Le 19/05/2014 17:43, Garreau, Alexandre a écrit : > Le 19/05/2014 à 16h11, Raphaël Stehli a écrit : >> Sans vouloir troller outre mesure, > Oui parce que tu commence fort avec une signature S/MIME sur un sujet > parlant de la surveillance/corruption mise en œuvre par la NSA, > signature incorrecte qui plus est… la NSA aurait-elle eu la flemme de > corrompre le CA incriminé ?</troll>
La règle de désactivation de la S/MIME pour FRnOG ne passe pas. Je n'ai pas fais gaffe. Toutes mes excuses. >> mais je ne comprends pas le débat : on apprend avec surprise et >> stupeur que des services d'espionnage espionnent ? > Non, juste encore *un* qui *apprend* une *nouvelle* façon de faire, à > savoir la corruption des routeurs et les luttes de g angs^W ouvernements > à ce propos, quand on sait que l’aspect le plus médiatisé (et le plus > important à mon sens, car — outre le fait qu’il se base sur une > situation qui relève plus de l’entrave aux libertés que de la pure > surveillance apparemment inoffensive de façon directe et en premier > lieu — il nécessite une véritable éducation et réappropriation de la > part d’un public qui doit sortir de la logique de consommateur passif > minitellien), c’est-à-dire PRISM, pas les routeurs. Et ayant vu > plusieurs articles à ce sujet précis récemment, un nouvel élément > d’importance significative a dû être publié sur le sujet ; élément qui > sur la présente liste peut toujours avoir un potentiel intérêt. La NSA espionne tout ce quelle peut espionner. Elle met des trous partout où elle peut. Les câbles sont surveillés. Les satellites le sont aussi. >> Une entreprise américaine/chinoise est soumise aux lois >> américaines/chinoises et si cette/ces loi/s les oblige/nt à installer >> un mouchard ou à corrompre le code du matériel qu'elle exporte, elle >> doit s'y soumettre. > Oui et la morale dans tout ça???^W^W^W^W^W^W il est établi que la > question de l’affaire n’est pas l’aspect législatif (sauf peut-être > quant au niveau de corruption de la démarche démocratique dans pas mal > de procédés de légiférations secrètes aux intérêts douteux) mais les > conséquences sociales, techniques et politiques directes que cela > engendre, avec les implications que l’on se doit de tenter d’en tirer et > les réactions/solutions/discussions qu’il convient d’avoir. Les services secrets ont des missions et les exécutent. Ce débat porte sur l'existence même des services secrets. >> Il y a différentes possibilités : >> - se faire plaisir et réécrire tous les firmwares de tous le matériel >> que l'on achète (bios et UEFI inclus) puis les charger, >> Avec […] la nécessité de ne pas se planter, > Intéressant, à la GNU « recodons tout et p’is c’est tout », mais « les > charger » reste la partie problématique : est-ce bien toujours > possible ? et quand aux backdoors figées, invisibles et immuables > cachées au sein de véritables boîtes noires ? Le consommateur a le choix d'acheter du matériel qui lui permette de le faire. S'il n'y a pas de demande, il n'y aura pas d'offre. Churchill avait bien dit qu'il ne croyait qu'aux stat qui à lui même trafiquées. De mon coté, je ne crois qu'au matériel dans lequel j'ai mis mon nez, piégé ou testé. Et si je n'y arrive pas, je n'achète plus. >> - n'acheter que français / UE, > On se fait toujours surveiller par la DCRI/DGSE (je confond tout le > temps, appelons-les « services secrets français » pour être clair, voir > « barbouzes » pour faire plus court), et celle-ci ayant un véritable > pouvoir d’action là où l’on vit… c’est comme quand je préfère n’avoir > que des portes dérobées chinoises posées à la conception puis reposées à > la fonte dans mon matos plutôt que des portes dérobées étasuniennes > (gouvernement trop hégémonique sur le plan politique/moral à mon goût) > ET des portes dérobées chinoises (gouvernement qui a peut-être moins de > chances de me faire du mal dans le cadre de la si souvent citée > « troisième cyber-guerre mondiale » par des mass media de niveau > affligeant, que le gouvernement étasunien dans l’optique de « se faire > les gendarmes du monde » comme on aime bien le dire (on est pas > tellement mieux ailleurs)). > >> - n'acheter que du matériel certifié par l'ANSSI : >> http://www.ssi.gouv.fr/fr/certification-qualification/, > Vu le nombre de nouveaux projets dévoilées chaque jours, je trouverais > extrêmement étonnant qu’on puisse faire confiance à un seul échantillon > de matériel sur cette planète… N’y-a-t-il pas déjà longtemps que touts > les gouvernements se sont empressés d’envahir le secteur électroniques > de leurs localités avec divers programmes secrets dont la mise au jour > afflue plus qu(e le nombre de seeds d)’un torrent ? Peut-on vraiment > encore faire confiance à une chaîne de production ? à son PDG ? à chacun > de ses ouvriers (si bien traités qu’on ne pourrait les corrompre, hein > :}) ? aux concepteurs, aux directeurs ? aux fondeurs ? Chaque individu > impliqué dans ces procédés plus que longs et coûteux peut faire tomber > toute la confiance en la chaîne, la résistance de celle-ci restant celle > du plus faible maillon… or des maillons faibles, il y en a de nos jours… > >> Avec […] la nécessité de faire confiance au fabriquant français ou à >> l'ANSSI et aux centres, > Et on a bien vu qu’on ne peut faire aucune confiance à une aussi > grosse et longue chaîne de production… jamais… > >> - chiffrer tous les flux (pas top, mais ça réduit) > Ça ne règle en aucuns cas les problèmes de surveillance matérielle… et > en cas de meshnet (légitimes en cas d’urgences, catastrophes > climatiques, etc. je parle au long terme bien entendu) ? Le fait ne fait > que s’avérer : ne pas faire confiance au réseau pour fonctionner tout le > temps exactement de la façon que l’on veut. Si on veut une vie privée, > il faut chiffrer, tout, il y a pas d’autres moyens, pas le choix. > >> Avec […] la nécessité de croire en la robustesse des algo >> mathématiques et des normes de chiffrement, > Les problèmes des normes sont connues (et en fait il s’agit plus > d’implémentation correcte (implé de PFS, éviter un second Heartbleed, > toussa…) et d’utilisation de bon concepts (genre arrêter de se fier à > des CA, comme tu me stupéfies d’être un des seuls que j’ai vu oser cet > affront)), et pour le reste on *sait* que « Encryption works », que Tor > fonctionne, que beaucoup de choses fonctionnent et *qu’on peut faire la > différence* et que c’est ce qui est en train de se faire. > En attendant tu peux toujours vouloir te baser sur de la cryptographie > parfaite et mathématiquement incassable, et passer ta vie à échanger des > cartes miniSD de 64Gio pleines de sous-masque jetables générés via un > /dev/random de confiance (mais bon les gars du kernel semblent pas > faciles à corrompre… au pire on lance un dé et on insère des valeurs > pour tout changer via un DRNG pas trop douteux) à travers des fausses > dents… mais je préfère me fier à des systèmes cryptographiques gérant la > PFS et qui à ce jour nécessiterait plus de silicium qu’il y en a sur > Terre pour être cassés efficacement en moins de temps que plusieurs fois > l’espérance de vie de l’Univers. > On ajoute à ça un anonymat selon la technique de son choix (onion > routing, utilisation anonyme de services gratuits de façon atypique, > meshnet anonymisant, propagation/effet gossip anonyme, etc.) + un > chiffrement juste au dessus de la couche transport et en dessous encore > un peu de stéga (pas dûr, vu le nombre de photos de chatons HD et de > traffic bittorrent de vidéos pr0n qui passe sur le net), et c’est > vraiment pas ce qui semble le plus dûr. Sur FRnOG, je croyais avoir configurer le client pour n'avoir aucune signature (ni S/MIME, ni GPG). Et je ne fais confiance à rien : ni au CA, ni à GPG. Mais pour mes clients, c'est plus simple. Tor n'est pas fiable. Les échanges basés sur la crypto quantique ont été cassés. Quand bien même ils le seraient, il reste le problème des signaux parasites compromettant. Et de la sécurité informatique. Et encore l'humain. On applique Vernam ? Ok, sauf qu'il n'y a pas de hasard mais que tu pseudo hasard. Et la NSA a approché les développeurs du noyaux GNU (ainsi que MS et Apple) pour que les fonctionnalités de génération d'aléa matériel soient utilisés. Il ne faut pas se demander pourquoi. Je ne dis pas qu'on vit dans un monde idéal, je pense qu'il ne faut pas se leurrer. Les services de renseignement font leur boulot : que l'on arrête de s'extasier chaque fois qu'ils font leur boulot. Le troll commence à être trop important, ce qui n'était vraiment pas le but : j'en suis désolé de polluer la liste. A+ Raphaël --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
