Le Blog Utux

HTTP 200 GET /

Touche pas à Telegram

Rédigé par uTux 1 commentaire

Je suis tombé sur ça :

D'une part je suis curieux de savoir d'où ils tiennent cette information, est-ce qu'ils ont fait un sondage ?
D'autre part, si je raisonne en bon spectateur lobotomisé par BFMTV, voici ce que je suis censé comprendre :

  1. Telegram n'est pas surveillé
  2. Les terroristes utilisent Telegram
  3. Donc il faut surveiller Telegram pour arrêter le terrorisme

Et, par extension :

  1. Les gens qui ont des choses à se reprocher ne veulent pas être surveillés
  2. Les gens qui n'ont rien à se reprocher acceptent d'être surveillés
  3. Donc, si je refuse la surveillance, c'est que j'ai des choses à me reprocher

Ce raisonnement s'appelle un syllogisme et ce n'est pas de la logique, c'est un paralogisme. Et ça mène à des choses absurdes, comme le dit Wikipédia :

Tous les humains sont mortels. (A ⇒ B)
Un âne est mortel. (C ⇒ B)
Donc un âne est un humain. (C ⇒ A)

Et voilà commenter démonter un faux raisonnement avec un peu d'intelligence.

Il se trouve que l'article a le bon goût de nous rappeler que Telegram a été créé par deux russes qui ne voulaient pas être surveillés par leur gouvernement et que leur logiciel est utilisé par des dissidents sous dictature mais aussi par des hommes politiques qui ont besoin de confidentialité, ou simplement par les journalistes qui veulent garantir l'anonymat de leurs sources, donc au final le chiffrement ne profite pas qu'aux criminels.

Faut-il donc y voir le travail d'un journaliste qui a essayé de faire correctement son boulot mais qui a du se résoudre à présenter un titre putaclick pour rester dans la ligne éditoriale du journal ? S'agit-il d'un exemple de manipulation de l'information ? Le prochain responsable de tous les maux de la planète sera-t-il... le chiffrement lui-même ?

Question ouverte : comment chiffrer simplement une clé USB ?

Rédigé par uTux 15 commentaires

Je regrette qu'en 2016 les principaux OS ne proposent pas de solution simple de chiffrement pour les clés et disques durs USB, des périphériques qui sont amenés à voyager régulièrement en dehors de la maison/bureau. Il est très facile voire courant de les perdre et celui qui va les trouver pourra récupérer vos documents. Vous me direz qu'il est rare de stocker les codes de la bombe atomique sur une clé USB ou même son code de carte bleue, en revanche il est courant d'y trouver des documents scannés (relevés d'impôts, de salaires, papiers d’identité....) ou même simplement du porno des photos de vacances.

Windows

Windows propose d'activer le chiffrement d'un volume en un simple clic droit, autant sur le C: que sur les périphériques USB, ce qui est louable. Malheureusement cette solution basée sur Bitlocker a trois gros défauts :

  • Elle n'existe que sur Windows, aucun portage Linux ou OS X.
  • Elle se limite aux éditions Pro ou supérieures pour Windows, ce qui exclue les versions Home que la majorité du grand public utilise.
  • Quelle confiance peut-on placer dans une solution propriétaire de chiffrement surtout quand on sait que Windows 10 se lie de plus en plus au cloud. De là à affirmer que Microsoft peut casser le chiffrement des ordinateurs de ses clients, il n'y a qu'un pas, que je ne franchis pas pour le moment, mais je préfère rester méfiant.

Linux

Du côté de Linux on a luks, ecrypfs ou encfs mais à ma connaissance il n'est pas possible de les activer avec un simple clic droit dans l'explorateur de fichiers, il faut passer par la ligne de commandes (et refaire toutes les partitions dans le cas de luks) ce qui freine fortement leur utilisation. De plus les périphériques ne seront pas déchiffrables sur Windows.

TrueCrypt / VeraCrypt ?

Une solution multi-plateforme et relativement simple à mettre en place est Truecrypt. Même si le projet a connu une fin tragique et ne doit plus être considéré comme sûr selon ses auteurs, il existe des forks tels que Veracrypt qui ont pris le relais.

Il est apparemment possible d'utiliser VeraCrypt sous forme portable, donc sans nécessiter d'installation sur l'ordinateur, ce qui est plutôt intéressant car on peut imaginer utiliser sa clé USB sur plusieurs ordinateurs sans devoir y installer de logiciel. Cette solution est également disponible sur Linux.

Question ouverte

Comment chiffrer une clé ou un disque dur USB tout en étant sûr de pouvoir l'ouvrir simplement sur Linux et sur Windows ?

Chiffrement : merci Apple

Rédigé par uTux Aucun commentaire

Avec quelques jours de retard, je livre aussi mes réactions sur le déchiffrement de l'iPhone par le FBI. En résumé ils ont été contactés par une entreprise (dont le nom n'a pas été révélé) qui leur a "vendu" les détails d'une faille permettant de casser ou contourner la sécurité de l'appareil. Donc le FBI a accès aux données et n'a plus besoin de Apple. Beaucoup de gens y voient donc l'échec de la firme à la pomme car le système ne serait pas infaillible.

Et pourtant c'est faux, cela prouve encore une fois qu'on se focalise sur cette affaire bien précise alors que l'enjeu c'est le chiffrement. Apple n'a jamais voulu défendre un terroriste, ni même bloquer une enquête du FBI par plaisir. Non, leur but était de préserver leur système de chiffrement en refusant de l'affaiblir car cela aurait eu des conséquences néfastes pour tout le monde.

Le fait que le chiffrement ait été cassé/contourné n'est pas une première : les failles ça existe depuis toujours, sur tous les systèmes. Le fait que le FBI en ait acheté une prouve d'ailleurs que c'est un véritable business. Il est probable que le mystérieux interlocuteur connaissait cette faille depuis longtemps et attendait de la vendre au plus offrant.

La pression est donc retombée mais il est peu probable que cette affaire soit terminée pour autant. Attendons de voir la suite.

Tox : bien mais pas encore prêt

Rédigé par uTux 9 commentaires

tox, pour faire simple, est une alternative à Skype qui se concentre sur le chiffrement et la décentralisation. C'est tellement décentralisé qu'il n'y a pas de serveur ni de comptes, chaque utilisateur se voit attribuer un ID unique auto-généré et trouve ses amis via DHT comme bittorrent. Il existe plusieurs clients : µtox, qtox, toxic...

Le bon : le client qtox est joli, contrairement aux clients jabber qui nous rappellent toujours l'époque IRC. La possibilité de faire des captures d'écran, des les envoyer, et d'avoir une miniature des images dans la conversation est intéressante. L'absence de serveur résout le problème récurrent des serveurs Jabber public, c'est à dire l'instabilité. Ça marche plutôt bien.

Image tirée du projet sur github.

Le mauvais : les ID utilisateur sont assez indigestes, le copier-coller est donc obligatoire. L'intégration du client qtox n'est pas parfaite, ainsi selon le desktop l'icône systray est plus ou moins visible, voir carrément absente. Gros problème avec les notifications de messages qui passent souvent inaperçues : je rate souvent des messages que l'on m'envoie et mes contacts aussi ("ah mince, tu m'as écrit il y a 15 minutes mais je n'avais pas vu"). Les appels vidéo/audio ne fonctionnent pas à tous les coups (écran noir puis webcam bloquée). Mais le problème le plus bloquant c'est la liste de contacts non synchronisée. Si vous vous connectez à votre compte depuis un autre poste, la liste de contacts sera vide. Dans mon cas j'ai contourné le problème en synchronisant le dossier ~/.config/tox sur seafile.

EDIT : sur les versions plus récentes de qtox, la visibilité des notifications a été améliorée.

