Aller au contenu


Bullrun

espionnage chiffrement NSA décrypter

  • Vous ne pouvez pas répondre à ce sujet
10 replies to this topic

#1 Th-Crown

Th-Crown

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 319 Messages :
  • Gender:Male
  • Location:Quelque part entre l'enfer et la Terre

Posté 08 septembre 2013 - 17:42

Bonjour !

 

Nous avons de quoi nous inquiéter avec cette capacité de la NSA (si cela est vrai) de pouvoir décrypter tout type de fichier. http://www.lesechos....rnet-602253.php

 

Bullrun est un programme américain secret, utilisé par la NSA, ayant pour but de casser des systèmes de cryptage (VPN, SSL). L'équivalent britannique s'appelle Edgehill1. L'existence du programme a été révélée en septembre 2013 par Edward Snowden.

Pendant les années 1990, la NSA a perdu une bataille publique sur le droit d'insérer une porte dérobée dans tous les outils logiciels de cryptage des données. À partir de 2000, quand ils sont devenus de plus en plus couramment utilisés pour les échanges dans le Web, elle a investi des milliards de dollars dans un programme de recherche destiné à maintenir ses capacités d'écoute3.

L'accès au programme Bullrun est limité à du personnel de haut niveau provenant des pays signataires de UKUSA. Les informations ne pouvant être décryptées avec la technologie actuelle peuvent être stockées indéfiniment, ce qui permet aux agences de continuer à travailler sur des méthodes de cassage.

 



#2 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 09 septembre 2013 - 01:38



Nous avons de quoi nous inquiéter avec cette capacité de la NSA (si cela est vrai) de pouvoir décrypter tout type de fichier. http://www.lesechos....rnet-602253.php

Qu'est-il dévoilé ici ou là ?

Le https, le SSL, et la sécurisation de la VoIP seraient mis à mal par les outils de la NSA.
NSA and GCHQ unlock encryption used to protect emails, banking and medical records

$250m-a-year US program works covertly with tech companies to insert weaknesses into products

Security experts say programs 'undermine the fabric of the internet

 

Grâce à des partenariats secrets avec des entreprises technologiques, les agences d'espionnage ont inséré des vulnérabilités secrètes dans les logiciels de chiffrement. Ne s'agit-il pas de portes dérobées introduites dans les paquets chiffrés par les logiciels qui les préparent à des fins de transmission ? Si oui, tous les systèmes ordinaires de chiffrement proposés en standard seraient à éviter.

nsa-diagram-001.jpg

Avez-vous remarqué la technique de ''man in the middle' utilisée pour capter le trafic ? S'agit-il de la technique "Legal Intercept" brevetée par Microsoft ?

 

Que reste-t-il pour se défendre contre l'espionnage systématique ? Les logiciels ''open source'' et donc contrôlables et tout particulièrement ceux qui offrent plusieurs couches de chiffrement.

« 'Les logiciels open-source sont une autre source potentiellement fiable car « leur manière de fonctionner est visible par tous, alors que les solutions propriétaires vendues par des grands acteurs comme Microsoft ou Cisco gardent leur secret de fabrique »'.
Mais un système de chiffrement - même « de confiance » - est-il absolument indéchiffrable? « Oui, même Edward Snowden dit qu’il y a encore des systèmes qui restent fiables, et il les utilise d’ailleurs pour communiquer ».

Ce bon vieux TrueCrypt permet jusqu'à trois niveaux superposés de chiffrement et laisse une possibilité de ''volume caché'' d'où la notion de ''déni plausible''. Bien utilisé (avec des clés à rallonge), TruCrypt doit encore causer bien des soucis aux espions.

Les manipulations sont certes plus longues que pour un chiffrement standard, mais je pense que l'enjeu en vaut la peine. Les terroristes, les pédophiles, les industriels, tant soit peu professionnels connaissent ce logiciel depuis longtemps. Seuls les informatiquement incultes, les inconscients et les pressés se laisseront prendre par Bullrun.

La cryptographie nous protège t-elle vraiment de l'espionnage par la NSA ou la DGSE ? (botsmeyer.org ... 1 Septembre 2013)

Conclusion ? Il faut évidemment de la cryptographie, ne serait-ce que « dans le doute », et à cause des nombreux attaquants moins équipés que la NSA. Snowden lui-même note que cela gêne l'attaquant. Mais ce n'est pas une solution magique et, dans son analyse de sécurité, il faut se demander « et si elle était cassée, quelles seraient les conséquences pour moi ? ».

 

 

Bullrun, l'arme anti-chiffrement des données de la NSA (Ludwig Gallet .. Clubic Pro .. 06 septembre 2013)

Revealed: The NSA’s Secret Campaign to Crack, Undermine Internet Security (Jeff Larson .. Pro Republica .. 05 septembre 2013)

TrueCrypt sur disque de voyage (Infomars .. juin 2008) Le déni plausible (Infomars .. juin 2008)

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#3 Th-Crown

Th-Crown

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 319 Messages :
  • Gender:Male
  • Location:Quelque part entre l'enfer et la Terre

Posté 16 septembre 2013 - 21:58

La NSA surveille même les transactions bancaires et financières. Mais ils tombent parfois sur des os, comme avec Western Union en 2008, trop protégée. http://www.zdnet.fr/...htm#xtor=123456

 

http://www.itespress...espeed=noscript



#4 tristan

tristan

    Phobosien

  • Zimien
  • PipPipPipPipPipPipPip
  • 516 Messages :
  • Gender:Male

Posté 20 septembre 2013 - 22:03

Salut,



Certains logiciels crytographiques sont très mal conçus. Le contournement de la clé est la technique la plus économique, réalisable en moins de 30 minutes en général. C'est dingue. C'est cauchemardesque. Bref, c'est la cata.

