Mois : novembre 2014

Traduction – Cryptome : What Is Good Encryption Software

Par défaut

Traduction d’un mail sur un thread de la ML Cryptome au sujet de l’utilisation de logiciels de chiffrement.

https://pad.tetalab.org/p/cryptome_-_what_is_good_encryption_software

– début du thread : http://www.freelists.org/post/cryptome/What-Is-Good-Encryption-Software
– mail original : http://www.freelists.org/post/cryptome/What-Is-Good-Encryption-Software,5
– inscription à la mailing-list Cryptome : http://www.freelists.org/list/cryptome

Subject:         [cryptome] Re: What Is Good Encryption Software?
Date:         Fri, 28 Nov 2014 19:14:41 +0000
From:         doug <douglasrankine2001@yahoo.co.uk>
Reply-To:         cryptome@freelists.org
To:         cryptome@freelists.org

Bonjour,

Une sécurité absolue, ou une vie privée totalement étanche, avec ou sans chiffrement, ça n’existe pas, oubliez.

Malheureusement, le problème ne vient pas des logiciels de chiffrement, mais plutôt de vos besoins personnels, de vos connaissances dans les méthodes de protection, et de votre niveau dans ce qu’on appelle la ‘sécurité opérationnelle’, tout cela est beaucoup plus important. Vous pouvez utiliser le meilleur logiciel de crypto du monde, la protection est une chaine, et le maillon faible reste quasiment toujours le, ou, les humains de cette chaine. C’est comme avec une chaine hifi, ce n’est pas la peine d’investir une fortune dans les meilleurs ampli, micro, enceintes, enregistreur, formats de disques et salle insonorisée, si vous êtes sourds… comme moi… 🙂 Mieux vaut commencer par vérifier vos oreilles… c’est à dire la sécurité opérationnel et celle de l’ap)areil.

Dans un monde idéal, vous pouvez avoir un chiffrement incassable, cela ne sera pas suffisant. La sécurité opérationelle est tout aussi importante. Un disque-dur peut être chiffré avec un chiffrement incassable, les logiciels d’investigation pourront remettre à zéro l’état du disque et analyser tout ce qui a été enregistré avec jusqu’au moment du chiffrement. Quant à la partie chiffrée, elle pourra être cassée en utilisant différentes méthodes : force brute, analytique, heuristique, ou simplement en vous envoyant devant un juge et, sous peine d’emprisonnement ou d’autre punition similaire, en vous forcant à révéler votre mot de passe sous couvert de la loi. Les méchants menaceront juste vos parties intimes. L’analyse du traffic internet peut aussi permettre de savoir quand, pendant combien de temps, et à qui vous avez envoyé ou reçu des données.

Dans le monde d’aujourd’hui, dès que vous vous connectez au net, tout ce que vous faites, téléchargez, transférez, installez, effacez, mettez à jour, les sites que vous visitez, quand vous vous connectez à votre banque en ligne, rejoignez un réseau, planifiez des vacances à la maison ou à l’étranger, ou utilisez les réseaux sociaux, tout est collecté puis stocké par l’une des agences gouvernementales de sécurité (ou même toutes) à travers le monde. Même si vous n’êtes pas une cible, votre activité sera enregistrée et gardée pour une longue période, c’est ce qu’on appelle la métadonnée… et elle sera conservée à différents endroits, certains plus sécurisés que d’autres. Elle sera peut-être lue par un analyste d’un service d’espionnage à un certain moment, ou peut-être pas, mais en aucuns cas elle ne sera oubliée.

Un profil vous correspondant est créé. Ou il le sera au bout du compte. Il permet aux logiciels de surveillance de cartographier vos objets connectés au net, ordinateurs, tablettes, téléphones, routeurs, et autres équipements électroniques… tant que des fichiers executables peuvent se lancer sur ces équipements, ils peuvent être manipulés et leur utilisation surveillée… à distance, où que vous soyez dans le monde. Votre localisation sur la planète, votre arrivée à un endroit, la durée de votre séjour, tout cela peut aussi être cartographié; chaque fois qu’un appareil electronique est utilisé, carte de crédit, passeport, carte d’identité, ordinateur. Pour paraphraser Mr. Obama, « les points finiront par se connecter » sur les profils incomplets ou flous.

Si vous êtes une cible, alors votre équipement sera « taggué » (étiqueté) avec différents types de tags, suivant votre position dans la hierarchie du risque établie par ces agences. Différents tags de sécurité déclencheront différents types de risques, ou de sécurité, et récupèreront vos informations à différents endroits, suivant la hauteur du risque que vous représentez et la nature de ce risque. Vos informations, suivant l’importance qu’on vous donne, pourront être partagées entre les principaux services ou autorités mettant en oeuvre la loi et les services secrets. Vous ne serez pas au courant de tout cela pendant un certain temps, peut-être même jamais de votre vivant, les logiciels de contrôle à distance, tel que stuxnet et autres, ayant été utilisé durant diverses occasions, comme avec finfisher dans le secteur privé. Quand votre passeport passera sur le terminal d’un contrôleur aux frontières, si vous n’êtes pas déjà sur une liste, votre passeport sera taggué et les informations envoyées aux endroits indiqués par ce tag. Le contrôleur ou la douane ne seront même pas au courant.

