▻https://www.hrw.org/everyday-encryption
EVERYDAY ENCRYPTION
This game is about the everyday choices you make about your security, and the role encryption plays in those choices. Digital security is always about making compromises and tradeoffs—what do you want to protect, and from whom? You can never be 100 percent secure, but encryption can help reduce your digital security risks.
#informatique #didactique #jeu #surveillance #chiffrement #autodéfense #numérique
Ce que peut faire votre Fournisseur d’Accès à l’Internet
►https://framablog.org/2018/11/29/ce-que-peut-faire-votre-fournisseur-dacces-a-linternet
Nous sommes ravis et honorés d’accueillir Stéphane Bortzmeyer qui allie une compétence de haut niveau sur des questions assez techniques et une intéressante capacité à rendre assez claires des choses complexes. Nous le remercions de nous expliquer dans cet article … Lire la suite
#Claviers_invités #G.A.F.A.M. #Internet_et_société #Chiffrement #FAI #FFDN #GAFA #https #Internet #neutralité #Réseau #RFC #Snowden #Surveillance
RFC 8404 : Effects of Pervasive Encryption on Operators
La #vie_privée sur l’Internet fait aujourd’hui l’objet d’innombrables attaques et l’une des techniques de défense les plus efficaces contre ces attaques est le #chiffrement des données. Il protège également contre une autre menace, la modification des données en transit, comme le font certaines FAI (par exemple Orange Tunisie). Il y a de nombreuses campagnes de sensibilisation pour promouvoir le chiffrement, avec des bons résultats. Évidemment, ce chiffrement gène ceux qui voudraient espionner et modifier le trafic, et il fallait donc s’attendre à voir une réaction. Ce #RFC est l’expression de cette réaction, du côté de certains opérateurs réseaux, qui regrettent que le chiffrement empêche leurs mauvaises pratiques.
Intimité numérique : le Truc a fait mouche
►https://framablog.org/2018/10/23/intimite-numerique-le-truc-a-fait-mouche
Paris, Lyon, Toulouse, Bordeaux… et quelques autres métropoles régionales sont animées par des associations libristes actives et efficaces : réunions régulières, actions de terrain, conférences et rencontres… Mais dans les villes moyennes ça bouge aussi. À l’ouest par exemple, entre Nantes, … Lire la suite
#Claviers_invités #Contributopia #Dégooglisons_Internet #Internet_et_société #Libertés_Numériques #Chiffrement #Clochix #écologisme #Hygiene_numerique #Intimité #Lannion #Libre #ViePrivee
Encrypted Messaging Apps Have Limitations You Should Know
►https://www.wired.com/story/encrypted-messaging-isnt-magic
Encrypted communication used to be too complicated for mainstream use, but approachable apps like WhatsApp and Signal have become a no-brainer for digital privacy. With all of their security-minded features, like disappearing messages and identity-confirming safety numbers, secure chat apps can rightfully give you peace of mind. You should absolutely use them. As the adage goes, though, there’s no such thing as perfect security. And feeling invincible could get you in trouble.
End-to-end encryption transforms messages into unintelligible chunks of data as soon as a user presses send. From there, the message isn’t reconstituted into something understandable until it reaches the receiver’s device. Along the way, the message is unreadable, protected from prying eyes. It essentially amounts to a bodyguard who picks you up at your house, rides around with you in your car, and walks you to the door of wherever you’re going. You’re safe during the transport, but your vigilance shouldn’t end there.
“These tools are hugely better than traditional email and things like Slack” for security, says Matthew Green, a cryptographer at Johns Hopkins University. “But encryption isn’t magic. You can easily get it wrong. In particular, if you don’t trust the people you’re talking to, you’re screwed.”
On one level it’s obvious that both you and the person you’re chatting with have access to the encrypted conversation—that’s the whole point. But it’s easy to forget in practice that people you message with could show the chat to someone else, take screenshots, or retain the conversation on their device indefinitely.
Former Trump campaign chair Paul Manafort found this out the hard way recently, when the FBI obtained messages he’d sent over WhatsApp from the people who received them.
