L’après Snowden : la confidentialité, c’est pas simple comme l’installation d’Ubuntu

Un article sur Ecran/Libération, signé des copains de l’APRIL a donné lieu à une discussion enflammée avec mon ami Bruno… Il s’agit de cet article, intitulé « L’après-Snowden : reprendre en main son informatique« . Sa saine
Abonnez-vous ou connectez-vous pour lire le reste de cet article
Twitter Facebook Google Plus email

29 thoughts on “L’après Snowden : la confidentialité, c’est pas simple comme l’installation d’Ubuntu”

  1. Effectivement si le chiffrement est différent d’un groupe de communicants à l’autre et qu’ils soient des millions, la NSA prendra quelques semaines, puis quelques mois et même plusieurs années pour rattraper son retard et là elle utilisera de nouveau les vieux moyens humains si « faillibles » pour savoir ce que trame l’ennemi, tout ceci sans garanties …

  2. Mmmh… Quand ils disent « Il ne sert donc à rien de chiffrer un message pendant son acheminement de A vers B, si A et B sont des systèmes privateurs incapables de garantir contre l’intrusion d’un tiers. » », ils veulent parlent de la connexion chiffrée entre Google et Yahoo ou du message chiffré entre Alice et Bob? Dans le premier cas, effectivement ça ne sert à rien puisque la NSA peut se ballader librement dans les mails stockés chez Google et Yahoo.

    Contre le 0-day joliment nommé « batte de baseball dans les dents », le déni plausible est censé être là pour ça. Mettez quelques films gay et 2-3 photos de vous avec un concombre entre les fesses sur le conteneur chiffré de surface pour paraitre convaincant.

  3. Salut,

    Je le dis de suite je converge largement avec vous, y’a une grande finesse, determination dans ce que vous transparaissez.
    je me demande par contre si vous ne tombez pas dans le piege du civilisationnisme. Il faut bien comprendre que la technologie est relative pour une grande part et surtout subjective dans bien des domaines.

    un exemple criant :
    lors de la course a la lune, le ricains maitrisaient l’electronique bien mi eux que les russe. Ils avaient mis au point, afin de maintenir la fusee verticale lors du decollage, un dispositif elec avec des capteurs et un sys info complexe pour l’epoque. Soit. Sauf que les russes ont utilise un systeme de bascule, par gravité…

    ex-informaticien et (tjrs) militant, je peux juste dire que l’info m’a  »seulement » permis de lire des choses que j’aurais soit en livred si y’avait pas eu d’ordi, entendues si j’avais pas eu de livres, ressenties si j’avais pas eu de mots…
    malheureusement c’est a mon sens illusion que le  »nouveau » soit porteur d’un changement de fond… faut lire les vieux de l’avant veille comme laotseu, la philo indienne, heraclite, epicure, voir aussi ce petit livre  »lettres a lucilius » (Sénèque) … pour comprendre que le fonctionnement humain est le meme… l’horizontalité, c’est la tribue, le copain (compagnon de pain, ethymologiquement). l’information transversale, c’est la sincerité. les valeurs morales, c’est l’empathie…

    et si l’on pense que l’info est l’outil magique, les premieres citees mesopotamienne avec leur agriculture conventionnelle et leurs bureaucraties institutionnelles (se rappeller que l’ecriture est venue de l’idee du controle de cette bureaucratie), ca aurait du etre quoi ?
    La  »democratie » athenienne (plutot la citoyennocratie… derivé de l’oligarchie) qui consistait a voler du temps de labeur aux meteques
    afin de bien vivre entre potes (les femmes exclues) dans la meme chaumiere.

    Quid de la soit disante angleterre precurseur en droit de l’homme qui permit a Watts de maintenir un brevet sur une  »techno » qui a ravagé son propre peuple, son air et sa flore…

    et les idee  »nouvelles » napoleoniennes de reboiser la france (probleme causé par les precedents  »progres civilisation », c’etait plutot un calcul imperialiste…

    et le nucleaire, qui a permit d’accroitre des besoins encore plus virtuels, comme s’inquieter des consequences….de ce meme nucleaire…

    finalement, des gens de pouvoir ont illusionné les autres vers une idee qui deguisait une simple (mais excessive) intention d’assoir domination. on peut pas dire que tout outil est mauvais, mais a quoi sert par ex de travailler a mitemps pour payer son eau son chauffage ses legumes alors qu’en prinicipe (je le pratique en debutant) ce temps permet de le faire sois meme. ca empeche pas de reflechir, bien au contraire, en lieu apaisé, esprit apaisé. je dirais meme que ce qui est dur a vivre c’est s’obstiner (je le fais aussi) a s’interesser a la tournure que prends le monde a tout les instants, cela dit, je prefere ce reflexe a celui de l’autruche.

