Discussion :

[Stéphane le calme]

Installer des portes dérobées sur des produits, est-ce une bonne idée ?
Deux cas de dérives policières suggèrent une réponse négative

Deux rapports publiés la semaine passée ont révélé que des forces de l’ordre, indépendamment des pays, ont déjà abusé de leur pouvoir à accéder aux informations sensibles de personnes qui n’ont pas commis de crime ou alors n’ont pas été officiellement inculpées.

L’un des deux cas nous vient de Associated Press qui a cité un rapport publié par une agence indépendante d’audit de la police de Denver. Selon le rapport, durant les dix années écoulées, 25 officiers de police ont été surpris en train d’utiliser la base de données de la National Crime Information Center (NCIC) mise à leur disposition pour des raisons personnelles comme obtenir le numéro d’une femme.

Pour rappel, la NCIC garde des informations sur les citoyens américains. Elle est utilisée par des milliers d’agences/organismes d’application de la loi dans le pays pour attraper des criminels, retrouver des propriétés volées, identifier des suspects de terrorisme, etc. Les agents qui s’en servent recherchent par exemple des informations sur des vols d’armes et de voitures, sur des fugitifs, sur des criminels sexuels et bien d’autres sujets.

Depuis 2006, 25 agents ont été pris en train d’utiliser NCIC à d’autres fins que des besoins d’enquêtes et pourtant ils ont reçu des punitions légères. Même si la police de Denver maintient qu’un usage inapproprié de cette base de données se traduit par un renvoi de l’agent qui s’est rendu coupable de l’infraction, le rapport affirme que la punition maximale qui a été donnée était une suspension de trois jours. Parmi ces 25 officiers, l’un d’eux a recherché le numéro d’une femme, employée d’hôpital avec laquelle il avait discuté durant une enquête de crime sexuel, et l’a appelée chez elle contre sa volonté. Un autre a fait une recherche relative à la plaque d’immatriculation d’un véhicule pour un ami, ce dernier s’est alors rendu au domicile de la personne et l’a menacée.

Le second cas nous vient cette fois-ci du côté de la Grande-Bretagne dans un rapport publié par le Biometrics Commissioner. Il s’agit d’un rapport fait sur l’année 2015 relatif à la rétention et à l’utilisation de matériel biométrique et qui a été présenté au Parlement ce mois-ci. Le commissaire a noté entre autres que la police britannique ne suit pas les procédures normales en ce qui concerne les données biométriques comme les empreintes digitales ou l’ADN.

Par exemple, lorsqu’un suspect est relâché par la police, les normes de la police anglaise voudraient que les données biométriques prises sur lui soient détruites. Même si le suspect fait toujours partie de l’enquête, si aucune charge n’a été retenue, ces données doivent être détruites. Dans le cas où les officiers de police souhaitent garder ces données, ils doivent suivre une certaine procédure pour y parvenir.

Pourtant, le commissaire va certifier que les officiers de police britanniques ne suivent pas cette procédure et ont conçu une base de données de ces informations biométriques qui sont donc considérées comme étant illégales. Ils continuent de s’en servir pour mener leurs enquêtes. Étant donné que la base de données a été conçue pour détruire automatiquement les données biométriques, le commissaire affirme que les agents ont trafiqué leur système afin de retenir l’information.

Pourquoi est-ce important ? Avec le débat opposant Apple au FBI qui fait rage et certaines autorités dans le monde, aussi bien aux États-Unis qu’en France, qui pensent à exiger les portes dérobées sur des produits, ces rapports viennent mettre en exergue les dangers qui peuvent en découler. De plus, il suffit qu’un pirate s’empare de la clé de chiffrement qui sera remise aux forces de l’ordre pour que tout le canal chiffré soit mis en péril.

Ces deux rapports mettent en lumière un facteur qui n’a pas été pris en compte depuis le début dans les échanges : le facteur humain. Avec une porte dérobée fournie aux forces de l’ordre, rien n’empêche un officier d’abuser de son autorité.