In another current investigation, the FBI was able to access Signal messages sent by former Senate Intelligence Committee aide James Wolfe, and had at least some information about the encrypted messaging habits of New York Times reporter Ali Watkins, after the Justice Department seized her communications records as part of a leak investigation. Though it’s unknown how the FBI gained access to these encrypted chats, it wouldn’t necessarily have taken a crypto-breaking backdoor if investigators had device access or records from other chat participants.
You also need to keep track of how many devices you’ve stored your encrypted messages on. If you sync chats between, say, your smartphone and your laptop, or back them up in the cloud, there are potentially more opportunities for the data to be exposed. Some services, like iMessage and WhatsApp, either have cloud backups enabled by default or nudge users toward it to streamline the user experience. Manafort provides a useful illustration once again; investigators accessed his iCloud to access some of the same information informants gave them, as well as to glean new information about his activity. The chats were encrypted in WhatsApp; the backups were not.
“Digital systems strew data all over the place,” Green notes. “And providers may keep metadata like who you talked to and when. Encrypted messaging apps are valuable in that they tend to reduce the number of places where your data can live. However, the data is decrypted when it reaches your phone.”
That’s where operations security comes in, the process of protecting information by looking holistically at all the ways it could be obtained, and defending against each of them. An “opsec fail,” as it’s known, happens when someone’s data leaks because they didn’t think of a method an attacker could use to access it, or they didn’t carry out the procedure that was meant to protect against that particular theft strategy. Relying solely on these encrypted messaging tools without considering how they work, and without adding other, additional protections, leaves some paths exposed.
“Good opsec will save you from bad crypto, but good crypto won’t save you from bad opsec,” says Kenn White, director of the Open Crypto Audit Project, referencing a classic warning from security researcher The Grugq. “It’s easy for people to be confused.”
The stakes are especially high in government, where encrypted chat apps and disappearing message features are increasingly popular among officials. Just last week, sources told CNBC that investigators for special counsel Robert Mueller have been asking witnesses to voluntarily grant access to their encrypted messaging apps, including Dust, Confide, WhatsApp, and Signal. CNBC reported that witnesses have cooperated to avoid being subpoenaed.
Several encrypted messaging apps offer a disappearing message feature to help ensure that neither you nor the person you’re chatting with keeps data around longer than necessary. But even this precaution needs to come with the understanding that the service you’re using could fail to actually delete the messages you mark for erasure from their servers. Signal had a recent problem, first reported by Motherboard, where a fix for one bug inadvertently created another that failed to delete a set of messages users had set to disappear. The app quickly resolved the issue, but the situation serves as a reminder that all systems have flaws.
“Encrypted communication apps are tools, and just like any other tool, they have limited uses,” says Eva Galperin, director of cybersecurity at the Electronic Frontier Foundation.
In fact, simply choosing an encrypted messaging service may cary unknown risks. Some services like Confide and Telegram haven’t allowed an independent auditor to evaluate their cryptography, meaning it’s difficult to know how trustworthy they are, which of their promises they keep, and what user data they actually retain. And iMessage may collect more metadata than you think.
Signal, WIRED’s secure messaging recommendation, is open source, but it also proved its trustworthiness in a 2016 case where the service was subpoenaed. Developer Open Whisper Systems responded to a grand jury subpoena saying it could only produce the time an account was created and the most recent date that a user’s Signal app connected to its servers. The court had asked for significantly more detail like user names, addresses, telephone numbers, and email addresses. Signal had retained none of it.
While end-to-end encryption is a vital privacy protection that can thwart many types of surveillance, you still need to understand the other avenues a government or attacker could take to obtain chat logs. Even when a service works perfectly factors like where messages are stored, who else has received them, and who else has access to devices that contain them play an important role in your security. If you’re using encrypted chat apps as one tool in your privacy and security toolbox, more power to you. If you’re relying on it as a panacea, you’re more at risk than you realize.
