Opposez-vous à Chat Control !
►https://framablog.org/2023/10/25/opposez-vous-a-chat-control
Sur ce blog, nous transposons régulièrement différents points de vue concernant les luttes pour les #Libertés_numériques. Dans ce domaine, on constate souvent que les mouvements sociaux (solidariste, durabilistes, préfiguratifs, etc.) ne prennent que trop rarement en compte les implications … Lire la suite
Comme si l’intention d’interdire ou de fragiliser le #chiffrement n’était pas déjà assez grave, il y a encore pas mal d’autres choses qui nous inquiètent sérieusement avec Chat Control. Ainsi, l’introduction de systèmes de #blocage_réseau4 est également en discussion. Plus grave encore, l’obligation de vérifier l’âge et donc de s’identifier en ligne. Cela aussi fait explicitement partie du projet. Il s’agira de faire en sorte que l’accès à certains sites web, l’accès aux contenus limités selon l’âge, l’utilisation et le téléchargement de certaines applications comme Messenger, ne soient possibles qu’avec une #identification, par exemple avec une carte d’identité électronique ou une #identité_numérique.
Voici l’accomplissement du vieux rêve de tou·tes les Ministres de l’Intérieur et autres autoritaires du même acabit. L’obligation d’utiliser des vrais noms sur Internet et la « neutralisation » des #VPN5, #TOR et autres services favorisant l’#anonymat figurent depuis longtemps sur leurs listes de vœux. Et ne négligeons pas non plus la joie des grands groupes de pouvoir à l’avenir identifier clairement les utilisateur·ices. L’UE se met volontiers à leur service6. Tout comme le gouvernement allemand, Nancy Faser en tête, qui se distingue par ailleurs avec une politique populiste et autoritaire de droite.
#internet #libertés_numériques #libertés_politiques #libertés #messageries #communications_chiffrées #signal #telegram #Europe #chat_control #surveillance #surveillance_de_masse #auto-défense_numérique
[on veut un chiffrement de bourre en bourre] Casser le chiffrement des messageries, un serpent de mer politique inapplicable
►https://www.lemonde.fr/pixels/article/2023/10/20/casser-le-chiffrement-des-messageries-un-serpent-de-mer-politique-inapplicab
Interrogé sur BFM-TV, jeudi 19 octobre, le ministre de l’intérieur, Gérald Darmanin, a désigné une cible bien commode pour expliquer que le terroriste ayant assassiné le professeur de français Dominique Bernard à Arras, vendredi 13 octobre, ait pu agir alors même qu’il était sous surveillance rapprochée des services de renseignement : les applications de #messagerie.
« Hier encore, les écoutes téléphoniques classiques nous renseignaient sur la grande criminalité et le terrorisme. Aujourd’hui, les gens passent par Telegram, par WhatsApp, par Signal, par Facebook (…) Ce sont des messageries cryptées (…) On doit pouvoir négocier avec ces entreprises ce que vous appelez une “porte dérobée”. On doit pouvoir dire : “Monsieur Whatsapp, Monsieur Telegram, je soupçonne que M. X va peut-être passer à l’acte, donnez-moi ses conversations.” »
L’argument semble frappé au coin du bon sens et M. Darmanin s’est dit favorable à un changement de la loi pour imposer aux plates-formes de fournir le contenu des messages chiffrés lorsque les autorités le requièrent. Le problème, pourtant, c’est que ces demandes sont contraires à des lois bien plus difficiles à faire évoluer que celles de la République : celles des mathématiques.
.... la seule méthode efficace dont disposent les enquêteurs pour lire le contenu de conversations WhatsApp ou Signal est tout simplement d’avoir accès aux téléphones ou ordinateurs utilisés par un ou plusieurs interlocuteurs d’une conversation. C’est d’ailleurs ce qu’ont tenté de faire les agents qui surveillaient l’auteur de l’attentat d’Arras, a rappelé M. Darmanin, en le contrôlant la veille de l’attaque dans l’espoir de mettre la main sur son téléphone portable, sans succès.
►https://www.lemonde.fr/pixels/article/2023/10/20/casser-le-chiffrement-des-messageries-un-serpent-de-mer-politique-inapplicab
▻https://justpaste.it/c9a2b
Attentat d’Arras : comment la DGSI a échoué à accéder aux messages cryptés de Mogouchkov
▻https://www.lexpress.fr/societe/attentat-darras-comment-la-dgsi-a-echoue-a-acceder-aux-messages-cryptes-de-
.... le travail de la Direction générale de la sécurité intérieure (#DGSI) a bel et bien été compliqué par une immense faiblesse technique : l’incapacité du service secret français à accéder aux conversations du terroriste, Mohammed Mogouchkov, sur les messageries cryptées, WhatsApp, Signal, Telegram et Snapchat. L’enquête judiciaire en cours montre d’ailleurs que l’assaillant entretenait une correspondance troublante sur Snapchat avec un détenu fiché S pour radicalisation islamiste, Maxime C., par l’intermédiaire d’un des membres de la famille de ce dernier. Dans une de ces missives, le prisonnier radicalisé et prosélyte évoque « la mort douce avec l’épée à la main », selon Le Parisien.
Le #contrôle_d’identité diligenté à l’encontre de Mogouchkov par les policiers, jeudi 12 octobre, la veille de l’attentat, avait notamment pour but de placer un #logiciel_espion dans son téléphone portable. Gérald Darmanin l’a reconnu au détour d’une réponse passée inaperçue lors de sa conférence de presse du 14 octobre : "La veille de l’attentat, nous avons procédé à l’interpellation de cette personne pour vérifier qu’il n’avait pas des armes sur lui mais aussi pour procéder à d’autres techniques de #renseignement plus intrusives, c’est-à-dire notamment d’avoir accès à son téléphone et aux messageries
« Affaire du 8 décembre 2020 » : un procès pour terrorisme d’ultragauche sur des bases fragiles
▻https://www.lemonde.fr/societe/article/2023/09/25/affaire-du-8-decembre-2020-le-proces-d-une-supposee-menace-terroriste-d-ultr
Sept personnes sont renvoyées à partir du 3 octobre devant le tribunal correctionnel de Paris pour « association de malfaiteurs terroriste ». Ce dossier terroriste d’ultragauche est le premier à être jugé depuis le groupe Action directe, dont le dernier procès remonte à 1995.