Source : AFP, rapport annuel du Biometric Commissionner (au format PDF)

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

« Amendement Apple » : le député Éric Ciotti veut forcer les constructeurs à déchiffrer leurs dispositifs dans le cadre d'enquêtes terroristes

Adi Shamir, l'un des pères de l'algorithme RSA, se range du côté du FBI et explique pourquoi Apple devrait coopérer

Apple vs FBI : dans sa dernière déposition, Apple estime que la demande du gouvernement pourrait « forcer un artiste à peindre une affiche »

[LSMetag]

S'il n'y avait que ça, ce serait encore sympa. Je vois 3 problèmes bien plus graves.

-Le plus grave, c'est la création volontaire de failles de sécurité qui finiront obligatoirement exploitées par des personnes mal-intentionnées autres que les forces de l'ordre. Vols de données sensibles, rançonwares, virus,... Les hackers repèrent même les failles non intentionnelles.

-Le deuxième problème, c'est que ça n'incite pas les services secrets, qui devraient être au top, à acquérir les compétences et les moyens pour faire leur travail sans mettre en danger le citoyen ou empiéter de façon injustifiée sur sa vie privée (surveillance de masse). Ca peut même être dangereux pour la sécurité nationale si des personnes haut placées utilisent les dispositifs backdoorés.

-Le dernier problème est un problème démocratique. Condamner judiciairement quelqu'un qui protège ses applications, est-ce considéré comme démocratique ? La Chine le fait pour ceux qui utilisent des applications autres que celles autorisées ou contournent les blacklists des FAI (Amnesty International par exemple).

[abriotde]

Il y a 2 choses totalement distinct:
1) Les données privées qui doivent rester privées et donc les applications doivent rester le plus sécuriser possible.
2) Les forces de l'ordre ont le droit en cas de besoin justifié d'exiger les données disponibles chez un privé. Cela ne veux pas dire qu'ils doit y avoir des failles dans les protections de sécurité mais que s'il y a un moyen de récupérer les données tout le monde doit coopérer. Un peu comme la police a le droit d'exiger l'ouverture d'une maison ou d'un coffre, elle doit pouvoir exiger le déverrouillage informatique de la part de l'interpellé ou de tout autre personne en mesure de le faire.

Il faut interdire la pose de backdoor mais autoriser la saisie et la création de base de données avec des données personnels dans la mesure ou des mesure de sécurisation exis.

[TheLastShot]

S'il n'y avait que ça, ce serait encore sympa. Je vois 3 problèmes bien plus graves.

-Le plus grave, c'est la création volontaire de failles de sécurité qui finiront obligatoirement exploitées par des personnes mal-intentionnées autres que les forces de l'ordre. Vols de données sensibles, rançonwares, virus,... Les hackers repèrent même les failles non intentionnelles.

-Le deuxième problème, c'est que ça n'incite pas les services secrets, qui devraient être au top, à acquérir les compétences et les moyens pour faire leur travail sans mettre en danger le citoyen ou empiéter de façon injustifiée sur sa vie privée (surveillance de masse). Ca peut même être dangereux pour la sécurité nationale si des personnes haut placées utilisent les dispositifs backdoorés.

-Le dernier problème est un problème démocratique. Condamner judiciairement quelqu'un qui protège ses applications, est-ce considéré comme démocratique ? La Chine le fait pour ceux qui utilisent des applications autres que celles autorisées ou contournent les blacklists des FAI (Amnesty International par exemple).

J'en ai un peu marre qu'on nous ressorte la sacro-sainte démocratie à toutes les sauces comme si c'était le contre-argument suprême à tout ce qui nous déplaît...
"Démocratie" signifie "le pouvoir au peuple", à partir de là je ne vois pas en quoi une décision judiciaire, quelle qu'elle soit, pourrait ne pas être considéré par nature anti-démocratique. Si la décision était prise à la majorité des votants faisant un vote acceptable (car c'est comme ça que fonctionne notre "si belle" démocratie, qui essuie rejette d'un coup de baguette magique les votes blancs et les abstentions (car les absents ont toujours tord, peut importe qu'ils aient des arguments valables, de toute façon on ne les écoutent pas...)) elle serait, de fait, totalement démocratique (même si celle-ci impliquerait une privation total de droit, une interdiction de culte, ou une entrave à la loi).