Lily Hay Newman - 06.14.18
▻https://www.wired.com/story/ditch-all-those-other-messaging-apps-heres-why-you-should-use-signal
►https://www.wired.com/story/encrypt-all-of-the-things
▻https://www.washingtonpost.com/news/powerpost/paloma/the-cybersecurity-202/2018/06/06/the-cybersecurity-202-paul-manafort-s-case-may-undermine-the-fbi-s-encryption-argument/5b16ae5e1b326b08e8839150
▻https://blogsofwar.com/hacker-opsec-with-the-grugq
▻https://www.cnbc.com/2018/06/06/mueller-team-zeroes-in-on-encrypted-apps-as-witness-turn-in-phones.html
▻https://motherboard.vice.com/en_us/article/bj3pxd/signal-disappearing-messages-not-disappearing
►https://theintercept.com/2016/09/28/apple-logs-your-imessage-contacts-and-may-share-them-with-police
▻https://www.wired.com/story/ditch-all-those-other-messaging-apps-heres-why-you-should-use-signal
▻https://www.aclu.org/blog/national-security/secrecy/new-documents-reveal-government-effort-impose-secrecy-encryption?redirect=blog/free-future/new-documents-reveal-government-effort-impose-secrecy-encryption-company
#vie_privée #messagerie_chiffrée #protection_des_données_personnelles #autodéfense_numérique #cryptography #chiffrement #Signal #gnupg
Les autorités russes demandent à Telegram de livrer des clés de chiffrement
▻http://abonnes.lemonde.fr/pixels/article/2018/03/20/les-autorites-russes-demandent-a-telegram-de-livrer-des-cles-de-cryp
C’est un nouvel épisode dans le bras de fer qui oppose le FSB (services de sécurité russes) à l’application de messagerie Telegram. L’agence fédérale de régulation des télécoms Roskomnadzor a sommé, mardi 20 mars, la messagerie de fournir sous quinze jours au FSB les clés de chiffrement permettant de lire « les messages électroniques reçus, transmis, en cours d’envoi », sous peine de blocage.
Il n’y a pas que le gouvernement « socialiste » de France sur ce terrain. Etonnant non ?
#François_Molins, les #données_de_connexion, l’arrêt Tele2 et le #Chiffrement : un casse-tête
▻https://reflets.info/francois-molins-les-donnees-de-connexion-larret-tele2-et-le-chiffrement-un
Il faut parfois savoir lire entre les lignes. La presse s’est faite l’écho d’une déclaration du procureur de Paris, François Molins. Ce dernier s’inquiète des « conséquences désastreuses » d’un accès restreint aux données de connexion dans […]
« Jean-Jacques Urvoas a informé Thierry Solère d’une enquête le concernant »
▻http://www.lemonde.fr/police-justice/article/2017/12/13/jean-jacques-urvoas-a-informe-thierry-solere-d-une-enquete-le-concernant_522
« À l’époque où il était ministre de la justice, Jean-Jacques Urvoas (Parti socialiste) a transmis au député des Hauts-de-Seine Thierry Solère, alors membre du parti Les Républicains (Les Républicains), une note confidentielle sur une enquête policière le concernant, révèle Le Canard enchaîné dans son édition du mercredi 13 décembre. »
On notera qu’Urvoas a utilisé la messagerie chiffrée #Telegram (celle que BFM TV et les médias équivalents appellent « la messagerie des djihadistes ») alors que, comme la plupart des politiciens, Urvoas a toujours prétendu que le #chiffrement, c’est mal, cas ça empêche les écoutes.
Il y a également des leçons d’#OPSEC à tirer de cette affaire : par exemple que le chiffrement n’est pas une solution miracle, si les machines d’extrêmité gardent le message déchiffré, et si elles ne sont pas protégées. (Cette affaire montre également que le chiffrement ne rend pas la police impuissante, contrairement à ce que prétendait… Urvoas).
En pleine hypocrisie !
Ça fait des contre arguments à utiliser la prochaine fois qu’ils nous prendront de nouveau la tête avec leur histoire que le chiffrement c’est le terrorisme incarné.