Comment devient-on une cible? Et bien, il y a les cibles habituelles, les suspicions de terrorisme, de crime sérieux, lié à la drogue, menace à la sécurité de l’État. La loi de Sod fonctionne ici aussi : une blague stupide à un agent de la sécurité à l’aéroport, exprimer votre frustration après avoir attendu trop longtemps, transporter des gateaux dans un avion sans autre raison que celle d’avoir l’air suspect. Ici en Angleterre, mettre le mauvais type de déchet dans la mauvaise poubelle peut être considéré comme un crime sérieux, cela permettant au conseil municipal de demander à l’agence environnementale d’avoir un oeil sur vous. Oui, vous pouvez vous retrouver sur un type de liste internationale suite à un acte aussi banal.

Chiffrement… vous voulez dire que vous ne l’utilisez pas ? Espèce de chanceux, c’est peut-être ce qui vous permettra de ne pas être ciblé. Les service de sécurité disent de ceux qui utilisent du chiffrement qui ne peut pas encore être cassé que leurs communications seront automatiquement stockées jusqu’à ce qu’il puisse l’être… »Yes… we can ». Utiliser TOR ou Tails ou d’autres logiciels « sécurisé » ou d’anonymat ? Visiter le site web de ces logiciels, le télécharger ? Alors votre activité va vous faire gagner des places dans la liste. Pas la peine d’avoir des logiciels de chiffrement si votre ordinateur est surveillé depuis la création de votre mot de passe.

Contacter Cryptome ou un de ces sites dans les listes qu’un État pourrait considérer comme une menace ? Qui pourrait considérer Cryptome comme une menace ? Après tout, c’est un site ouvert, démocratique, qui expose les failles de la démocacrie, particulièrement celles des services secrets et autres organes d’États qui préfèreraient se cacher; et Cryptome n’est pas utilisé dans un but subversif, illégal ou immoral. Donc vous serez une cible d’une certaine façon. Quelqu’un, quelque part prendra note.

Logiciels antivirus, chevaux de Troie, cookie de surveillance, et toute sorte d’autres malwares peuvent compromettre votre système. Les États, ainsi que les entreprises privées et les secteurs criminels sur internet, utilisent déjà ces logiciels à grande échelle. Les Symantec, Kasperski, AVG et consorts ne peuvent plus tenir le rythme… bien que ce soit encore une bonne idée d’avoir un antivirus efficace, un logiciel de protection de vie privée, et un firewall sur votre réseau interne.

Donc, mon conseil est que si vous ne faites rien de mal, comme de la banque en ligne ou du commerce légal, ou que vous communiquez avec un collègue de travail ou des amis… ne vous embétez pas avec du chiffrement. De toute façon, probablement qu’aucun de vos amis n’utilise de chiffrement. Afin de protéger vos activités contre le secteur privé, au niveau sécurité et vie privée, et particulièrement si vous êtes dans les affaires, alors plus vous êtes haut dans la chaine financière, plus vous devenez une cible pour de l’espionnage industriel ou commercial, et vous devriez prendre des cours avec les autres personnes impliquées dans votre business. Bien sûr, une telle précaution n’empêche pas que vous ou vos données ne soient espionnées.

Vous n’avez littéralement aucun moyen de protéger votre sécurité ou vie privée de manière absolue. Il y a très peu de contrôle sur les services d’espionnage à travers le monde, et à la manière dont les choses évoluent, même les forces de l’ordre légitimes utilisent… devrait-on dire… des logiciels intrusifs qu’ils ont inventés eux-mêmes qui non seulement cartographient vos équipements réseaux, mais en prennent aussi le contrôle. De la même façon que personne n’autorise ses propres enfants à se rendre seuls aux jardins publics de nos jours, les États utilisent le danger du terrorisme international et des conspirations pour finaliser, « améliorer » et étendre leur systèmes d’espionnages et de sécurité, avec beaucoup de moyen financiers et humains.

Même votre ordinateur protégé par airgap peut avoir des problèmes. Airgap veut dire qu’il n’est ni connecté à internet, ni à d’autres ordinateurs. Même là-dedans , il y a des soucis de sécurité, comme ces fichiers exécutables qui se lancent depuis ailleurs et s’installent tous seuls sur un ordinateur dit stérile.

Théoriquement, c’est comme ça que je vois les choses. En pratique, il y a encore beaucoup à comprendre. Si vous voulez garder un secret, ne le partagez pas, gardez le dans votre tête et pensez à autre chose… :-).

Cordialement,
Dougie.