Retour au sommaire

Web indépendant, Web citoyen Cyber-économie mon amour Internet & Journalisme Pressions & répression

LES BRÈVES samedi 9 octobre Le FBI saisit des serveurs Indymedia au Royaume-Uni vendredi 18 juin « Solidarité-Palestine » subit des attaques par déni de service lundi 24 mai Artistes contre la répression jeudi 1er avril Un scientifique mis en examen pour avoir dénoncé une publicité mensongère. vendredi 12 mars Milices privées, justice nulle part ! jeudi 26 février LeVillage.Org attaqué parce qu’il héberge un site de soutien à Dieudonné samedi 21 février ALPA versus edonkeygoogle Toutes les brèves		Des rumeurs bizarres circulaient sur le newsgroup fr.misc.cryptologie depuis quelques jours : un reportage passé sur Canal+ à propos de sécurité informatique aurait contenu des propos d’un haut responsable de Network Associates (la société qui vend PGP) selon lesquels toutes les clés secrètes seraient mises à disposition des gouvernements occidentaux. Il y a de quoi avoir peur, surtout quand on ne connaît pas bien le sujet et qu’on ne réalise pas à quel point il est douteux qu’une telle « fonctionnalité » puisse passer inaperçue.... (et qu’un fabricant d’outils de sécurité clame l’inutilité de ses produits !) En fait, il s’avère simplement que le responsable en question (et probablement pas plus le journaliste qui l’a interviewé) ne comprend pas grand’chose à ce que vend son entreprise. Pour preuve, voici la transcription des propos de Monsieur Frédéric Braut, PDG de Network Associates France : (récupéré sur fr.misc.cryptologie) « Les instruments de sécurité très puissants, comme nous le proposons, comme PGP par exemple, l’Etat français possède les clefs de décryption qui permettent d’analyser ce produit et de pouvoir le déchiffrer et de l’utiliser, l’Etat français aujourd’hui possède les clefs de notre produit PGP qui est un produit d’encryption donc l’état français peut à tout moment décrypter parce qu’il a les clefs, on est obligé, c’est une obligation légale. Et je pense que cette obligation légale est valable dans tous les pays industrialisés, je pense que le gouvernement allemand, ou américain, possède eux aussi ces clefs, on est obligé. Donc effectivement, les états, quels qu’ils soient, sont capables de regarder ce qui se passe sur le réseau même si les utilisateurs utilisent des produits d’encryption. C’est une obligation légale. »

