Discussion :

[Amine Horseman]

Cyberespionnage : les outils qui ont résisté à la NSA révélés par Snowden
HTTPS et VPN ne posent plus de problèmes à l’agence

La confidentialité et le respect de la vie privée font partie des sujets les plus en vogue sur les forums et les réseaux sociaux. Les internautes sont de plus en plus conscients des opérations de cyberespionnage et une grande partie de ceux-ci se tournent vers les solutions de chiffrement et les protocoles de sécurité pour protéger leurs données privées. Ces outils représentent un véritable frein aux opérations de la NSA.

Selon des documents secrets de la NSA révélés par Snowden et qui datent de 2012, le protocole HTTPS et les VPNs privés, censés être utilisés pour une navigation sécurisée à travers le web, ne représentent aucun obstacle pour l’agence de sécurité nationale des États-Unis. Celle-ci aurait été en mesure de déchiffrer les données transférées en utilisant ce protocole, et s’attendait, vers la fin de 2012, à pouvoir intercepter plus de 10 millions de connexions HTTPS par jour.

Aussi, récupérer des messages à partir du chat Facebook représenterait une tâche assez facile pour les experts de l’agence. D’ailleurs, le client de messagerie, ainsi que Google Hangsout, SnapChat, WhatsApp et Skype ne respectent que 2 des 7 critères de sécurité selon les tests de l’EFF (Electronic Frontier Foundation). Par contre, bien que le déchiffrement des mails issus du fournisseur russe « mail.ru » ne présente « pas de problème majeur », selon les documents de Snowden, ce n’est pas le cas pour les fournisseurs de services mails sécurisés tel que « Zoho », ou encore la reconstitution de documents chiffrés par le logiciel PGP, ainsi que ceux chiffrés en utilisant le chiffrement AES.
Le protocole OTR, disponible sous forme de plugin pour les clients de messagerie instantanée, aurait lui aussi représenté des difficultés pour la NSA, tout comme le système de messagerie sécurisé CSpace et le protocole de chiffrement des appels téléphoniques sur internet ZRTP.

Toutefois, ces documents datant de deux ans, ne reflètent pas forcement l’état actuel des recherches menées par la NSA, surtout lorsqu’on sait que le budget annuel de l’agence durant l’année 2013 prévoyait de réserver au département de Cryptanalyse et des Services d’Exploitation (CES) la somme de 34,3 millions de dollars. D’ailleurs, le réseau Tor, destiné à offrir aux utilisateurs un moyen de navigation anonyme sur le NET, et qui représentait l’une des plus grandes difficultés pour les agences de renseignement, avait fait l’objet de plusieurs opérations gouvernementales cette année. Un des responsables du FBI a lui-même annoncé que ce réseau ne représentait plus un obstacle, et que « les cybercriminels ne peuvent plus se cacher désormais ».

Une autre difficulté pour la NSA était le déchiffrement de fichiers chiffrés par TrueCrypt. Toutefois, il faut rappeler que l’équipe de développement de cet outil l’avait abandonné en mai dernier. Bien qu’il soit réputé pour être l’un des logiciels de chiffrement les plus efficaces, il contenait une faille de sécurité majeure selon ses créateurs.

Quoi qu’il en soit, selon l’analyse des experts en sécurité, il est évident que la NSA et les autres agences gouvernementales ont plus de difficulté avec les outils de chiffrement open source où « il serait beaucoup plus difficile d’introduire des Backdoors secrets pour voler les données ».

Source : SPIEGEL

Et vous ?

Que pensez-vous de ces révélations ?

Les outils de chiffrement cités ci-haut restent-ils aussi efficaces pour contrer le cyberespionnage ?

[Washmid]

Le FBI a pu passer outre TOR pour trouver "quelques" criminels, ce n'est pas du tout la même situation qu'un espionnage massif de "10 millions de connexions HTTPS par jour".