►https://soutienauxinculpeesdu8decembre.noblogs.org
–—
Suivi du procès qui a débuté mardi 3 octobre 2023 :
►https://seenthis.net/messages/1019505
–—
En commentaire ci-dessous : détails sur l’affaire.
Une erreur dans cet extrait du Monde.
En 2012, il y a eu le procès « Mauvaises intentions » :
►https://cafard93.wordpress.com/2012/03/15/lenfer-des-bonnes-intentions
C’est un groupe qui n’a pas de nom. Un groupe dont la plupart des membres ne se connaissent pas. Un groupe sans lieu ni objectif défini. Bref, ce n’est pas vraiment un groupe. Mais cela n’a pas empêché les juges antiterroristes de renvoyer sept individus – six hommes et une femme – classés politiquement à l’ #ultragauche devant un tribunal pour « association de malfaiteurs #terroriste ». Leur procès doit se tenir du 3 au 27 octobre devant la 16e chambre correctionnelle du tribunal judiciaire de Paris. Ils encourent jusqu’à dix années de prison.
Par quelque bout qu’on le prenne, le dossier tient essentiellement sur une seule personne : Florian D., qui se fait appeler désormais « Libre Flot ». Agé de 39 ans, ce militant anarchiste est parti combattre au Kurdistan syrien aux côtés des Unités de protection du peuple (#YPG), des brigades intégrées aux Forces démocratiques syriennes contre l’organisation Etat islamique (EI), d’avril 2017 à janvier 2018.
A l’été et à l’automne 2020, les pièces versées au dossier vont même en décroissant. Les écoutes sont de peu d’intérêt, seule la sonorisation du camion dans lequel vit et se déplace Florian D. vient alimenter quelque peu le dossier. Or, en novembre 2020, les enquêteurs apprennent que Florian D. a l’intention de vendre son camion et de partir à l’étranger. Il est alors décidé, au terme d’une réunion le 19 novembre 2020 entre la #DGSI, le #PNAT et le juge d’instruction Jean-Marc Herbaut, d’interpeller les mis en cause. Le coup de filet a lieu le 8 décembre 2020, les mises en examen de sept des onze interpellés, appréhendés dans toute la France et ramenés au siège de la DGSI, sont prononcées le 11 décembre.
Au bout de quinze mois d’isolement, qu’il assimile à de la « torture blanche » et qui a occasionné pertes de mémoire, désorientation spatiotemporelle, etc., Florian D. a mené une grève de la faim d’un mois, qui s’est achevée par sa remise en liberté sous contrôle judiciaire. Après sa sortie de prison, il a attaqué l’Etat devant le tribunal administratif de Versailles et a obtenu, le 18 avril 2023, l’annulation des décisions de mise à l’isolement et la condamnation de l’Etat à 3 000 euros de réparations.
« Dans ce dossier, le PNAT et le juge d’instruction ont plaqué de manière totalement artificielle une méthodologie et un récit directement empruntés au terrorisme djihadiste, estiment les deux avocates. On retrouve la notion de “séjour sur zone” [au Kurdistan syrien] pour aller combattre, la figure du “revenant” tout comme l’idée d’un “réseau transnational” kurde. C’est absurde, il n’y a jamais eu de lien entre une entraide internationale au Rojava et des actions en Occident, c’est un procédé grossier pour criminaliser à bas coût l’extrême gauche. Au contraire, les Kurdes combattent Daech [acronyme arabe de l’organisation Etat islamique], avec l’appui de la coalition. » « Il ne faut pas oublier que nous défendons quelqu’un qui a combattu Daech au péril de sa vie », renchérit Me Kempf, qui assure la défense de Florian D., avec Me Coline Bouillon. D’autant qu’il n’est pas illégal d’aller combattre avec les YPG au Kurdistan, comme le confirme un jugement du tribunal administratif du 31 mars 2017.
Pour Mes Simon et Vannier, « ce dossier pose les bases de ce qui va suivre : les notions d’écoterrorisme et de terrorisme intellectuel agités par Gérald Darmanin depuis un an, la dissolution des Soulèvements de la Terre [ #slt ] en juin ». Me Kempf, lui, y voit la logique dévorante de l’antiterrorisme en action : « Les acteurs de l’antiterrorisme ont besoin de se nourrir de dossiers pour justifier leur existence. Avec le reflux du djihadisme, on peut penser qu’ils ont besoin de se tourner vers d’autres horizons. Or, eux seuls décident, en fonction de critères obscurs, de ce qui est terroriste ou pas. » Pour Mes Chalot et Arnaud, « ce dossier est une porte ouverte extrêmement dangereuse pour les années qui viennent ».
Des avocats expriment la crainte d’une requalification terroriste à l’avenir de plusieurs dossiers de destruction de biens dans lesquels les Soulèvements de la Terre sont poursuivis.
AFFAIRE DU 8 DÉCEMBRE -L’antiterrorisme à l’assaut des luttes sociales
▻https://lundi.am/Affaire-du-8-decembre
Le 8 décembre 2020, une opération antiterroriste visait 9 militants politiques français. Les quelques éléments de langage et de procédure distillés dans la presse par la police laissent alors songeur. Une association de Paint Ball, un artificier qui travaille à Disneyland et quelques discussions de fin de soirée où l’on dit tout le mal que l’on pense de la police nationale captées par des micros cachés par la DGSI. À partir du 3 octobre, sept personnes seront jugées à Paris, soupçonnées de participation à une association de malfaiteurs en relation avec une entreprise terroriste. Afin de mieux saisir les enjeux comme le fond de cette affaire, nous avons reçu cette analyse détaillée et politique du dossier d’instruction.
#luttes #antiterrorisme #police #justice #enquête #téléphonie #fadettes #géolocalisation
Ça parait tout droit issu de la culture des recrues de l’intérieur nourrie de la bibliothèque rose, un truc comme la DGSI et le club des cinq ou bien Darmanin et La girafe noire
Et pourtant, la DGSI n’avait pas lésiné sur les moyens de surveillance. A la sonorisation de lieux d’habitation, s’ajoutent des milliers d’heures d’écoutes téléphoniques, le recours à la géolocalisation en temps réel, des dizaines d’opération d’IMSI catching, des centaines de filatures et bien entendu l’analyse des dizaines de supports numériques saisis lors des arrestations et des comptes associés (mails, réseaux sociaux...). Soit sept intimités violées pour venir satisfaire la curiosité malsaine des quelques 106 agent.es du renseignement ayant travaillé sur ce dossier.