Pour ce qui est de ton deuxième argument, j'ai un peu de mal à comprendre... Quelque soit la manière de procéder, ils feraient un même usage des données, quelque soit leurs compétences (si je cherche à aller dans un magasin, une fois arriver à destination je ferais mes courses, quelque soit le chemin que j'aurais pris...), donc installer une backdoor ne changera rien à la surveillance de masse ou autre... La seule différence c'est qu'on facilite l'accès, mais ça malheureusement, la plupart des gens s'en charge d'eux-même (avec parfois l'aide des services qu'ils utilisent et qui ose prétendre qu'un mot de masse compliqué de 10 caractères est plus sécurisé que "jaimelesponeysrosequisurfsurunarcenciel" (ou qui autorise encore les mots de passe du genre "password" ou "123456")).

Et enfin pour ton premier argument... Bah de toute façon, les "hackers" qui travaillent pour le gouvernement sont les même (je parle en terme de compétence) que se qui travaillent pour leur pomme... Donc faille officiel ou non, à partir du moment où l'un peut un utiliser une, l'autre le peu aussi (à ceci prêt que, en théorie, les "méchants" hackers n'ont pas les contraintes légales ce qui leur donne un avantage (théorique) par rapport aux autres...)

[Invité]

2) Les forces de l'ordre ont le droit en cas de besoin justifié d'exiger les données disponibles chez un privé. Cela ne veux pas dire qu'ils doit y avoir des failles dans les protections de sécurité mais que s'il y a un moyen de récupérer les données tout le monde doit coopérer. Un peu comme la police a le droit d'exiger l'ouverture d'une maison ou d'un coffre, elle doit pouvoir exiger le déverrouillage informatique de la part de l'interpellé ou de tout autre personne en mesure de le faire.

Ce n'est quand même pas si simple, parce que tu choisis ce que tu stockes dans ton coffre, tandis que tu ne choisis pas forcément ce que tu stocke dans ton téléphone (et même plus largement, sur des serveurs auxquels tu n'as pas accès).

[MichaelREMY]

bonjour,

j'ai consulté le PDF original en anglais et l'AFP; aucun des deux ne parle de backdoor (je suppose que c'est votre "porte dérobée ce qui est une très mauvaise traduction).
je parlerai plutôt de porte de secours dans le contexte de ces sources.

Si on parle bien de porte de secours, ou "d'entrée cachée prioritaire avec droits admin", je suis pour mais c'est déjà existant depuis des lustres, ça s'appelle souvant un mode 'admin', ou un mode "débug", bref un mode "secret" avec plus de droits pour faire des manips d'urgences en cas de besoin.

je me souviens aussi d'une époque, où il était interdire de l'écrire dans les docs utilisateurs et uniquement le faire dans une docs techniques avec un tracking de lecture.
Par exemple dans l'ancien temps, c'était un paramétre cachée en ligne de commande, genre "monprogramme.exe -modedebug" et biensur le "monprogramme.exe /? --help" ne donnait pas le -modedebug dans la liste des options du man ;-)

[LSMetag]

J'en ai un peu marre qu'on nous ressorte la sacro-sainte démocratie à toutes les sauces comme si c'était le contre-argument suprême à tout ce qui nous déplaît...
"Démocratie" signifie "le pouvoir au peuple", à partir de là je ne vois pas en quoi une décision judiciaire, quelle qu'elle soit, pourrait ne pas être considéré par nature anti-démocratique. Si la décision était prise à la majorité des votants faisant un vote acceptable (car c'est comme ça que fonctionne notre "si belle" démocratie, qui essuie rejette d'un coup de baguette magique les votes blancs et les abstentions (car les absents ont toujours tord, peut importe qu'ils aient des arguments valables, de toute façon on ne les écoutent pas...)) elle serait, de fait, totalement démocratique (même si celle-ci impliquerait une privation total de droit, une interdiction de culte, ou une entrave à la loi).

Pour ce qui est de ton deuxième argument, j'ai un peu de mal à comprendre... Quelque soit la manière de procéder, ils feraient un même usage des données, quelque soit leurs compétences (si je cherche à aller dans un magasin, une fois arriver à destination je ferais mes courses, quelque soit le chemin que j'aurais pris...), donc installer une backdoor ne changera rien à la surveillance de masse ou autre... La seule différence c'est qu'on facilite l'accès, mais ça malheureusement, la plupart des gens s'en charge d'eux-même (avec parfois l'aide des services qu'ils utilisent et qui ose prétendre qu'un mot de masse compliqué de 10 caractères est plus sécurisé que "jaimelesponeysrosequisurfsurunarcenciel" (ou qui autorise encore les mots de passe du genre "password" ou "123456")).

Et enfin pour ton premier argument... Bah de toute façon, les "hackers" qui travaillent pour le gouvernement sont les même (je parle en terme de compétence) que se qui travaillent pour leur pomme... Donc faille officiel ou non, à partir du moment où l'un peut un utiliser une, l'autre le peu aussi (à ceci prêt que, en théorie, les "méchants" hackers n'ont pas les contraintes légales ce qui leur donne un avantage (théorique) par rapport aux autres...)

Je vais essayer d'être plus clair.

1) Les hackers qui travaillent pour les gouvernements occidentaux ne sont pas ceux qui travaillent pour leur pomme. Ce ne sont pas des jeunes de 14 ans qui ont ça dans la peau, sont autodidactes, qui fument des bedos en travaillant et feraient passer un Ingénieur pour un débutant. En Russie, ils les prennent ces gens-là, qui eux savent cracker un IPhone. L'espionnage industriel va bon train avec ces pratiques.

2) Ok les failles de sécurité sont souvent entre le clavier et la chaise. Mais ce n'est pas une raison pour volontairement ouvrir les smartphone du monde entier aux pirates. Tu te sens mal après quand ta backdoor est exploitée pour balancer un raçonware dans un hopital à travers le bluetooth. Un hopital n'a rien d'un terroriste. Apple accepte déjà de déverrouiller un Iphone sur injonction d'un juge et de restituer les données. Ca me semble suffisant. Mais le FBI voudrait fouiller partout sans avoir à demander. Le dispositif qui les embête, c'est surtout celui qui empêche l'utilisation d'un smartphone volé.

Quand tu dois traverser les lignes ennemies pour tuer le général adverse, tu ne demandes pas aux trouffions de te faire une haie d'honneur. Tu te mets en condition pour défoncer ou contourner l'ennemi.

3) Le mot "démocratie" j'avais un peu hésité à le mettre car j'imaginais ce genre de réaction. En tout cas ça revient à faire comme la Corée du Nord ou la Chine. Tu es condamnable si tu utilises d'autres outils que ceux indiqués. Pour le bien commun, tu protèges le peuple et "diminue" le pouvoir des autorités. Un peu comme quand Kennedy s'est fait assassiner parce qu'il voulait restreindre les pouvoirs de la CIA...

Je dis toujours que j'accepte d'être trouvé, mais seulement si on me cherche.

[LSMetag]

Ce n'est quand même pas si simple, parce que tu choisis ce que tu stockes dans ton coffre, tandis que tu ne choisis pas forcément ce que tu stocke dans ton téléphone (et même plus largement, sur des serveurs auxquels tu n'as pas accès).

Si tu as quelque chose à cacher, bien sûr que tu feras attention à ce que tu fais avec ton téléphone et désactiveras tout ce qui est télémétrie, cloud et cie. Dans ces cas là, l'ouverture du téléphone, où les données sont stockées en local, voire sur un serveur privé, revient à l'ouverture d'un coffre ou une perquisition.

Juste par principe, mon téléphone utilise un VPN.

[MichaelREMY]

Juste par principe, mon téléphone utilise un VPN.

juste par principe, les gens qui utilisent un VPN sont fichés car suspects. ok , ils dorment tranquillement car les données sont cryptés, mais hélas jusqu'2016, personne n'a inventé un VPN dont l'utilisation est masqué ou furtive.
utiliser un VPN, c'est comme rentrer dans une collectivité avec une cagoule : on ne sait pas ce que tu as comme intention ni ton visage, mais on sait que tu es louche, donc on te regarde.
et pire encore, car utiliser un VPN utilise plus de ressources (25% je crois), c'est comme trimbaler un boulet.
et qui t'assure que ton VPN (gratuit ) n'a pas été codé par des gens qui ont mis un backdoor ou qui ont laissé volontairement un 'bug' ou un truc bizarre dedans.

[MichaelREMY]

Je dis toujours que j'accepte d'être trouvé, mais seulement si on me cherche.

c'est facile et évident de dire cela, quand tu achètes une voiture, tu acceptes aussi d'être immatriculé, fichés..Etc....Bun pour un téléphone/ordi ça devrait être pareil.