Une personne faisant l'objet d'une enquête doit pouvoir être identifiée, même sur TOR. Des milliers/millions de personnes ne doivent pas pouvoir être identifiées et espionnées en masse.

La première situation est souhaitable, l'autre est dangereuse... Et l'article semble mélanger un peu les deux situations.

[antoyo]

Salut !
Je me demandais ce que Zoho Mail a comme protection que les autres services courriels n’ont pas.
Avez-vous de la documentation ou des informations à ce sujet ?
Merci.

[Alcore]

Le journal allemand "De Spiegel" a même publie un extrait du document stipulant que les modifications des algo de cryptographie ( influencees par la NSA) au sein de solutions commerciales devaient rester secrètes : http://cdn1.spiegel.de/images/image-...9free-ladz.jpg

Merci MS et Apple.

[Chauve souris]

Le FBI a pu passer outre TOR pour trouver "quelques" criminels, ce n'est pas du tout la même situation qu'un espionnage massif de "10 millions de connexions HTTPS par jour".

Une personne faisant l'objet d'une enquête doit pouvoir être identifiée, même sur TOR. Des milliers/millions de personnes ne doivent pas pouvoir être identifiées et espionnées en masse.

La première situation est souhaitable, l'autre est dangereuse... Et l'article semble mélanger un peu les deux situations.

Parce que le premier cas est anecdotique : les "cyber criminels" et les "pédophiles" et que le second cas est économique et joue sur les grands nombres : Etudes de consommation (voir si la pub de Caca-Cola a eu un retentissement dans une zone donnée) flux financiers et états comptables des PME pour voir s'il n'y a rien qui fasse de l'ombre à la puissance économique US.

Je ne discuterais pas sur la valeur des techniques de cryptage, je suis trop nul en maths (dont je passais les cours au fond de la classe près du radiateur ) mais c'est au niveau psycho-socio que je me pose quelques questions (avec quelques éléments de réponse)

Déjà 1. l'assertion idéologique de "Inutile de crypter quoi que ce soit, on sait passer outre", largement repris par les médias, bute sur un mensonge : il y a des algorithmes publics que les pointures du domaine considèrent comme pratiquement incrackables. Autre chose rigolote que j'ai lu dans la presse purée : il suffirait que quelques agents de la NSA persuadent quelques boîtes de cryptage pour que le tour soit joué. Mais les algorithmes sont publics, les codes sont open source le brillant agent de la NSA n'a rien à gagner à faire de l'entrisme. A ce sujet la déclaration de l'équipe de Truecrypt relève de l'intox puisque on est dans le cas précédent et que les as de la cryptographie n'y ont rien trouvé de compromis. Peut-être que les gens de Truecrypt désirent un poste bien payé à la NSA ?

Bien sûr on va avoir jusqu'à plus soif les professions de foi de ceux qui "n'ont rien à cacher"...

La proposition de Snowden est, au contraire, une bonne réponse : Tout crypter pour saturer la NSA qui ne saura plus si un message vient d'un "dangereux cyber criminel" ou d'un adolescent prépubère qui raconte ses états d'âme dans un langage tellement mal écrit que c'est, en soit, une technique de cryptage (je confesse avoir mis du temps à comprendre "je kiffe grave").

Donc nous avons d'efficace :

1. GnuPG et sa forme interface pour Windows Gpg4Win pour le cryptage à clé asymétriques (pour le courrier).
2. TrueCrypt (restez à la version 7.1a) pour l'encryptage de conteneurs montés en disques virtuels. N'utilise qu'une passphrase mais on peut la transmettre avec le logiciel précédent si on envoie le conteneur à un correspondant (un bilan comptable par exemple)

Et ne pas perdre de vue que c'est psychologique : la mentalité de sécurité devrait habiter tous ceux qui sont conseils pour les PME/PMI au même titre que les sauvegardes de données.