Affaire du « 8 décembre » : le droit au chiffrement et à la vie privée en procès - 2 octobre 2023
►https://www.laquadrature.net/2023/10/02/affaire-du-8-decembre-le-droit-au-chiffrement-et-a-la-vie-privee-en-pr
Le 3 octobre prochain s’ouvrira le procès de l’affaire dite du « 8 décembre ». Sept personnes sont accusées d’association de malfaiteurs terroriste. Pour construire le récit du complot terroriste, les services de renseignement de la DGSI chargés de l’enquête judiciaire, le parquet national antiterroriste (PNAT) puis le juge d’instruction instrumentalisent à charge le fait que les inculpé·es utilisaient au quotidien des outils pour protéger leur vie privée et chiffrer leurs communications . Face à cette atteinte inédite, que nous documentions longuement il y a quelques mois, le temps de ce procès va donc être crucial dans la bataille contre les velléités récurrentes de l’État de criminaliser des pratiques numériques banales, sécurisées et saines, pratiques que nous défendons depuis toujours.
[...]
Ce procès est une énième attaque contre les libertés fondamentales, mais surtout un possible aller sans retour dans le rapport que l’État entretient avec le droit à la vie privée. Alors votre mobilisation est importante ! Rendez-vous demain, 3 octobre, à 12h devant le tribunal de Paris (Porte de Clichy) pour un rassemblement en soutien aux inculpé·es. Puis si vous le pouvez, venez assister aux audiences (qui se tiendront les après-midis du 3 au 27 octobre au tribunal de Paris) afin de montrer, tous les jours, solidarité et résistance face à ces attaques.
–—
Affaire du 8 décembre : le chiffrement des communications assimilé à un comportement terroriste - 5 juin 2023
►https://www.laquadrature.net/2023/06/05/affaire-du-8-decembre-le-chiffrement-des-communications-assimile-a-un-
nous avons été alerté du fait que, parmi les faits reprochés (pour un aperçu global de l’affaire, voir les références en notes de bas de page7), les pratiques numériques des inculpé·es, au premier rang desquelles l’utilisation de messageries chiffrées grand public, sont instrumentalisées comme autant de « preuves » d’une soi-disant « clandestinité » qui ne peut s’expliquer que par l’existence d’un projet terroriste.
Nous avons choisi de le dénoncer.
–—
« Affaire du 8 décembre 2020 » : le #chiffrement des communications des prévenus au cœur du soupçon
▻https://www.lemonde.fr/societe/article/2023/09/25/affaire-du-8-decembre-2020-le-chiffrement-des-communications-des-prevenus-au
22 sept. 2023
▻https://www.auposte.fr/ultra-gauche-quand-lantiterrorisme-deraille-le-proces-de-ceux-appeles-les-8-
Ce matin, Au Poste (@davduf) a fait le point avec Chloé Chalot, avocate bien connue de nos services, et Camille, une des 7 personnes poursuivies. Par le menu, ont été abordés les arrestations, les détentions, les accusations, les surveillances, les interrogatoires.
Procès pour terrorisme d’ultragauche : la cause kurde en filigrane de l’accusation
▻https://www.lemonde.fr/societe/article/2023/10/03/proces-pour-terrorisme-d-ultragauche-la-cause-kurde-en-filigrane-de-l-accusa
Florian D. et six autres personnes sympathisantes de l’ultragauche sont jugées à Paris à partir de mardi. A l’origine du dossier, le séjour de Florian D. au Kurdistan syrien, durant lequel il a appris le maniement des armes pour combattre l’organisation Etat islamique.
Suivi du procès qui a débuté mardi 3 octobre 2023 :
►https://cqfd-journal.org/Le-match-retour-de-Tarnac
Le procès ? Quand je suis sorti de taule, la lieutenante de mon bâtiment m’a fait sa petite morale et a ajouté : “Faites attention à vous, votre affaire c’est le match retour de Tarnac.”
How a ubiquitous keyboard app puts hundreds of millions of Chinese users at risk | MIT Technology Review
▻https://www.technologyreview.com/2023/08/21/1078207/sogou-keyboard-app-security-loophole/?truid=a497ecb44646822921c70e7e051f7f1a
For millions of Chinese people, the first software they download on a new laptop or smartphone is always the same: a keyboard app. Yet few of them are aware that it may make everything they type vulnerable to spying eyes.
Since dozens of Chinese characters can share the same latinized phonetic spelling, the ordinary QWERTY keyboard alone is incredibly inefficient. A smart, localized keyboard app can save a lot of time and frustration by predicting the characters and words a user wants to type. Today, over 800 million Chinese people use third-party keyboard apps on their PCs, laptops, and mobile phones.
But a recent report by the Citizen Lab, a University of Toronto–affiliated research group focused on technology and security, revealed that Sogou, one of the most popular Chinese keyboard apps, had a massive security loophole.
“This is an app that handles very sensitive information—specifically, every single thing that you type,” says Jeffrey Knockel, a senior research associate at the Citizen Lab and coauthor of the report. “So we wanted to look into that in greater detail and see if this app is properly encrypting this very sensitive data that it’s sending over the network—or, as we found, is it improperly doing it in a way that eavesdroppers could decipher?”
Indeed, what he and his colleagues found was that Sogou’s encryption system could be exploited to intercept and decrypt exactly what people were typing, as they were typing it.
Sogou, which was acquired by the tech giant Tencent in 2021, quickly fixed this loophole after the Citizen Lab researchers disclosed it to the company.
“User privacy is fundamental to our business,” a Sogou spokesperson told MIT Technology Review. “We have addressed the issues identified by the Citizen Lab and will continue to work so that user data remains safe and secure. We transparently disclose our data processing activities in our privacy policy and do not otherwise share user data.”
But there’s no guarantee that this was the only vulnerability in the app, and the researchers did not examine other popular keyboard apps in the Chinese market—meaning the ubiquitous software will continue to be a security risk for hundreds of millions of people. And, alarmingly, the potential for such makes otherwise encrypted communications by Chinese users—in apps like Signal, for example—vulnerable to systems of state surveillance.