> PGP : on a eu chaud 24 janvier 2001, par Guillaume Et la faille découverte dans PGP cet été par un Ralf Senderek ? Z’en faites quoi au juste ? Extrait(s) de la déclaration de Ralf Senderel à ce sujet : "Dans une étude publiée sur le Net en août 1998 (NDT : déjà !) sur le site de PGP-International, j’ai évalué les risques liés au problème ADK (Additional Decryption Key) des versions plus nouvelles. Dans mes premiers travaux, je disais : "je ne connais pas quel mécanisme empêchera la clé publique d’un utilisateur d’être jointe d’une autre clef truqée permettant le déchiffrement du message sans le consentement ni la connaissance de l’utilisateur. " En août dernier, les prévisions de Ralf Senderek étaient avérées par des test du KeyLabs qui démontraient qu’une telle "fonctionnalité" (clef secrètement diffusée en plus de la clef utilisateur) permettait a des "tierces parties" de déchiffrer tous les messages chiffrés grâce à PGP (version Network Associates). Donc, dans ce reportage de Canal Plus, il n’y a pas affabulation ni incompréhension malheureusement... D’une façon plus générale, les défenseurs du chiffrement ont trop vite mis de côté les doutes et les ombres entourant P. Zimmerman et PGP. Pourquoi la NSA était-elle aussi farouchement opposée à la diffusion de PGP, elle habituellement si discrète ? N’était-ce pas une façon de faire comprendre aux "méchants" qu’il fallait utiliser PGP que de dire et répéter "PGP est une menace pour la sécurité nationale [des Etats-Unis], nous n’avons pas les moyens de casser cet algorythme !" Comment mieux promouvoir un produit... que du coup personne (enfin, pas grand monde) ne prit le temps de décortiquer ? PGP se répandit ainsi sur le Web, et rien ne dit que la NSA n’utilisait pas déjà cette faille à la clef secrète... Bienvenue dans www.paranoia.com ... :o) [Répondre à ce message] > PGP : on a eu chaud 24 janvier 2001, par Fabrice Massé C’est si évident, la ficelle tellement grosse, que croire qu’une telle clé puisse exister parait d’une grande naïveté ! Confidentialité et internet ne seront jamais copain. Comment imaginer le contraire ? On voudrait un internet libre, gratuit et qui preserve l’anonymat de ceux qui le souhaite. J’oubliais : il faudrait aussi trouver un système universel qui protège la vie privée ; des abus en tout genre, du cancer et de la sottise. Croyez-vous qu’on pourrait nous donner de l’argent avec ? La multiplication des clés offrira peut-être un jour une solution acceptable, mais tout comme pour une bagnole ou un coffre-fort, la motivation du voleur ne sera jamais limité que par son imagination. Fab [Répondre à ce message] Sauf que... 24 janvier 2001 Bonjour, Jouer les "je le savais bien" et autres "de toute façon ça sert à rien, tout est foutu" n’est pas très constructif, et complètement disproportionné au regard de l’affaire évoquée :  La faille a été corrigée depuis la version 6.5.8 de PGP. C’est donc un problème révolu.  La faille était quand même peu facile à exploiter. 1) l’attaquant devait faire en sorte que la clé à dévoyer comprît une référence, en ADK, à sa propre clé ADK, et soit distribuée sous cette version et non sous sa forme originelle ; 2) la clé de l’attaquant devait également être présente sur le keyring de ceux qui utilisent la ou les clé(s) détournée(s) ; 3) il fallait espérer que les utilisateurs des clés détournées ne prennent pas garde au message d’avertissement s’affichant quand on utilise une clé avec ADK (et si une seule personne connaissant bien PGP tombait sur ce message, alors tout l’édifice de surveillance était démasqué, donc s’écroulait) ; 4) l’attaquant devait pouvoir intercepter les messages cryptés avec les clés qu’il avait munies d’une ADK (car bien évidemment ces messages ne lui étaient pas envoyés, bien que cryptés également pour lui). Pour de plus amples discussions sur le bug ADK, voir les archives du groupe fr.misc.cryptologie. Amicalement Antoine. [Répondre à ce message] > Sauf que... 24 janvier 2001 Je me corrige : l’attaquant devait faire en sorte que la clé à dévoyer comprît une référence, en ADK, à sa propre clé ADK Il fallait bien sûr lire « une référence, en ADK, à sa propre clé publique ». Antoine. [Répondre à ce message] > Sauf que... 28 janvier 2001, par Fabrice Massé Dire que : "La multiplication des clés offrira PEUT-ETRE un jour une solution acceptable" est en effet très pessimiste et très décourageant pour ceux qui travaillent dur et en toute humanité sur ce dossier. Je devais être en petite forme ce jour là. Désolé. Cela dit, mon propos portais surtout l’importance de la multiplication des solutions. Même si cela aussi est évident, il me semble constructif de le dire. [Répondre à ce message] Post-scriptum 24 janvier 2001 P.S. : Donc, dans ce reportage de Canal Plus, il n’y a pas affabulation ni incompréhension malheureusement... Le reportage n’a rien à voir avec ça et parle d’une obligation légale, ce qui n’est pas du tout cas de l’ADK. D’ailleurs les termes utilisés dans l’intervention citée laissent bien entrevoir une grande confusion dans l’esprit de l’interviewé (confusion entre accès au code source, aux messages cryptés, aux clés des utilisateurs, etc.), qui empêche de donner la moindre siginification certaine et crédible à ces propos. [Répondre à ce message]