    Kenavo de Catalogne du nord ;)

    1. Salut,
      ce que tu dits est correcte mais tu ne parle pas du même problème que nous.

      Tu évoque les « progrès » qui n’en sont pas des bons mais ‘nous’ on tente de faire comprendre aux gens que l’argument « j’ai rien a cacher de toute façon » n’est pas valable (même pour un sourd muer macho) et qu’il faut au moins tenter d’empêcher les géants de la surveillance de bafouer notre intimité.

      Amicalement, La Pensée (je suis de catalogne aussi :D )

  4. Tous ça pour dire ça ? Wouhahou!
    Ce que j’ai retenu, c’est que pour vous, s’exprimer sans tchador sur le Web c’est être un bien pensant… Vous confondez ceux qui sont toujours d’accord avec le système et qui voteront fasciste mou, fasciste déguisé ou fasciste décomplexé chaque fois qu’ils le pourront, croyant que le pouvoir est toujours de leur côté – d’un côté, et ceux qui comme moi pensent que quand on assume sa différence et qu’on est fier de dire merde au(x) pouvoir(s) on a pas besoin d’un masque – de l’autre. Merci de ne pas nous mettre dans le même panier.

      1. Et je n’ai rien contre ceux qui préfèrent rester anonymes cachés derrière la foule à crier « à mort! » quand on mène un énième cahuzac au bucher médiatique, je n’ai contre eux, non… sauf quand leur surnom guerrier s’écrit Staline.

  5. Juste un point important.

    openssl, nginx avaient avant l’affaire snowden et encore aujourd’hui des valeurs par défaut criminelle. Genre RC4 pour nginx.

    Ensuite, d’après l’april, le libre nous protège parce que c’est ouvert.

    Hum, personne n’a moufté quand la NSA a influencé les comités ouverts pour suggérer des valeurs perraves pour les générateurs de nombres pseudo aléatoires. http://en.wikipedia.org/wiki/Dual_EC_DRBG. Cette vulnérabilité était la valeur par défaut dans openSSL, le fleuron de la cryptographie sous linux. Pourtant, les discussions ont été ouvertes, accessibles, débattues.

    Le libre ne protège de rien. C’est juste du logiciel. Seul une tête bien faite peut aider. Et je ne crois pas que le prosélytisme basé sur des arguments fallacieux au limite de la mauvaise foi vont aider ni les gens, ni la sécurité, ni le logiciel libre.

    1. Le seul avantage du libre sur le propriétaire, c’est que dans certains cas (disons les projets les plus importants) lorsqu’une faille de sécurité est publiée une solution arrive assez vite.

      Mais sinon c’est tout.

    2. Dans l’article wikipedia que vous citez :

      « OpenSSL did not use Dual_EC_DRBG as the default CSPRNG, and it was discovered in 2013 that a bug made the OpenSSL implementation of Dual_EC_DRBG non-functioning, meaning that no one could have been using it. »

      Donc à priori non : ce n’était pas la valeur par défaut.

      D’après ce que j’ai pu lire sur le sujet, le problème concerne surtout les logiciels (souvent non libres) qui utilisent openSSL (ou autre logiciel) avec Dual_EC_DRBG.

      Sur la question de l’implémentation de la faille dans openSSL, vous pouvez lire http://marc.info/?l=openssl-announce&m=138747119822324

  6. Un petit problème avec le principe : du chiffrement contre l’espionnage non ciblé.
    Le problème c’est que le chiffrement ne cache pas les méta-data, or dans l’espionnage de masse non-ciblé, c’est ce genre d’information qu’ils vont rechercher.

    Si on sait que vous avez appelé un service de prostituées, puis quelques semaines plus tard avez appelez un médecin, puis juste après votre assurance. Il y a pas besoin de déchiffrer les communications pour savoir ce qui se passe.

  7. Oula …
    j’ai pas dis du mal d’un des rares sites d’info que je suis encore … et meme si j’emettais une critique je ne vois pas pourquoi cela serait interdit … je suis au contraire heureux qu’il y ait des lanceurs d’alerte …
    il est tout aussi mieux de ne pas etre anonyme et etre soutenu. Je me suis relu. J’ai pas parlé de staline ? Peut etre leterme  »transparaitre » a ete mal interpreté ou mal placé ?

  8. En effet, il faut savoir de quoi on veut se protéger (menace « niveau » 1, 2, 3 par ex) pour savoir ce qu’il faut faire (mesures niveau 1,2,3). Essayer de prendre toujours les mesures un petit cran au dessus de la menace identifiée.

    C’est ce que j’ai compris, n’était pas du tout expert.