An indispensable part of Chinese devices
Officially called input method editors (IMEs), keyboard apps are necessary for typing in languages that have more characters than a common Latin-alphabet keyboard allows, like those with Japanese, Korean, or Indic characters.
For Chinese users, having an IME is almost a necessity.
“There’s a lot more ambiguity to resolve when typing Chinese characters using a Latin alphabet,” says Mona Wang, an Open Technology Fund fellow at the Citizen Lab and another coauthor of the report. Because the same phonetic spelling can be matched to dozens or even hundreds of Chinese characters, and these characters also can be paired in different ways to become different words, a keyboard app that has been fine-tuned to the Chinese language can perform much better than the default keyboard.
Related Story
An early mock-up of a Chinese bitmap font made by the Graphic Arts Research Foundation (GARF).
Behind the painstaking process of creating Chinese computer fonts
More than 40 years ago, designers drew and edited thousands of characters by hand to make it possible to type and print in Chinese.
Starting in the PC era, Chinese software developers proposed all kinds of IME products to expedite typing, some even ditching phonetic spelling and allowing users to draw or choose the components of a Chinese character. As a result, downloading third-party keyboard software became standard practice for everyone in China.
Released in 2006, Sogou Input Method quickly became the most popular keyboard app in the country. It was more capable than any competitor in predicting which character or word the user actually wanted to type, and it did that by scraping text from the internet and maintaining an extensive library of Chinese words. The cloud-based library was updated frequently to include newly coined words, trending expressions, or names of people in the news. In 2007, when Google launched its Chinese keyboard, it even copied Sogou’s word library (and later had to apologize).
In 2014, when the iPhone finally enabled third-party IMEs for the first time, Chinese users rushed to download Sogou’s keyboard app, leaving 3,000 reviews in just one day. At one point, over 90% of Chinese PC users were using Sogou.
Over the years, its market dominance has waned; as of last year, Baidu Input Method was the top keyboard app in China, with 607 million users and 46.4% of the market share. But Sogou still had 561 million users, according to iiMedia, an analytics firm.
Exposing the loophole
A keyboard app can access a wide variety of user information. For example, once Sogou is downloaded and added to the iPhone keyboard options, the app will ask for “full access.” If it’s granted, anything the user types can be sent to Sogou’s cloud-based server.
Connecting to the cloud is what makes most IMEs successful, allowing them to improve text prediction and enable other miscellaneous features, like the ability to search for GIFs and memes. But this also adds risk since content can, at least in theory, be intercepted during transmission.
It becomes the apps’ responsibility to properly encrypt the data and prevent that from happening. Sogou’s privacy policy says it has “adopted industry-standard security technology measures … to maximize the prevention of leak, destruction, misuse, unauthorized access, unauthorized disclosure, or alteration” of users’ personal information.
“People generally had suspicions [about the security of keyboard apps] because they’re advertising [their] cloud service,” says Wang. “Almost certainly they’re sending some amount of keystrokes over the internet.”
Nevertheless, users have continued to grant the apps full access.
When the Citizen Lab researchers started looking at the Sogou Input Method on Windows, Android, and iOS platforms, they found that it used EncryptWall, an encryption system it developed itself, instead of Transport Layer Security (TLS), the standard international cryptographic protocol that has been in use since 1999. (Sogou is also used on other platforms like MacOS and Linux, but the researchers haven’t looked into them.)
One critical difference between the two encryption systems, the Citizen Lab found, is that Sogou’s EncryptWall is still vulnerable to an exploit that was revealed in 2002 and can turn encrypted data back into plain text. TLS was updated to protect against this in 2003. But when they used that exploit method on Sogou, the researchers managed to decrypt the exact keystrokes they’d typed.
Example of recovered data; line 19 contains the user-typed text and line 2 contains the package name of the app in which the text is being typed.
THE CITIZEN LAB
The existence of this loophole meant that users were vulnerable to all kinds of hacks. The typed content could be intercepted when it went through VPN software, home Wi-Fi routers, and telecom providers.
Not every word is transmitted to the cloud, the researchers found. “If you type in nihao [‘hello’ in Chinese] or something like that, [the app] can answer that without having to use the cloud database,” says Knockel. “But if it’s more complicated and, frankly, more interesting things that you’re typing in, it has to reach out to that cloud database.”
Along with the content being typed, Knockel and his Citizen Lab colleagues also obtained other information like technical identifiers of the user’s device, the app that the typing occurred in, and even a list of apps installed on the device.
A lot of malicious actors would be interested in exploiting a loophole like this and eavesdropping on keystrokes, the researchers note—from cybercriminals after private information (like street addresses and bank account numbers) to government hackers.
(In a written response to the Citizen Lab, Sogou said the transmission of typed text is required to access more accurate and extensive vocabularies on the cloud and enable a built-in search engine, and the uses are stated in the privacy agreement.)
This particular loophole was closed when Tencent updated the Sogou software across platforms in late July. The Citizen Lab researchers found that the latest version effectively fixed the problem by adopting the TLS encryption protocol.
How secure messaging becomes insecure
Around the world, people who are at high risk of being surveilled by state authorities have turned to apps that offer end-to-end encryption. But if keyboard apps are vulnerable, then otherwise encrypted communication apps like Signal or WhatsApp are now also unsafe. What’s more, once a keyboard app is compromised, even an otherwise offline app, like the built-in notebook app, can be a security risk too.
(Signal and WhatsApp did not respond to MIT Technology Review’s requests for comment. A spokesperson from Baidu said, “Baidu Input Method consistently adheres to established security practice standards. As of now, there are no vulnerabilities related to [the encryption exploit Sogou was vulnerable to] within Baidu Input Method’s products.”)
As early as 2019, Naomi Wu, a Shenzhen-based tech blogger known as SexyCyborg online, had sounded the alarm about the risk of using Chinese keyboard apps alongside Signal.
“The Signal ‘fix’ is ‘Incognito Mode’ aka for the app to say ‘Pretty please don’t read everything I type’ to the virtual keyboard and count on Google/random app makers to listen to the flag, and not be under court order to do otherwise,” she wrote in a 2019 Twitter thread. Since keyboard apps have no obligation to honor Signal’s request, “basically all hardware here is self-compromised 5 minutes out of the box,” she added.