Anecdote : se doutant bien du débarquement mais ne sachant où, l'Abwher (la toute petite NSA teutonique de l'époque) traquait tous les renseignements sur les endroits possibles. Ils ne savaient qu'une chose : c'est que la citation "Les sanglots longs des violons de l'automne" signifiait "C'est pour bientôt" et que "Bercent mon cœur d'une langueur monotone" signifiait "C'est pour demain". Informations limitées mais qui mettait en alerte les groupes de la Résistance. Les alliés ont saturé d'informations sur les lieux de débarquement dans des algorithmes de cryptage pas trop difficiles pour l'Abwher qui mettait alors des nuages de points sur les cartes, dont le vrai lieu du débarquement car, s'il n'avait pas été indiqué c'eut été un trou repérable et suspect.

[Chauve souris]

Petite précision utile : si un conteneur Truecrypt est réputé inforçable il n'en est pas moins repérable par TCHunt petit utilitaire qui va scanner tous vos fichiers sans se préoccuper de l'extension La parade : passez votre fichier Truecrypt avec Winrar, avec un mot de passe pour augmenter le plaisir et, bien sûr, supprimer l'extension "rar"

Oui, je sais, je suis "un immmmenssse paranoïakkk critikkk"

[6carbon]

HTTPS utilise tls pour le chiffrement. Donc si HTTPS n'est plus sûr ça voudrait dire que c'est en fait tls qui n'est plus sûr?
D'autant que tls est aussi utilisé par pratiquement tous les protocoles qui existent en clair et en chiffré : IMAP, SMTP, FTP et plein d'autres.

[Invité]

Pourquoi ne pas utiliser Cryptozor ?

[Chauve souris]

Pourquoi ne pas utiliser Cryptozor ?

Parce qu'il est introuvable ce qui me parait une bonne raison

[Invité]

En cherchant bien on fini toujours par trouver :


D'ailleurs je serai curieux de connaitre le type de chiffrement utilisé par ce logiciel...

[Chauve souris]

En cherchant bien on fini toujours par trouver :

J'ai cherché et j'ai trouvé :

1. Des liens morts
2. Des sites d'arnaques de téléchargements bidons (où il faut técharger autre chose que ce qu'on est venu récupérer, genre adfly)
3. Et pour finir ce lien où ce Cryptozor me semble très suspect
   http://www.solvusoft.com/fr/files/er...cryptozor-lnk/

Et puis un logiciel de cryptage qui n'est pas en open source goto trash.

[Invité]

J'ai cherché et j'ai trouvé :

1. Des liens morts
2. Des sites d'arnaques de téléchargements bidons (où il faut técharger autre chose que ce qu'on est venu récupérer, genre adfly)
3. Et pour finir ce lien où ce Cryptozor me semble très suspect
   http://www.solvusoft.com/fr/files/er...cryptozor-lnk/

Et puis un logiciel de cryptage qui n'est pas en open source goto trash.

je ne suis pas passé par les liens adfly, j'ai trouvé sur un blog les 3 version de cryptozor...
Par contre je ne connais pas du tout ce lien ? http://www.solvusoft.com/fr/files/er...cryptozor-lnk/
Après je ne sais pas du tout quelle technologie de cryptage est utilisé par Cryptozor.
Mais merci.

[gangsoleil]

Pourquoi ne pas utiliser Cryptozor ?

Parce que tu ne sais pas ce que fait ce logiciel, s'il crypte correctement, s'il n'est pas bourré de malwares, s'il n'envoie pas une copie des données (en clair ou non) a des tiers, ...

Si tu vois un logiciel marqué "je garde tous vos login/pass de manière sécurisé", tu fais une confiance aveugle au logiciel ou bien tu te renseignes ?

Copyright de 2003, un site vide, et le seul profile que l'on trouve est celui d'un architecte technique. Peut-être que c'est un dieu de la crypto, peut-être que ce n'est pas la même personne, mais peut-être pas.