Voyez le bon coté de choses : netasq et arkoon vont enfin avoir des clients !
Le 19 mai 2014 à 18:29, Raphaël Stehli <experti...@raphael.stehli.fr> a écrit : > Le 19/05/2014 17:43, Garreau, Alexandre a écrit : > >> Le 19/05/2014 à 16h11, Raphaël Stehli a écrit : >>> Sans vouloir troller outre mesure, >> Oui parce que tu commence fort avec une signature S/MIME sur un sujet >> parlant de la surveillance/corruption mise en œuvre par la NSA, >> signature incorrecte qui plus est… la NSA aurait-elle eu la flemme de >> corrompre le CA incriminé ?</troll> > > La règle de désactivation de la S/MIME pour FRnOG ne passe pas. Je n'ai > pas fais gaffe. Toutes mes excuses. > >>> mais je ne comprends pas le débat : on apprend avec surprise et >>> stupeur que des services d'espionnage espionnent ? >> Non, juste encore *un* qui *apprend* une *nouvelle* façon de faire, à >> savoir la corruption des routeurs et les luttes de g angs^W ouvernements >> à ce propos, quand on sait que l’aspect le plus médiatisé (et le plus >> important à mon sens, car — outre le fait qu’il se base sur une >> situation qui relève plus de l’entrave aux libertés que de la pure >> surveillance apparemment inoffensive de façon directe et en premier >> lieu — il nécessite une véritable éducation et réappropriation de la >> part d’un public qui doit sortir de la logique de consommateur passif >> minitellien), c’est-à-dire PRISM, pas les routeurs. Et ayant vu >> plusieurs articles à ce sujet précis récemment, un nouvel élément >> d’importance significative a dû être publié sur le sujet ; élément qui >> sur la présente liste peut toujours avoir un potentiel intérêt. > > La NSA espionne tout ce quelle peut espionner. Elle met des trous > partout où elle peut. Les câbles sont surveillés. Les satellites le sont > aussi. > >>> Une entreprise américaine/chinoise est soumise aux lois >>> américaines/chinoises et si cette/ces loi/s les oblige/nt à installer >>> un mouchard ou à corrompre le code du matériel qu'elle exporte, elle >>> doit s'y soumettre. >> Oui et la morale dans tout ça???^W^W^W^W^W^W il est établi que la >> question de l’affaire n’est pas l’aspect législatif (sauf peut-être >> quant au niveau de corruption de la démarche démocratique dans pas mal >> de procédés de légiférations secrètes aux intérêts douteux) mais les >> conséquences sociales, techniques et politiques directes que cela >> engendre, avec les implications que l’on se doit de tenter d’en tirer et >> les réactions/solutions/discussions qu’il convient d’avoir. > > Les services secrets ont des missions et les exécutent. Ce débat porte > sur l'existence même des services secrets. > >>> Il y a différentes possibilités : >>> - se faire plaisir et réécrire tous les firmwares de tous le matériel >>> que l'on achète (bios et UEFI inclus) puis les charger, >>> Avec […] la nécessité de ne pas se planter, >> Intéressant, à la GNU « recodons tout et p’is c’est tout », mais « les >> charger » reste la partie problématique : est-ce bien toujours >> possible ? et quand aux backdoors figées, invisibles et immuables >> cachées au sein de véritables boîtes noires ? > > Le consommateur a le choix d'acheter du matériel qui lui permette de le > faire. S'il n'y a pas de demande, il n'y aura pas d'offre. Churchill > avait bien dit qu'il ne croyait qu'aux stat qui à lui même trafiquées. > De mon coté, je ne crois qu'au matériel dans lequel j'ai mis mon nez, > piégé ou testé. Et si je n'y arrive pas, je n'achète plus. > >>> - n'acheter que français / UE, >> On se fait toujours surveiller par la DCRI/DGSE (je confond tout le >> temps, appelons-les « services secrets français » pour être clair, voir >> « barbouzes » pour faire plus court), et celle-ci ayant un véritable >> pouvoir d’action là où l’on vit… c’est comme quand je préfère n’avoir >> que des portes dérobées chinoises posées à la conception puis reposées à >> la fonte dans mon matos plutôt que des portes dérobées étasuniennes >> (gouvernement trop hégémonique sur le plan politique/moral à mon goût) >> ET des portes dérobées chinoises (gouvernement qui a peut-être moins de >> chances de me faire du mal dans le cadre de la si souvent citée >> « troisième cyber-guerre mondiale » par des mass media de niveau >> affligeant, que le gouvernement étasunien dans l’optique de « se faire >> les gendarmes du monde » comme on aime bien le dire (on est pas >> tellement mieux ailleurs)). >> >>> - n'acheter que du matériel certifié par l'ANSSI : >>> http://www.ssi.gouv.fr/fr/certification-qualification/, >> Vu