Wu suspects that the use of Signal was the reason some Chinese student activists talking to foreign media were detained by the police in 2018.
In January 2021, Signal itself tried to clarify that its Incognito Keyboard feature (which only works for users on Android systems, which are more vulnerable than iOS) was not a foolproof privacy solution: “Keyboards and IME’s can ignore Android’s Incognito Keyboard flag. This Android system flag is a best effort, not a guarantee. It’s important to use a keyboard or IME that you trust. Signal cannot detect or prevent malware on your device,” the company added to its article on keyboard security.
« Attachés aux libertés fondamentales dans l’espace numérique, nous défendons le droit au chiffrement de nos communications »
▻https://www.lemonde.fr/idees/article/2023/06/14/attaches-aux-libertes-fondamentales-dans-l-espace-numerique-nous-defendons-l
Le chiffrement des communications est un droit indissociable de la protection de la vie privée. Un collectif de cent vingt signataires, à l’initiative de l’association La Quadrature du Net, s’insurge, dans une tribune au « Monde », contre la criminalisation de cette pratique, que ce soit par la police française ou au niveau européen et international.
Chiffrer ses communications est une pratique banale qui permet qu’une correspondance ne soit lue par personne d’autre que son destinataire légitime. Le droit au chiffrement est le prolongement de notre droit à la vie privée, protégé par l’article 8 de la Convention européenne des droits de l’homme, qui garantit à chacun le « droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ».
Toute personne qui souhaite protéger sa vie privée peut chiffrer ses communications. Cela concerne aussi bien des militants, des défenseurs des droits humains, des journalistes, des avocats, des médecins… que de simples parents ou amis. Dans le monde entier, le chiffrement est utilisé pour enquêter sur la corruption, s’organiser contre des régimes autoritaires ou participer à des transformations sociales historiques. Le chiffrement des communications a été popularisé par des applications comme WhatsApp ou Signal.
En 2022, ce sont ainsi plus de deux milliards de personnes qui chiffrent quotidiennement leurs communications pour une raison simple : protéger sa vie privée nous renforce toutes et tous. Pourtant, le droit au chiffrement est actuellement attaqué par les pouvoirs policiers, judiciaires et législatifs en France, mais aussi dans l’Union européenne, au Royaume-Uni et aux Etats-Unis. En tant que société, nous devons choisir. Acceptons-nous un futur dans lequel nos communications privées peuvent être interceptées à tout moment et chaque personne considérée comme suspecte ?
Criminaliser les technologies de protection de la vie privée
La Quadrature du Net a récemment révélé des informations relatives à l’affaire dite du « 8 décembre » (2020) dans laquelle neuf personnes de l’« ultragauche » – dont l’une avait précédemment rejoint la lutte contre l’organisation Etat islamique aux côtés des combattants kurdes des Unités de protection du peuple (YPG) – ont été arrêtées par la DGSI et le RAID. Sept ont été mises en examen pour « association de malfaiteurs terroristes », et leur procès est prévu pour octobre 2023. Ces éléments démontrent, de la part de la police française, une volonté sans précédent de criminaliser l’usage des technologies de protection de la vie privée.
Le chiffrement des communications est alors utilisé comme « preuve » d’un comportement clandestin… donc terroriste ! Des pratiques de sécurité numérique parfaitement légales et responsables – dont le chiffrement des communications qui est pourtant soutenu, et recommandé, par de nombreuses institutions, comme les Nations unies, la Commission nationale de l’informatique et des libertés (CNIL), l’Agence nationale de la sécurité des systèmes d’information (Anssi), l’Agence européenne pour la cybersécurité (Enisa) ou la Commission européenne – sont criminalisées à des fins de mise en scène d’un « groupuscule clandestin » vivant dans « le culte du secret ».
Outre l’usage de messageries chiffrées sont aussi incriminées des pratiques telles que le recours à des services comme Proton Mail pour chiffrer ses e-mails, l’utilisation d’outils permettant de protéger la confidentialité de sa navigation sur Internet (VPN, Tor, Tails), de se protéger contre la surveillance des Gafam, le simple chiffrement d’ordinateurs personnels ou encore l’organisation de formations à la protection numérique (chiffro-fêtes).
Rejet de l’amalgame entre protection des données et terrorisme
Par la criminalisation du chiffrement et de pratiques répandues de sécurité informatique, la police française vise à construire un récit selon lequel les sept personnes mises en examen vivraient « dans la clandestinité ». En l’absence d’un projet terroriste prouvé et avéré, cette prétendue « clandestinité » devient une preuve de l’existence cachée d’un projet inconnu.
Nous, journalistes, activistes, fournisseurs de services tech ou simples citoyens attentifs à la protection des données à l’ère numérique, sommes profondément révoltés de voir qu’un tel amalgame entre la protection basique des données et le terrorisme puisse être alimenté par les services de renseignement et la justice antiterroriste française.
Nous sommes scandalisés que des mesures nécessaires à la protection des données personnelles et de la vie privée soient désignées comme des « actions conspiratives » de personnes vivant supposément dans le « culte du secret ».
Nous dénonçons le fait qu’une formation classique et bienveillante au numérique, portant sur Tails, un système d’exploitation grand public développé pour la protection de la vie privée et la lutte contre la censure, puisse constituer un des « faits matériels » caractérisant « la participation à un groupement formé (…) en vue de la préparation d’actes de terrorisme ».
Sous prétexte de terrorisme, le système judiciaire français incrimine des pratiques basiques de sécurité. Mais l’exemple français ne représente malheureusement pas l’unique tentative d’affaiblir le droit au chiffrement. A Bruxelles, la Commission européenne a proposé en 2022 le règlement Child Sexual Abuse Regulation (CSAR). Au nom de la lutte contre la pédopornographie, ce texte veut obliger les fournisseurs de messageries chiffrées à donner accès à chacun de nos messages pour les vérifier.
Pour un numérique émancipateur, libre et décentralisé
De nombreuses voix se sont élevées contre cette proposition, parmi lesquelles celles de cent trente organisations internationales. Elles dénoncent notamment l’absence de considération pour la mise en place d’autres moyens qui permettraient de lutter contre ces graves infractions de manière moins liberticide. De récentes fuites ont d’autre part révélé que des pays comme l’Espagne veulent purement et simplement interdire le chiffrement de bout en bout.