#Le_Pistolet_et_la_Pioche S01E08 : l’Europe veut contourner le #Chiffrement
▻https://reflets.info/le-pistolet-et-la-pioche-s01e07-leurope-veut-contourner-le-chiffrement
Ce sont deux rapports qui sont passés un peu inaperçus et qui pourtant en disent beaucoup sur le futur (répressif) numérique de nos sociétés : l’un est de la #Commission_européenne, l’autre du Conseil de […]
#Cybercriminalité #Europol #interpol
▻https://reflets.info/wp-content/uploads/LPLPS01E08.mp3
[Forum] | Trump : A Resister’s Guide | Harper’s Magazine - Part 11
▻https://harpers.org/archive/2017/02/trump-a-resisters-guide/11
y Kate Crawford
Dear Technologists:
For the past decade, you’ve told us that your products will change the world, and indeed they have. We carry tiny networked computers with us everywhere, we control “smart” home appliances at a remove, we communicate with our friends and family over online platforms, and now we are all part of the vast Muslim registry known as Facebook. Almost 80 percent of American internet users belong to the social network, and many of them happily offer up their religious affiliation. The faith of those who don’t, too, can be easily deduced with a little data-science magic; in 2013, a Cambridge University study accurately detected Muslims 82 percent of the time, using only their Facebook likes. The industry has only become better at individual targeting since then.
You’ve created simple, elegant tools that allow us to disseminate news in real time. Twitter, for example, is very good at this. It’s also a prodigious disinformation machine. Trolls, fake news, and hate speech thrived on the platform during the presidential campaign, and they show few signs of disappearing now. Twitter has likewise made it easier to efficiently map the networks of activists and political dissenters. For every proud hashtag — #BlackLivesMatter, #ShoutYourAbortion, the anti-deportation campaign #Not1More — there are data sets that reveal the identities of the “influencers” and “joiners” and offer a means of tracking, harassing, and silencing them.
You may intend to resist, but some requests will leave little room for refusal. Last year, the U.S. government forced Yahoo to scan all its customers’ incoming emails, allegedly to find a set of characters that were related to terrorist activity. Tracking emails is just the beginning, of course, and the FBI knows it. The most important encryption case to date hinged on the FBI’s demand that Apple create a bespoke operating system that would allow the government to intentionally undermine user security whenever it impeded an investigation. Apple won the fight, but that was when Obama was in office. Trump’s regime may pressure the technology sector to create back doors in all its products, widen surveillance, and weaken the security of every networked phone, vehicle, and thermostat.
There is precedent for technology companies assisting authoritarian regimes. In 1880, after watching a train conductor punch tickets, Herman Hollerith, a young employee of the U.S. Census Bureau, was inspired to design a punch-card system to catalogue human traits. The Hollerith Machine was used in the 1890 census to tabulate markers such as race, literacy level, gender, and country of origin. During the 1930s, the Third Reich used the same system, under the direction of a German subsidiary of International Business Machines, to identify Jews and other ethnic groups. Thomas J. Watson, IBM’s first president, received a medal from Hitler for his services. As Edwin Black recounts in IBM and the Holocaust, there was both profit and glory to be had in providing the computational services for rounding up the state’s undesirables. Within the decade, IBM served as the information subcontractor for the U.S. government’s Japanese-internment camps.
You, the software engineers and leaders of technology companies, face an enormous responsibility. You know better than anyone how best to protect the millions who have entrusted you with their data, and your knowledge gives you real power as civic actors. If you want to transform the world for the better, here is your moment. Inquire about how a platform will be used. Encrypt as much as you can. Oppose the type of data analysis that predicts people’s orientation, religion, and political preferences if they did not willingly offer that information. Reduce the quantity of personal information that is kept. And when the unreasonable demands come, the demands that would put activists, lawyers, journalists, and entire communities at risk, resist wherever you can. History also keeps a file.
#Silicon_valley #Fichage #Médias_sociaux #Chiffrement #Ethique
Amber Rudd entre les lignes (Aral Balkan)
▻https://framablog.org/2017/10/04/aran-balkan
Facebook, Microsoft, Twitter et YouTube (Google/Alphabet, Inc) viennent de créer le Forum Internet Global Contre le Terrorisme et Amber Rudd, la ministre de l’Intérieur britannique, leur demande de renoncer discrètement à assurer le chiffrement de bout en bout de leurs produits. Ne croyez plus un traître mot de ce que ces entreprises racontent sur le chiffrement de bout en bout ou le respect de la vie privée sur leurs plateformes.
PS : WhatsApp appartient à Facebook.