le nombre de nouveaux projets dévoilées chaque jours, je trouverais >> extrêmement étonnant qu’on puisse faire confiance à un seul échantillon >> de matériel sur cette planète… N’y-a-t-il pas déjà longtemps que touts >> les gouvernements se sont empressés d’envahir le secteur électroniques >> de leurs localités avec divers programmes secrets dont la mise au jour >> afflue plus qu(e le nombre de seeds d)’un torrent ? Peut-on vraiment >> encore faire confiance à une chaîne de production ? à son PDG ? à chacun >> de ses ouvriers (si bien traités qu’on ne pourrait les corrompre, hein >> :}) ? aux concepteurs, aux directeurs ? aux fondeurs ? Chaque individu >> impliqué dans ces procédés plus que longs et coûteux peut faire tomber >> toute la confiance en la chaîne, la résistance de celle-ci restant celle >> du plus faible maillon… or des maillons faibles, il y en a de nos jours… >> >>> Avec […] la nécessité de faire confiance au fabriquant français ou à >>> l'ANSSI et aux centres, >> Et on a bien vu qu’on ne peut faire aucune confiance à une aussi >> grosse et longue chaîne de production… jamais… >> >>> - chiffrer tous les flux (pas top, mais ça réduit) >> Ça ne règle en aucuns cas les problèmes de surveillance matérielle… et >> en cas de meshnet (légitimes en cas d’urgences, catastrophes >> climatiques, etc. je parle au long terme bien entendu) ? Le fait ne fait >> que s’avérer : ne pas faire confiance au réseau pour fonctionner tout le >> temps exactement de la façon que l’on veut. Si on veut une vie privée, >> il faut chiffrer, tout, il y a pas d’autres moyens, pas le choix. >> >>> Avec […] la nécessité de croire en la robustesse des algo >>> mathématiques et des normes de chiffrement, >> Les problèmes des normes sont connues (et en fait il s’agit plus >> d’implémentation correcte (implé de PFS, éviter un second Heartbleed, >> toussa…) et d’utilisation de bon concepts (genre arrêter de se fier à >> des CA, comme tu me stupéfies d’être un des seuls que j’ai vu oser cet >> affront)), et pour le reste on *sait* que « Encryption works », que Tor >> fonctionne, que beaucoup de choses fonctionnent et *qu’on peut faire la >> différence* et que c’est ce qui est en train de se faire. >> En attendant tu peux toujours vouloir te baser sur de la cryptographie >> parfaite et mathématiquement incassable, et passer ta vie à échanger des >> cartes miniSD de 64Gio pleines de sous-masque jetables générés via un >> /dev/random de confiance (mais bon les gars du kernel semblent pas >> faciles à corrompre… au pire on lance un dé et on insère des valeurs >> pour tout changer via un DRNG pas trop douteux) à travers des fausses >> dents… mais je préfère me fier à des systèmes cryptographiques gérant la >> PFS et qui à ce jour nécessiterait plus de silicium qu’il y en a sur >> Terre pour être cassés efficacement en moins de temps que plusieurs fois >> l’espérance de vie de l’Univers. >> On ajoute à ça un anonymat selon la technique de son choix (onion >> routing, utilisation anonyme de services gratuits de façon atypique, >> meshnet anonymisant, propagation/effet gossip anonyme, etc.) + un >> chiffrement juste au dessus de la couche transport et en dessous encore >> un peu de stéga (pas dûr, vu le nombre de photos de chatons HD et de >> traffic bittorrent de vidéos pr0n qui passe sur le net), et c’est >> vraiment pas ce qui semble le plus dûr. > > Sur FRnOG, je croyais avoir configurer le client pour n'avoir aucune > signature (ni S/MIME, ni GPG). Et je ne fais confiance à rien : ni au CA, > ni à GPG. Mais pour mes clients, c'est plus simple. > Tor n'est pas fiable. Les échanges basés sur la crypto quantique ont été > cassés. > Quand bien même ils le seraient, il reste le problème des signaux > parasites compromettant. Et de la sécurité informatique. Et encore l'humain. > > On applique Vernam ? Ok, sauf qu'il n'y a pas de hasard mais que tu > pseudo hasard. Et la NSA a approché les développeurs du noyaux GNU > (ainsi que MS et Apple) pour que les fonctionnalités de génération > d'aléa matériel soient utilisés. Il ne faut pas se demander pourquoi. > > Je ne dis pas qu'on vit dans un monde idéal, je pense qu'il ne faut pas > se leurrer. Les services de renseignement font leur boulot : que l'on > arrête de s'extasier chaque fois qu'ils font leur boulot. > > Le troll commence à être trop important, ce qui n'était vraiment pas le but : > j'en suis désolé de polluer la liste. > > A+ > Raphaël > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