En Grande-Bretagne, le projet de loi Online Safety Bill et, aux Etat-Unis, le projet EARN IT s’ajoutent à cette inquiétante guerre contre le chiffrement. Attachés à promouvoir et défendre les libertés fondamentales dans l’espace numérique, nous défendons le droit au chiffrement et continuerons à utiliser et à créer des outils protégeant la vie privée.
Nous refusons que les services de #renseignement, les juges ou les fonctionnaires de #police puissent criminaliser nos activités au motif qu’elles seraient « suspectes ». Nous continuerons de nous battre pour un numérique émancipateur, libre et décentralisé afin de bâtir une société plus digne pour toutes et tous. Le combat pour le #chiffrement est un combat pour un futur juste et équitable.
Parmi les signataires : Vincent Brengarth, avocat au barreau de Paris ; Vanessa Codaccioni, maître de conférences, université Paris-VIII ; Isabela Dias Fernandes, directrice exécutive de Tor ; Emmanuel Poupard, premier secrétaire général du Syndicat national des journalistes ; Dominique Pradalié, présidente de la Fédération internationale des journalistes ; Raquel Radaut, porte-parole de La Quadrature du Net ; Vanina Rochiccioli, coprésidente du Gisti ; Serge Slama, professeur de droit public, université Grenoble-Alpes ; Emmanuel Thomé, chercheur à l’Inria ; Meredith Whittaker, présidente de Signal.
Infrastructures numériques de #Communication pour les #Anarchistes (et tous les autres…)
►https://framablog.org/2023/04/14/infrastructures-numeriques-de-communication-pour-les-anarchistes-et-tous-
Des moyens sûrs de communiquer à l’abri de la surveillance ? Évitons l’illusion de la confidentialité absolue et examinons les points forts et limites des applications… PRÉAMBULE Nous avons des adversaires, ils sont nombreux. Depuis la première diffusion de Pretty … Lire la suite
#Enjeux_du_numérique #Militantisme #Traductions #Briar #Chiffrement #Crypto-anarchistes #Cwtch #guide #Modèle_de_menace #P2P #pair_à_pair #PGP #Réseau #Securite #Signal #TOR #vie_privée
Dévoiler le pouvoir, chiffrer l’avenir - un entretien avec Chelsea Manning - Lundi Matin
▻https://video.lundi.am/w/c7cc0f68-6bbe-46dd-9347-c9a6578412e5
#Chelsea_Manning #interview @lundimatin #lundi_soir #informatique #chiffrement #surveillance #privacy #vie_privée #lanceur_d'alerte #communication
Une lettre d’Ivan, enfermé à la prison de Villepinte : perquisitions et disques durs déchiffrés - Paris-luttes.info
▻https://paris-luttes.info/une-lettre-d-ivan-enferme-a-la-16935
En ce qui concerne l’enquête, ces derniers mois des nouveaux éléments ont été versés au dossier.
Le plus significatif est que la police a réussi à avoir accès à mes ordinateurs, même s’ils étaient chiffrés.
Celui du travail, sur lequel est installé Windows, est chiffré avec BitLocker. Un PV précédemment versé au dossier dit qu’ils avaient déjà essayé d’y accéder pendant ma garde à vue mais qu’ils n’avaient pas réussi. Mais en septembre la Brigade d’appui en téléphonie, cyber-investigation et analyse criminelle (BATCIAC) a envoyé à la SDAT une copie du disque dur. Dans le PV, ils expliquent seulement qu’ils ont démarré l’ordinateur avec une clef USB bootable et que, ensuite, ils ont utilisé le logiciel AccesData FTK imager 3.3.05 pour copier le disque dur. Mais ils ne parlent pas du déchiffrement en soi.
Mon ordinateur personnel, qui tourne avec Ubuntu 18, est chiffré avec Luks (le mot de passe est de plus de vingt caractères : lettres, chiffres, signes de ponctuation...). Je n’ai trouvé dans le dossier aucune indication sur le moyen qu’ils ont utilisé pour le déchiffrer, mais là aussi ils ont fait une copie du disque dur. Il y a même des fichiers qui avaient été effacés et des e-mails qui avaient été téléchargés avec Thunderbird (et ensuite effacés).
Ils n’ont trouvé rien qui puisse se rapporter aux incendies dont je suis inculpé. Mais je pense que le fait même qu’ils aient pu avoir accès à des disques durs chiffrés avec des logiciels censés être inviolables doit être connu le plus largement possible.
Effectivement il n’y a guère d’illusion à se faire sur la solidité des protections informatiques les plus courantes une fois entre les mains des services de police.
D’un autre côté, il y a vraiment de quoi s’inquiéter quand on voit que les avocats (notamment l’avocat de Xavier Mathieu) semblent avoir intégré le fait qu’il ne soit pas possible de s’opposer à la consultation du smartphone en cas de GAV...
▻https://youtu.be/3S0gD7fMFSQ
#doctolib joue sur les mots : rien d’illégal dans sa pratique de sécurisation des données puisque « ce n’est pas à strictement parler du chiffrement de bout en bout mais cela peut l’être en termes de communication ».
ENQUETE. Doctolib : certaines données médicales ne sont pas entièrement protégées
▻https://www.francetvinfo.fr/internet/securite-sur-internet/enquete-doctolib-certaines-donnees-medicales-ne-sont-pas-entierement-pr
« On a reçu de Doctolib les données en clair sur vos prochains rendez-vous. On ne les a pas reçues chiffrées, explique Benjamin Sonntag. Donc cela veut dire que Doctolib lui-même a ces informations en clair. » Or ces rendez-vous médicaux sont signifiants et renseignent sur l’état de santé d’une personne. « Si vous allez régulièrement chez un oncologue ou chez un psychologue, cela raconte quelque chose sur votre état de santé », poursuit Benjamin Sonntag.
#protection_des_données #santé_privatisée #RGPD #chiffrement
Voir aussi : ▻https://seenthis.net/messages/954868
Cracking Enigma in 2021 - Computerphile
▻https://www.youtube.com/watch?v=RzWB5jL5RX0
Mon pays fabrique des #armes
Depuis quelques années, les ventes d’armes françaises explosent et notre pays est devenu le troisième exportateur mondial. Pourtant, le grand public sait peu de choses de ce fleuron industriel français, de ses usines, de ses salariés, des régions productrices d’armes et des grandes instances d’État chargées de les vendre.