Face aux craintes d’experts en cryptographie, la #NSA recule sur 2 méthodes de chiffrement
▻http://www.numerama.com/tech/291669-la-nsa-alarme-des-experts-en-cryptographie-avec-ses-nouvelles-metho
Des experts qui auraient très probablement été traités de #complotistes avant Les révélations de #Snowden
Et cette crainte n’est pas partagée que par quelques paranoïaques biberonnés aux mauvais films d’espionnage : dans des pays qui font partie des plus proches alliés des #États-Unis — sont cités l’Allemagne, Israël et le Japon –, des experts en #cryptographie voient d’un mauvais œil l’implication de la NSA dans tout ce qui a trait au #chiffrement, surtout si l’Organisation internationale de normalisation est dans la boucle.
L’article original
Distrustful U.S. allies force spy agency to back down in encryption fight
▻https://www.reuters.com/article/us-cyber-standards-insight/distrustful-u-s-allies-force-spy-agency-to-back-down-in-encryption-row-idUS
L’avis du CNNum (Conseil National du Numérique) sur les lois sécuritaires est court et plein de bonnes choses :
Législations après législations, la logique du soupçon semble l’emporter.
De ponctuelles et ciblées, les pratiques de surveillance deviennent permanentes et générales.
Le chiffrement ne constitue pas un obstacle insurmontable pour les enquêtes. Il est possible de le contourner dans le cadre d’une surveillance ciblée. À ce titre, il est surtout un rempart contre la surveillance de masse.
►https://cnnumerique.fr/avis-chiffrement
#algorithmes #chiffrement #cnnum
▻https://lapetroleusecaen.com/2017/09/08/dim-1009-atelier-dautodefense-numerique
Chaque mois, cet atelier permettra à chacun.e d’acquérir les compétences nécessaires pour se défendre, à la fois en ligne et hors-ligne. Au programme : fondamentaux d’informatique, logiciels libres, initiation à Tails, chiffrement, etc.
Tous niveaux bienvenues. Venez avec votre PC (si possible) et/ou une clef USB (4 Go minimum).
Dès 18h.
#Caen #LaPétroleuse #AutodéfenseNumérique #LogicielsLibres #Tails #Chiffrement
[...]
Der #Chaos_Computer_Club (#CCC) hat in Kooperation mit Zeit Online eklatante #Sicherheitsschwächen in der Wahl-Auswertungssoftware PC-Wahl des Herstellers #Vote_IT aufgedeckt. Diese wird auch bei der bevorstehenden Bundestagswahl Anwendung finden. Bei einer Untersuchung der Software entdeckten Sicherheitsforscher um CCC-Sprecher Linus Neumann Lücken in den Verschlüsselungsverfahren des Desktop-Clients der Software sowie auf den Web-Servern des Herstellers. Dadurch war es zeitweise möglich, ein Update für die Software mit Schadcode zu versehen und auf den Server zu laden. Dieses wäre dann an alle Nutzer verteilt und automatisch eingespielt worden. Der Hersteller hat mittlerweile mit Updates für die Software und Verbesserung der Server-Sicherheit reagiert. Allerdings vermuten die CCC-Forscher, dass nach wie vor Lücken vorhanden sind.
[...]
▻https://www.heise.de/security/meldung/Bundestagswahl-Eingesetzte-Wahl-Software-hat-eklatante-Sicherheitsluecken-3824
lien trouvé ici : ▻https://diasp.eu/posts/6016665 - via
▻http://02mydafsoup-01.soup.io/post/631743950/Der-Chaos-Computer-Club-CCC-hat-in
Connexions chiffrées : l’âge des protocoles VPN en question
▻http://02mydafsoup-01.soup.io/post/631620109/Connexions-chiffr-es-l-ge-des-protocoles
Connexions chiffrées : l’âge des protocoles VPN en question
Comments
▻https://www.nextinpact.com/news/105081-connexions-chiffrees-age-protocoles-vpn-en-question.htm#sécurité #chiffrement [Reposted from 02mysoup-aa]
Mozilla’s Send is basically the Snapchat of file sharing - The Verge
▻https://www.theverge.com/2017/8/2/16086272/mozilla-send-file-sharing-service-launches
Mozilla has launched a new website that makes it really easy to send a file from one person to another. The site is called Send, and it’s basically the Snapchat of file sharing: after a file has been downloaded once, it disappears for good.