Tox pose les bonnes questions et tente d'y apporter une solution. Malheureusement il y a beaucoup de problèmes qui le rendent peu utilisable même pour les geeks. Attendons de voir s'ils seront résolus ou si la conception (absence de serveur par exemple) fait qu'il n'y aura jamais de solution.

Chiffrement : je soutiens Apple

Rédigé par uTux 1 commentaire

Tout le monde connaît l'histoire : le FBI détient un iPhone ayant appartenu à un terroriste mort mais l'appareil est tellement bien chiffré que Apple a été sollicité pour contourner les protections, ce qu'ils refusent de faire. Résumé un peu plus complet ici.

Il y a d'abord deux choses qui me gênent dans cette affaire :

  • Le FBI part du principe que toutes les réponses à l'enquête sont dans l'iPhone alors qu'ils n'en savent rien. C'est une facilité bien entendu qui sert leur argumentation : "c'est le chiffrement qui bloque l'enquête".
  • Le FBI sous-entend que Apple détient les clés pour déverrouiller son appareil, or ce n'est pas le cas. Un fabriquant de coffres fort ne peut pas ouvrir les coffres de ses clients. Ce que peut faire Apple c'est de modifier son système de chiffrement pour l'affaiblir ou ajouter une backdoor mais nous y reviendrons.

Tout le monde est d'accord pour lutter contre le terrorisme ou pour aider une enquête à avancer. Mais les enjeux sont plus importants car le nerf de la guerre ici est le chiffrement. Beaucoup de gens ne voient pas à quel point les smartphones et ordinateurs sont des objets intimes, on y stocke notre vie, nos photos, nos documents administratifs, nos mots de passes, nos contacts, nos conversations privées et notre porn. Ouvrir l'accès à quelqu'un n'est pas anodin, c'est comme donner les clés de sa maison ! Donc non l'informatique ce n'est pas juste des gadget pour lequels on fait tout un fromage, on joue gros.

Si Apple affaiblit son système ou ajoute une backdoor, en autorisant par exemple une clé dont seul le FBI serait en possession, ils ouvront alors la boîte de pandore avec de nombreuses dérives à prévoir :

  • Les vrais criminels iront vers un autre système de chiffrement que celui de Apple, le problème sera alors déplacé.
  • Le FBI ne se limitera pas à des affaires de terrorisme et le périmètre s'élargira petit à petit. Prenons pour exemple la France qui a instauré le blocage administratif des sites internet, au début c'était juste pour la pédophilie mais aujourd'hui cela est étendu au terrorisme, à la FDJ, au piratage, et des projets sont en cours pour aller encore plus loin (par exemple les sites injurieux envers les élus, elle est belle la liberté d'expression). On peut extrapoler qu'un jour le FBI déchiffrera des iPhones pour de simples contrôles fiscaux.
  • Il n'est plus à prouver que la NSA pratique l'espionnage de masse dans son propre pays et aussi dans les autres. Ils demanderont obligatoirement eux aussi l'accès à la backdoor Apple afin d'écouter et collecter - en dehors de tout enquête officielle et sans autorisation d'un juge - les données de tout le monde.
  • D'autres pays demanderont la même chose à Apple, et pas forcément des démocraties. Si c'était la Chine ou l'Iran qui avait demandé à Apple de déverrouiller l'iPhone, l'affaire aurait certainement été présentée d'une autre manière par les media.
  • La backdoor sera obligatoirement exploitée par d'autres personnes. Le jour où des pirates trouveront le moyen d'y accéder, les données des utilisateurs se retrouveront dans la nature.

Une fois de plus, le terrorisme est un prétexte en or pour inciter les gens à abandonner leurs libertés. Si la génération actuelle ne s'en rend pas compte, c'est celle d'après qui en paiera le prix. Je ne peux que soutenir la démarche de Apple qui a les couilles et les moyens de résister car ils ont raison, mais ça nous le réaliserons probablement trop tard.

Fil RSS des articles de ce mot clé