Car la France exporte massivement vers le Moyen-Orient. Beaucoup vers l’Arabie Saoudite. Au sein de l’État, qui arbitre lorsqu’il s’agit de vendre à des régimes suspectés de crimes de guerre ? A quoi la realpolitik nous contraint-elle ? Dans le reste de l’Europe, la société civile réagit à cette question. Si les armes sont si cruciales pour l’emploi des Français, si elles participent autant à l’indépendance de notre pays, pourquoi y sont-elles un angle mort du débat public ?
▻http://www.film-documentaire.fr/4DACTION/w_fiche_film/54294_1
#film #film_documentaire #documentaire
#France #armement #commerce_d'armes #Dassault #Rafale #François_Hollande #Hollande #Inde #Qatar #Egypte #avions #bombes #munitions #missiles #MBDA #Nexter #Bourges #Avord #industrie_militaire #armée #La_Chapelle_Saint-Oursin #emploi #Jean-Yves_Le_Drian #ministère_de_l'armée #hélicoptère_Caïman #Direction_générale_de_l'armement (DGA) #commission_interministérielle_pour_l'étude_des_exportations_de_matériels_de_guerre (#CIEEMG) #Louis_Gautier #guerres #conflits #Cherbourg #CMN #Arabie_Saoudite #Yémen #crimes_de_guerre #ventes_d'armes #Traité_sur_le_commerce_des_armes (#TCA) #justice #contrat_Donas #Jean-Marc_Ayrault #licence_d'exportation #Jean-Charles_Larsonneur #canons_caesar #hypocrisie #impératif_de_vente #armes_de_surveillance #armes_d'interception #ERCOM #chiffrement #nexa_technologies #AMESYS #torture #complicité_d'actes_de_torture #Libye #al-Sissi #écoutes #Emmanuel_Macron #Macron #secret_défense
ProtonMail scandalise ses utilisateurs en livrant l’adresse IP d’activistes
▻https://www.futura-sciences.com/tech/actualites/internet-protonmail-scandalise-utilisateurs-livrant-adresse-ip-acti
Une réquisition émanant d’Europol et qui visait des militants de l’association Youth for Climate. Les membres de cette dernière utilisaient le service pour communiquer de façon sécurisée dans le cadre de l’occupation jugée illégale de locaux situés à Paris dans le Xe arrondissement. Comment Proton Technologies, qui assure ne pas collecter de données personnelles et notamment les adresses IP, a-t-elle pu les transmettre aux autorités françaises ?
Non, mais vous pensiez à quoi ? Faire confiance à... ça n’existe pas en informatique.
#sécurité_informatique #militants #chiffrement
Utilisation par la France de lois antiterrorisme pour cibler des militants écologistes et tordre le bras à la justice suisse.
Yavait pas un tag pour la transformation en terroriste des militants environnement ? @fil avait référencé un moment plusieurs cas comme ça aux É-U.
La suite
▻https://www.lemondeinformatique.fr/actualites/lire-la-police-francaise-met-la-main-sur-une-adresse-ip-livree-p
Apparemment «action de lutte anticapitaliste» est un crime.
Ne manquez pas « Enjeux du chiffrement dans l’espace de régulation français et européen » par Lucien Castex lors de la #JCSA21 le 31 aout prochain !
Infos & inscriptions sur ►https://evenements.afnic.fr/Site/176205/7477/Event #Afnic #Chiffrement #Innovation #Sécurité #Internet
#Apple veut protéger les #enfants mais met en danger le #Chiffrement
▻https://framablog.org/2021/08/08/apple-veut-proteger-les-enfants-mais-met-en-danger-le-chiffrement
Apple vient de subir un tir de barrage nourri de la part des défenseurs de la vie privée alors que ce géant du numérique semble animé des intentions les plus louables… Qui oserait contester un dispositif destiné à éradiquer les contenus … Lire la suite
#G.A.F.A.M. #Internet_et_société #Libertés_Numériques #abus #EFF #Green #Kobeissi #lettre_ouverte #porte_dérobée #Snowden
Les quatre #RFC sur le protocole de transport #QUIC viennent d’être publiés. Ce nouveau protocole de transport, concurrent de #TCP, pourrait bien devenir le transport majoritaire sur l’Internet, notamment via son utilisation dans la nouvelle version de #HTTP, HTTP/3.
Il utilise systématiquement le #chiffrement, et chiffre même des parties du dialogue qui restaient en clair quand on utilisait #TLS sur TCP.
Pour résumer les différences entre QUIC et TCP (rappelez-vous qu’ils assurent à peu près les mêmes fonctions) :
– QUIC est systématiquement chiffré,
– QUIC permet un vrai multiplexage ; la requête lente ne bloque pas la rapide, et la perte d’un paquet ne ralentit pas tous les ruisseaux multiplexés,
– QUIC fusionne transport et chiffrement, ce qui permet notamment de diminuer la latence à l’établissement de la connexion,
– QUIC permet la migration d’une connexion en cas de changement d’adresse IP
résumé en image par Kevin Ottens. :
Cybersécurité : « Les attaques informatiques peuvent créer le chaos », alerte le patron de l’ANSSI | Public Senat
▻https://www.publicsenat.fr/article/politique/cybersecurite-les-attaques-informatiques-peuvent-creer-le-chaos-alerte-l
Interrogé par le sénateur RDSE, Ludovic Haye, ingénieur en cybersécurité de profession, sur la #surveillance par #algorithme des sites internet (dont la majorité est en protocole HTTPS, donc chiffré et protégé) prévu par la future loi antiterroriste, Guillaume Poupard a rejeté une solution technique qui consiste à supprimer le chiffrement. « Je ne veux pas faire de polémiques, mais il faut éviter les mauvaises solutions […] le chiffrement est une technologie qui est là pour aider. Sans chiffrement on ne peut pas faire de cybersécurité […] Le fait de dire que le chiffrement empêche les #services_de_renseignements de faire leur travail d’enquête donc il faut supprimer le #chiffrement, c’est quelque chose qui me fait bondir, ce n’est pas efficace », a-t-il estimé.