    Mais, je ne vois pas ce que je peux faire de plus si déjà j’arrive à mettre (pas encore tout réussi à faire sous ubuntu):
    – un ubuntu (niveau débutant en logiciel libres)
    – un VPN (ip-freedom)
    – chiffrer mes mails (add on GPG sur Thunderbird)
    – des paswword forts (keepass)
    – Truecrypt pour ce qui est important.
    – chromium, avec des ptit addon genre httpseverywhere,flashblock,adblock+, ghostery.

    Peut être en plus, changer de FAI pour la FDN ?

    Je crois que les pc sont la partie « old shcool » de la sécurité informatique… quid des smartphone ?

    Il parait qu’il y a sur tous les smartphone une « boite noire » non encore epxlorée « a fond »… Il faut donc etre encore plus attentif et sécuriser autant son smartphone. Les soft dont on a entendu parler à la cryptoparty ce mois ci sont intéressants, et il en existe pas mal. A voir…

    Pour ce qui est des habitudes, et du fait que l’humain est la première faille, c’est sûr… mais s’il faut une discipline militaire pour exister sur le web… la liberté c’est aussi de pouvoir prendre des risques, commettre des imprudences… c’est nécessaire pour innover aussi non ?

    Merci pour ce post Bluetouff, et si quelqu’un à le temps de répondre à mes « questions » il aura le droit à toute ma sympathie !

  9. Ce n’est pas le chiffrement qui est dénigré par l’April, ce sont les conditions du chiffrement !
    Avec un os privateur et/ou des logiciels privateurs, ces conditions rendent le chiffrement caduc et inopérant !!!

  10. Bonjour,

    précisons que la tribune pour Libération n’avait pas pour objectif
    d’être exhaustive et s’adressait à un public à priori néophyte à qui
    on proposait d’avoir une première démarche active. Celle-ci étant de
    donner la priorité au logiciel libre pour son informatique classique
    on va dire. Certains sujets ne sont ainsi qu’effleurés (services
    hébergés centralisés) et on ne propose pas au public cible de passer
    tout de suite au tout logiciel libre, de chiffrer ses communications,
    d’installer des services hébergés chez lui, de rooter son téléphone…
    C’est un axe assumé mais qui évidemment influe sur le contenu.

    Il est possible qu’il y ait eu maladresse dans la réaction et/ou que
    la lecture de la tribune laisse penser que le chiffrement n’est pas
    utile. Ce n’était évidemment pas le but.

    Dans le tryptique logiciel libre, chiffrement, auto-hébergement chaque
    outil est vital. Mais notre choix est de proposer au lecteur de
    Libération de commencer par choisir des outils libres.

    Bien sûr, si tu ou Bruno vous voyez une reformulation (ou une
    précision à apporter) n’hésitez pas. Je peux mettre à jour la version
    en ligne.

    Et je suis sûr que Libé serait preneur d’une tribune complémentaire :)

  11. > « Si on lit en diagonale, on se dit que de toutes façons, c’est fichu »

    C’est même le principal problème dans ce débat — la tendance au fatalisme. Alors effectivement, il y a une différence à faire entre la collecte de masse et la surveillance ciblée ; entre sécurité des données et sécurité des métadonnées ; entre sécurité individuelle et hausse générale du niveau de sécurité collective des communications.

    Les « papas » d’Internet se mordent effectivement un peu les doigts, mais ils ne restent pas inactifs. Ceci écrit « en direct » de Londres où la privacy est au coeur d’un paquet de discussions à l’IETF. Avec un changement de perspective intéressant — il ne s’agit plus de trouver des solutions *parfaites*, mais de trouver de *bonnes* solutions qui permettent d’améliorer notablement l’existant — en décourageant la collecte de masse.

    Il paraît qu’on n’y a jamais tant parlé cryptographie que depuis quelques mois ;)

    (Par ailleurs ça trouve ses limites en matière de déploiement, mais c’est encore un autre débat.)

    Je renvoie à l’excellente intervention de Bruce Schneier lors de l’édition précédente : https://www.youtube.com/watch?v=oV71hhEpQ20

    Donc oui, transparence, hébergement, décentralisation, mais avec des décimales entre 0 et 1 :D

    Sinon, petite note pour Kitetoa : on n’est pas des masses à faire de la formation de journaliste à journalistes, mais pour ceux que je connais (dont ma pomme), on ne se contente évidemment pas de former aux outils, en transversal c’est du threat modeling appliqué à la protection des sources (genre comme ici http://courses.jmsc.hku.hk/jmsc6041spring2013/2013/02/08/assignment-6-threat-modeling-and-security-planning/). Le « faux sentiment de sécurité », je ne sais pas où tu l’as vu, perso j’ai plutôt l’impression de faire monter le niveau de parano ;) Expliquer où sont les vulnérabilités, quelles sont les limites de chaque outil, je vois difficilement comment ça pourrait empirer la situation :)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *