Qu'est-il dévoilé ici ou là ?
Le https, le SSL, et la sécurisation de la VoIP seraient mis à mal par les outils de la NSA.
NSA and GCHQ unlock encryption used to protect emails, banking and medical records
…
$250m-a-year US program works covertly with tech companies to insert weaknesses into products
…
Security experts say programs 'undermine the fabric of the internet
Grâce à des partenariats secrets avec des entreprises technologiques, les agences d'espionnage ont inséré des vulnérabilités secrètes dans les logiciels de chiffrement. Ne s'agit-il pas de portes dérobées introduites dans les paquets chiffrés par les logiciels qui les préparent à des fins de transmission ? Si oui, tous les systèmes ordinaires de chiffrement proposés en standard seraient à éviter.
Avez-vous remarqué la technique de ''man in the middle' utilisée pour capter le trafic ? S'agit-il de la technique "Legal Intercept" brevetée par Microsoft ?
Que reste-t-il pour se défendre contre l'espionnage systématique ? Les logiciels ''open source'' et donc contrôlables et tout particulièrement ceux qui offrent plusieurs couches de chiffrement.
« 'Les logiciels open-source sont une autre source potentiellement fiable car « leur manière de fonctionner est visible par tous, alors que les solutions propriétaires vendues par des grands acteurs comme Microsoft ou Cisco gardent leur secret de fabrique »'.
Mais un système de chiffrement - même « de confiance » - est-il absolument indéchiffrable? « Oui, même Edward Snowden dit qu’il y a encore des systèmes qui restent fiables, et il les utilise d’ailleurs pour communiquer ».
Ce bon vieux TrueCrypt permet jusqu'à trois niveaux superposés de chiffrement et laisse une possibilité de ''volume caché'' d'où la notion de ''déni plausible''. Bien utilisé (avec des clés à rallonge), TruCrypt doit encore causer bien des soucis aux espions.
Les manipulations sont certes plus longues que pour un chiffrement standard, mais je pense que l'enjeu en vaut la peine. Les terroristes, les pédophiles, les industriels, tant soit peu professionnels connaissent ce logiciel depuis longtemps. Seuls les informatiquement incultes, les inconscients et les pressés se laisseront prendre par Bullrun.
La cryptographie nous protège t-elle vraiment de l'espionnage par la NSA ou la DGSE ? (botsmeyer.org ... 1 Septembre 2013)
Conclusion ? Il faut évidemment de la cryptographie, ne serait-ce que « dans le doute », et à cause des nombreux attaquants moins équipés que la NSA. Snowden lui-même note que cela gêne l'attaquant. Mais ce n'est pas une solution magique et, dans son analyse de sécurité, il faut se demander « et si elle était cassée, quelles seraient les conséquences pour moi ? ».
Bullrun, l'arme anti-chiffrement des données de la NSA (Ludwig Gallet .. Clubic Pro .. 06 septembre 2013)
Revealed: The NSA’s Secret Campaign to Crack, Undermine Internet Security (Jeff Larson .. Pro Republica .. 05 septembre 2013)
TrueCrypt sur disque de voyage (Infomars .. juin 2008) Le déni plausible (Infomars .. juin 2008)
@+