That might sound like a gimmick, but it underscores what the site is meant for. It’s designed for quick and private sharing between two people — not for long-term hosting or distributing files to a large group.
#Axelle_Lemaire, la cryptographie et la surveillance massive…
▻https://reflets.info/axelle-lemaire-la-cryptographie-et-la-surveillance-massive
Il y a quelques jours, Axelle Lemaire, ex-secrétaire d’Etat chargée du numérique sous François Hollande, s’est émue de l’arrestation d’opposants Turcs sous prétexte qu’ils utilisaient des outils de #Chiffrement. Et d’évoquer ensuite le lien entre chiffrement et […]
#Bienvenue_chez_Amesys #Bienvenue_chez_Qosmos #Deep_Packet_Inspection #Technos #Advanced_Middle_East_Systems #Amesys #Cerebro #Nexa_Technologies #Numérique #Qosmos
As Elites Switch to Texting, Watchdogs Fear Loss of Transparency - The New York Times
▻https://www.nytimes.com/2017/07/06/business/as-elites-switch-to-texting-watchdogs-fear-loss-of-transparency.html
In a bygone analog era, lawmakers and corporate chiefs traveled great distances to swap secrets, to the smoke-filled back rooms of the World Economic Forum in Davos, Switzerland, or the watering holes at the annual Allen & Company conference in Sun Valley, Idaho.
But these days, entering the corridors of power is as easy as opening an app.
Secure messaging apps like WhatsApp, Signal and Confide are making inroads among lawmakers, corporate executives and other prominent communicators. Spooked by surveillance and wary of being exposed by hackers, they are switching from phone calls and emails to apps that allow them to send encrypted and self-destructing texts. These apps have obvious benefits, but their use is causing problems in heavily regulated industries, where careful record-keeping is standard procedure.
“By and large, email is still used for formal conversations,” said Juleanna Glover, a corporate consultant based in Washington. “But for quick shots, texting is the medium of choice.”
“After the 2016 election, there’s an assumption that at some point, everyone’s emails will be made public,” said Alex Conant, a partner at the public affairs firm Firehouse Strategies and a former spokesman for Senator Marco Rubio of Florida. Most people are now aware, Mr. Conant said, that “if you want to have truly private conversations, it needs to be over one of those encrypted apps.”
For now, America’s elites seem to be using secure apps mostly for one-on-one conversations, but the days of governance by group text might not be far-off.
Intéressant de voir des usages principalement le fait des jeunes (Snapchat) devenir des outils pour les dirigeants. Quand les jeunes veulent se cacher de leurs parents ou surtout ne pas qu’on prenne plus au sérieux que ça leurs blagues entre amis, les élites s’en servent pour échapper à la loi.
Pourquoi ProtonMail est le service de communication le plus sécurisé du monde ? - Esprit Créateur
▻http://espritcreateur.net/protonmail
Silence ou Signal // Libre Parcours
▻https://www.libre-parcours.net/post/silence-ou-signal
Présentation succincte des différences entre les applications #Signal et #Silence qui servent à chiffrer les communications.
#chiffrement #informatique #confidentialité
Macron n’a jamais affirmé être opposé au #Chiffrement !
▻http://www.dsfc.net/informatique/perspective/macron-n-a-jamais-affirme-etre-oppose-au-chiffrement
Même dans la presse spécialisée informatique, nous avons à faire désormais à de la désinformation.
Un article intéressant sur Keybase. #cryptographie #chiffrement #sécurité #pgp
▻https://hiob.fr/keybase
#stunnel pour chiffrer la connexion à #VNC
▻http://www.dsfc.net/infrastructure/securite/stunnel-chiffrer-connexion-vnc
Stunnel est un solution simple et remarquable pour chiffrer les accès à vos machines exécutant VNC !
#Sécurité #Chiffrement #Ipsec #Sécurité_des_réseaux #SSH #SSL #TightVNC_Server
WhatsApp, sa porte discrète du fond et les #backdoors de Signal
▻https://linuxfr.org/users/apichat/journaux/whatsapp-sa-porte-discrete-du-fond-et-les-backdoors-de-signal
Nous le savons tous #WhatsApp n’a pas de #backdoor, c’est d’ailleurs pour ça que son code source n’est pas public : ya rien à voir, tchatez.
Une très bonne explication est publiée sur le site de Reflet :
> Il suffit à WhatsApp d’ajouter un nouvel appareil virtuel au compte de Bob, cet appareil recevra ainsi les #messages qui lui sont destinés
> De manière générale c’est le problèmes des systèmes où le lien entre personne physique et clef de chiffrement est établi et contrôlé par un acteur tiers, comme WhatsApp, ou en utilisant des mécanismes peu fiables, comme le contrôle du numéro de téléphone.
> C’est également un problème par ex. chez #Apple ( #iMessage ) : Apple gère la liste des appareils liés à un compte et est donc en mesure d’ajouter un appareil « fantôme » au compte qui recevrai alors tous les messages qui lui sont destinés, et peut se faire passer pour ce compte.
Cependant, selon certains avis avisés de la #Free Software Foundation Europe, il y aurait un certain nombre de BackdoorS présenteS lors de l’utilisation du logiciel #Signal
[...]
#sécurité_informatique #Crypto #Cryptographie #Interceptions #Sécurité
Mais Signal est opensource !!! Comment peut-il y avoir des backdoors dans un logiciel open-source (≠ libre).
Ça réveille ma paranoïa de l’opensource noyauté.
Une présentation faite sur l’#autodéfense_numérique à #lille.
La page 25 montre et compare les offres de messageries instantanées chiffrées.
▻https://speakerdeck.com/dunglas/petite-introduction-a-lauto-defense-numerique
@sandburg l’article que j’ai publié sur LinuxFR résume cet article ►https://blogs.fsfe.org/larma/2017/signal-backdoors il y a toutes les réponses à tes questions.
La présentation que t’indique est assez inquiétante sur l’efficacité du pot de miel qu’est Signal auprès de certains milieux. Pourquoi ne proposent-il pas #Silence ▻https://silence.im & ▻https://linuxfr.org/news/silence-xmpp-chiffrement-et-meta-donnees ?
Ils ne citent même pas Conversations ▻http://conversations.im et #XMPP
@apichat Dans la prez, ile parle quand même de Silence en 2ème position. Cette présentation était complétée à l’oral et distinguait bien le masquage de l’information auprès de quel écoutant : GAFAM ou Service de renseignement.
Donc il n’y a pas de mauvaise presse à ille faire, la seule nouveauté c’est que Silence utilise une partie tiers privatrice.
J’ai fait remonter l’info, btw.
#chiffrement (pas cryptage)
Oui c’est vrai, désolé pour le ton alarmiste. Merci d’avoir remonté l’info.
Sinon, c’est Signal (on s’y perd) qui utilise une partie tierce privatrice, les googles services pour android, qui sont une faille importante pour la confidentialité des échanges et les métadonnées. Les conversations sont exposées au risque d’interception par Google et par les services secrets américains (penser notamment au programme Prisme révélé par Snowden). Sachant que les services de renseignement s’échangent les informations, notamment pour contourner certaines interdictions nationales sur l’écoute des personnes sur le territoire, cela expose potentiellement aux services de renseignement français.
Concrètement je pense que les plateformes Android et iOS sont bien trop agressives en terme de surveillance (notamment dans la gestion du carnet d’adresse) pour espérer les utiliser en y échappant. Seuls les distributions Linux pour PC sont fiables.
Dans l’article de la FSFE il y a ce paragraphe que je trouve particulièrement intéressant parce qu’il met au clair les failles liées à une technique qui est souvent présentée comme hyper-sécurisée voire magique :
But Signal is Forward secret, You can’t read old messages
The forward secrecy feature is only on the transport level. At both ends (in groupchats, all ends) the messages are available in plain text in form of a history. If you or the other(s) don’t wipe your chat history regularly, your history is still attackable. But this is how users want it, because it’s more user-friendly.
►https://blogs.fsfe.org/larma/2017/signal-backdoors
Sur la confidentialité persistante : ▻https://fr.wikipedia.org/wiki/Confidentialit%C3%A9_persistante