est aussi vieux que l’informatique

      2) On se fout que la clé soit gravée (ce qui n’arrive jamais, même les micrologiciels désormais sont sur support flash, comme dans votre smartphone). Si le programme qui vient en premier décide d’en prendre une autre ou de retourner TRUE au test. C’est la méthode utilisée pour installer illégalement Win7 et suivants en dépit de l’UEFI, mind you ?

      3) On ne parle pas de copinage, les clés maître du fournisseur avaient été dérobées, permettant ainsi à la personne la possédant de signer n’importe quoi en son nom.

      4) Il y a plein de forums intéressants où vous pourrez apprendre plein de trucs utiles en sécurité informatique, moi je suis un peu fatigué, et les commentaires d’un article ne sont pas le lieu de ce genre de débats n’ayant plus rien à voir ou si peu avec l’article. Du coup, j’arrête-là cette conversation, n’y voyez nul mépris de ma part, j’attache bcp d’importance à répondre aux questions de mes lecteurs en général.


    • pemile pemile 9 mars 18:47

      @Philippe Huysmans « c’est le principe du « premier programme exécuté qui est le roi » qui est aussi vieux que l’informatique »

      Oui, à une époque sans PKI, si le deuxième programme vérifie la signature du premier, c’est cuit.

      « On se fout que la clé soit gravée »

      Non, pas si cette clé publique sert à vérifier les signatures de l’architecture

      « On ne parle pas de copinage, les clés maître du fournisseur avaient été dérobées »

      Si vous parlez de l’affaire Siemens, vous avez des sources que cela nécessitait le piratage d’une d’une PKI ? De ce que j’en ai lu, il s’agissait de mot de passe par défaut, que de plus, Siemens demandait à ses clients de ne pas le changer pour ne pas perturber le fonctionnement de certains outils !

      « ce genre de débats n’ayant plus rien à voir ou si peu avec l’article »

      Au contraire, si le matériel est sous contrôle total des fabricants, CIA et NSA n’auront même plus besoin d’exploiter des failles logicielles !


  • jeanpiètre jeanpiètre 9 mars 12:41

    je comprend mieux pourquoi tant de gens utilisent le net pour dire des banalités, ou comme moi, n’importe quoi


    • Philippe Huysmans Philippe Huysmans 9 mars 12:44

      @jeanpiètre : nan, ça c’est parce qu’ils sont comme ça dans la vraie vie aussi.

      Quand j’ai posté cet article et mon précédent, dans les deux minutes j’avais déjà des « likes », or il faut 10 minutes pour le lire. Ca vous donne une idée.

      Les gens sont comme le lapin blanc d’Alice - Pas le temps ! Je vais être en retard ! Et que font-ils de leur vie ? Rien, ils courent.


    • jeanpiètre jeanpiètre 9 mars 12:56

      je ne ferais pas de généralités sur les gens , c’est le rôle du big data, et quand on voit la réaction face à ceux qui tentent de ne pas jouer les moutons, ont les dénigrent en les qualifiant de trolls

      le trollisme est une forme de résistance

    • L'enfoiré L’enfoiré 9 mars 14:05

      @Philippe Huysmans

      Absolument, c’est fou comme les gens aiment les tchatter ou tweeter (notre Trump, president of United States en est un consommateur).
      On ne réfléchit plus, on ne prend plus le temps pour analyser ce qu’on a envie de dire et en chercher l’impact dans la vie réelle.
      C’est du Second Life 
      Si on n’a pas encore remarqué les casques qui sortent et qui n’obligeront plus de se dépalcer pour aller voir sur place, le dicton « les voyages forment la jeunesse » ne serai même plus valable.
      Maintenant, il faut aller vite, casser le temps... car le temps reste plus que jamais de l’argent.
      Qu’est-ce qui en fait réellement ?
      Les idées neuves, l’imagination, la rareté des choses...
      Mais cela ce n’est pas à la portée de n’importe qui. smiley


    • L'enfoiré L’enfoiré 9 mars 14:11

      @jeanpiètre
       Le trollisme, une forme de résistance ?
      Absolument pas. Le troll fait diversion et peut justement remettre le bateau sur les rails par l’humour.
      C’est faire marcher vos neurones qui offre la meilleure résistance.


  • Xenozoid Xenozoid 9 mars 18:54

    moi ca me m’étonne pas car le pouvoir c’est l’information, et donc la désinfo marche bien aussi, le fait de dire que vous êtes surveiller est une vieille manoeuvre,qui marche comme un filtre car vous ne pouvez pas tout controler, mais vous pouver centralisé...

    les pays qui on vu le plus de controles pendant la 2eme guerre coloniale et qui était occupé par l’allemagne venait du fait que les infos était très centralisées, les pays bas sont le meilleur exemple, les allemands n’avait plus qu’a cueillir ,tout était là sur le papier, qui était un tel et telle...
    le tri avec ibm se faisait dans les gares et ils avaient (les hollandais) depuis un moment mis tous le monde dans des boites bien avant les nazis....juste pour dire

    « Perpétuellement en guerre, le pouvoir doit gouverner avec les instruments de la peur. »

    La manipulation de cette population par la peur a été cruellement efficace. Nous ne voulons pas la preuve d’être un champignon atomique. Armes de destruction massive et d’al-machina en Irakistan. Conceptions nucléaires en Iran et empoisonée en syrie. mac guyver etait une série. Alerte orange. tout argument devient équivalant à la trahison, tout simplement parce que tout le monde a été fait pour sentir la peur en permanence. Une population effrayée est facilement gouvernée ; Cette leçon a été bien apprise et maitrisée. Cette leçon ont été magistralement appliqués (une fois de plus.) a tout les citoyens politisés, et le troupeau de se déplace comme un seul corps. Même la surveillance des citoyens innocents par l’État est brossée comme un mal nécessaire. N’oubliez pas : vous êtes surveillé.


Réagir