#5 Th-Crown

Th-Crown

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 319 Messages :
  • Gender:Male
  • Location:Quelque part entre l'enfer et la Terre

Posté 20 septembre 2013 - 23:00

Salut,



Certains logiciels crytographiques sont très mal conçus. Le contournement de la clé est la technique la plus économique, réalisable en moins de 30 minutes en général. C'est dingue. C'est cauchemardesque. Bref, c'est la cata.

Heureusement, ils ne le sont pas tous. True Crypt par exemple, échappe à cette catégorie de logiciels mal conçus. Mais j'aimerais savoir si la NSA est tout de même capable de le contourner.



#6 tristan

tristan

    Phobosien

  • Zimien
  • PipPipPipPipPipPipPip
  • 516 Messages :
  • Gender:Male

Posté 21 septembre 2013 - 00:22

Cet article est intéressant:
http://theinvisiblet...-truecrypt.html

C'est un début...

Truecrypt reste encore le meilleur logiciel. Le mieux est de dissimiler son conteneur truecrypt dans des objets informatiques en évitant les logiciels de stéganographie.

Le chaos informationnel.
La redondance informationnelle.
La délocalisation géographique d'un fragment de son conteneur truecrypt.

Du bruit ! du bruit ! encore du bruit pour hébéter l'intrus !

#7 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 21 septembre 2013 - 04:32

Heureusement, ils ne le sont pas tous. True Crypt par exemple, échappe à cette catégorie de logiciels mal conçus. Mais j'aimerais savoir si la NSA est tout de même capable de le contourner.

Que je sache, à ce jour, aucun de ceux qui ont prétendu avoir "craqué" des volumes Truecrypt n'a pu présenter une technique crédible.

Seuls cette très chère Joanna Rutkowska et Alex Tereshkin ont trouvé une astuce dans le cas d'un disque entièrement chiffré, à condition de l'avoir sous la main.

Cet article est intéressant:
http://theinvisiblet...-truecrypt.html
C'est un début...

Très intéressant en effet, mais ça date un peu, d'il y a environ quatre ans. Depuis la faille qui a permis le succès de cette attaque a été colmatée.

 

Je n'ai jamais aimé l'idée d'un chiffrement complet d'un disque. Ça manque vraiment de discrétion et un juge peut donner l'ordre de fournir tous les éléments nécessaires à la mise en clair sous peine d'être inculpé pour obstruction à la justice. Je préfère les volumes Truecrypt plus petits, avec des extensions crédibles qui pourraient faire penser si besoin est à des fichiers corrompus, et contiennent un volume caché où se trouvent les données "sensibles".

 

@+

 


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#8 tristan

tristan

    Phobosien

  • Zimien
  • PipPipPipPipPipPipPip
  • 516 Messages :
  • Gender:Male

Posté 21 septembre 2013 - 20:00

Salut,


Oui, ça date un peu. Cependant, le concept reste toujours actuel: aucun système n'est à l'abri d'une attaque.

#9 Tchim

Tchim

    A vos souhaits !

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 4 279 Messages :
  • Gender:Male
  • Location:Valles Marineris.

Posté 22 septembre 2013 - 10:31

Salut,

 

Sebsauvage explique que le standard de crypto Dual EC DRBG (générateur de nombres pseudo-aléatoires) était recommandé par la NSA...

 

Cet algo semble en effet posséder des failles volontaires permettant à la NSA de déchiffrer les protocoles utilisant cet algo.

 

Une liste d'entreprises qui utilisent cet algo, on-y voit McFee entre-autre...

http://csrc.nist.gov...bg/drbgval.html

 

Les liens de Sebsauvage :

http://sebsauvage.net/links/?1YZ3Nw

http://sebsauvage.net/links/?FZvDyA

 

@+


Que la paix vous accompagne !


#10 Th-Crown

Th-Crown

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 319 Messages :
  • Gender:Male
  • Location:Quelque part entre l'enfer et la Terre

Posté 22 septembre 2013 - 12:42

Salut,

 

Sebsauvage explique que le standard de crypto Dual EC DRBG (générateur de nombres pseudo-aléatoires) était recommandé par la NSA...

 

Cet algo semble en effet posséder des failles volontaires permettant à la NSA de déchiffrer les protocoles utilisant cet algo.

 

Une liste d'entreprises qui utilisent cet algo, on-y voit McFee entre-autre...

http://csrc.nist.gov...bg/drbgval.html

 

Les liens de Sebsauvage :

http://sebsauvage.net/links/?1YZ3Nw

http://sebsauvage.net/links/?FZvDyA

 

@+

Donc une raison pour ne pas faire confiance à ce standard



#11 Tchim

Tchim

    A vos souhaits !

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 4 279 Messages :
  • Gender:Male
  • Location:Valles Marineris.

Posté 04 octobre 2013 - 10:06

En effet ;) d'ailleurs certaines entreprises déconseillent leurs produits utilisant ce standard :

RSA conseille à ses clients d’arrêter d’utiliser l’un de ses propres produits.


Que la paix vous accompagne !




1 utilisateur(s) en train de lire ce sujet

0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)