Pour rappel, sur France Inter, fin avril, Gérald Darmanin avait jugé nécessaire de laisser le gouvernement « rentrer et faire des failles de sécurité » au sein « des messageries cryptées ».
Sécuriser le travail collaboratif en ligne (▻https://linuxfr.org/new...
▻https://diasp.eu/p/12198810
Sécuriser le travail collaboratif en ligne | #travail #collaboration #distanciel #chiffrement #fichiers #édition #partage #visioconférence #messagerie
Austrian press reporting EU Council of Ministers have an ’almost complete’ resolution on the table to ban end to end encryption on apps like #whatsapp & #signal
▻https://twitter.com/jsrailton/status/1325546833624625157
Source:
.
Auf den Terroranschlag folgt EU-Verschlüsselungsverbot
Im EU-Ministerrat wurde binnen fünf Tagen eine Resolution beschlussfertig gemacht, die Plattformbetreiber wie WhatsApp, Signal und Co künftig dazu verpflichtet, Generalschlüssel zur Überwachbarkeit von E2E-verschlüsselten Chats und Messages anzulegen.
voir aussi
European Union Moves To Outlaw Encrypted Apps
▻https://seenthis.net/messages/886153
Sécurité : une proposition de loi contre le chiffrement en cours de...
▻https://diasp.eu/p/11437069
Sécurité : une proposition de loi contre le chiffrement en cours de gestation au sein de la Commission de l’UE qui va la soumettre au cours de l’année pour lutter contre la pédophilie en ligne | #chiffrement #europe #surveillance
Thunderbird 78 Released with OpenPGP Support, Integrated Lightning Calendar
▻https://www.omgubuntu.co.uk/2020/07/thunderbird-78-features-download
Thunderbird 78 is the latest stable release of the email client. It features OpenPGP encryption support, integrated calendar, and dark mode support. This post, Thunderbird 78 Released with OpenPGP Support, Integrated Lightning Calendar is from OMG! Ubuntu!. Do not reproduce elsewhere without permission.
#chiffrement #e-mail Bonne nouvelle... En remplacement d’Enigmail ?
« Hiding from Whom ? Threat-models and in-the-making encryption technologies »
▻https://halshs.archives-ouvertes.fr/halshs-02320706
Un tour d’horizon très complet de l’utilisation des outils de communication et de leur protection par le #chiffrement, sous l’angle du #modèle_de_menace. On veut se protéger contre qui ? Ce n’est pas la même chose d’être un employé qui ne veut pas être surveillé par son patron, et d’être un agent secret infiltré dans un pays ennemi disposant de puissants moyens de surveillance. Cet article de Ksenia Ermoshina et Francesca Musiani détaille les risques, et les limites des outils. Car ce n’est pas du tout d’utiliser le meilleur outil. Le but du réseau, c’est de communiquer et être l’heureux utilisateur du logiciel le plus sécurisé du monde avec le chiffrement le plus perfectionné ne vous servira pas tellement si tous vos correspondants se servent de WhatsApp.
Et les outils ne suffisent pas, encore faut-il s’en servir, et correctement. Bien des gens se sont fait avoir car ils avaient une confiance magique dans l’outil, oubliant que les humains font des erreurs, et que celles-ci cassent parfois la sécurité théorique.
Les auteures ont travaillé avec beaucoup de dissidents, lanceurs d’alerte et défenseurs des droits humains un peu partout dans le monde, pour analyser les usages et leurs conséquences. Et revenir sans cesse au modèle de menace. L’ennemi n’est pas toujours là où on croit. Par exemple, pour une femme, l’ennemi le plus dangereux est parfois dans sa propre maison. Les interviews par les auteures de femmes au Moyen-Orient montrent une claire prise de conscience de ce risque (qui n’est évidemment pas limité au monde musulman.)
Un résumé en français, sur le journal du #CNRS, avec interview des auteures : ▻https://lejournal.cnrs.fr/articles/le-chiffrement-des-messageries-passe-au-crible-des-sciences-sociales
#SHS
A Leipzig, l’avenir des messageries sécurisées en question
▻https://www.lemonde.fr/pixels/article/2019/12/29/a-leipzig-l-avenir-des-messageries-securisees-en-question_6024333_4408996.ht
Car tout en reconnaissant les qualités du système de chiffrement de Signal, également utilisé dans de nombreuses autres applications, certains activistes lui reprochent le fait qu’il repose comme WhatsApp ou Telegram sur des serveurs centralisés, par ailleurs gérés par Amazon. Au CCC, où les drapeaux anarchistes sont aussi courants que les conférences pointues, on considère d’un œil méfiant tout système centralisé, plus susceptible d’être piraté ou menacé par un Etat qu’un réseau décentralisé ou fédéré, comme peuvent l’être l’e-mail ou des services comme Mastodon.
“But the ISPs aren’t just using pro-competitive rhetoric to argue about ’concentration in #DNS.' They’re also claiming that DNS-over-HTTPS [#DoH] will put them at a competitive disadvantage in the market of spying on America and selling its secrets to all comers, a market that should not exist and that your ISP should not be in the business of.”
A more balanced article, voicing both sides: ▻https://www.wired.com/story/dns-over-https-encrypted-web
▻https://www.hrw.org/everyday-encryption
EVERYDAY ENCRYPTION
This game is about the everyday choices you make about your security, and the role encryption plays in those choices. Digital security is always about making compromises and tradeoffs—what do you want to protect, and from whom? You can never be 100 percent secure, but encryption can help reduce your digital security risks.
#informatique #didactique #jeu #surveillance #chiffrement #autodéfense #numérique
Ce que peut faire votre Fournisseur d’Accès à l’Internet
►https://framablog.org/2018/11/29/ce-que-peut-faire-votre-fournisseur-dacces-a-linternet
Nous sommes ravis et honorés d’accueillir Stéphane Bortzmeyer qui allie une compétence de haut niveau sur des questions assez techniques et une intéressante capacité à rendre assez claires des choses complexes. Nous le remercions de nous expliquer dans cet article … Lire la suite
#Claviers_invités #G.A.F.A.M. #Internet_et_société #Chiffrement #FAI #FFDN #GAFA #https #Internet #neutralité #Réseau #RFC #Snowden #Surveillance