L'immatriculation est un principe de sécurité, pas juste une paperasse. Tout ce qui est potentiellement nuisible est sérialisé et suivi (armes, médicaments, alimentations, permis, machines spéciales)

moi aussi , j'accepte d'être trouvé, même que mes données soit collectées et même qu'elles soient croisées mais je voudrais comme contrepartie :
- avoir une réduction financière sur mon abonnement internet ou téléphonique (car je fais un don de mes informations)
- avoir un droit de regard sur le backup de mes données
- être averti par LRAR que mes données viennent d'être croisées et que le résultat du croisement me demande d'aller à la gendarmerie justifier qqchose (plutôt que d'être réveillé à 3h du mat pour être mis en garde à vue ou perquisitionné et d'apprendre la raison après.).

[Sunchaser]

Bonjour,
J'ai trouvé une porte dérobée !
Regardez bien sous les petits Flamby au caramel, il y a une petite languette cachée ! ...

[LSMetag]

juste par principe, les gens qui utilisent un VPN sont fichés car suspects. ok , ils dorment tranquillement car les données sont cryptés, mais hélas jusqu'2016, personne n'a inventé un VPN dont l'utilisation est masqué ou furtive.
utiliser un VPN, c'est comme rentrer dans une collectivité avec une cagoule : on ne sait pas ce que tu as comme intention ni ton visage, mais on sait que tu es louche, donc on te regarde.
et pire encore, car utiliser un VPN utilise plus de ressources (25% je crois), c'est comme trimbaler un boulet.
et qui t'assure que ton VPN (gratuit ) n'a pas été codé par des gens qui ont mis un backdoor ou qui ont laissé volontairement un 'bug' ou un truc bizarre dedans.

Je me suis mal exprimé. Je disais que juste par principe, j'UTILISERAIS un VPN sur mon tel. Sauf que c'est idiot sauf peut-être pour une entreprise. Tu as une fonction dédiée sûrement backdoorée + ton FAI. J'ai essayé 5 minutes pour voir mais j'ai vite retiré.

Et pour le VPN sur PC, je ne pense pas qu'OpenVPN et OpenDNS soient backdoorés, sans parler des serveurs utilisés. Donc en principe, on ne sait PAS que tu utilises un VPN, vu que c'est principalement son but.

Je fais ça pour éviter la surveillance de masse. Ok on peut me trouver louche car je le dis sur un site public (où je n'utilise pas mes vraies coordonnées), d'autres petits trucs comme Peerblock avec bonne liste, désactivation de la télémétrie et j'en passe (pour les navigateurs). Mais je l'assume. J'accepte qu'on me cherche et qu'on me trouve si on a des soupçons sur moi, pour les dissiper ensuite. Mais je n'accepte pas qu'on me trouve et "m'espionne" gratuitement. C'est l'équivalent d'une mise sur écoute à grande échelle, sans mandat d'un juge. C'est une question de principe et de défiance vis à vis des politiques et forces de l'ordre qui outrepassent leurs prérogatives, et mettent en danger la population, bien que pensant la protéger.

Au passage mon VPN prends à peine 10% de ma connexion, avec cryptage à l'appui. Même si j'ai travaillé en France, ça ne veut pas dire que je suis Franco-Français et que je réside en France.

[Artemus24]

Salut à tous.

juste par principe, les gens qui utilisent un VPN sont fichés car suspects. ok

Tu essayes de faire peur ou quoi ?

De quelles fiches parles-tu ?
Des fiches "S" sont émises par la Direction générale de la sécurité intérieure (DGSI), une des branches du renseignement français.
Crois-tu que le hacker tout boutonneux de moins de 16 ans soit fiché parce qu'il utilise un VPN ?
En quoi est-ce un déli de faire l'usage d'un VPN ?
Dans ce cas-ci, ce sont des centaines de milliers de personnes qui seraient sous surveillances.
Et il a environ 10.000 personnes en France qui sont fichés.
Essentiellement des terroristes !

et qui t'assure que ton VPN (gratuit ) n'a pas été codé par des gens qui ont mis un backdoor ou qui ont laissé volontairement un 'bug' ou un truc bizarre dedans.

Ça dépend de l'usage que tu en fais.
La principale faille de sécurité est le navigateur que tu utilises, entre autre WebRTC qui permet d'identifier toutes les adresses IP utilisées.
Une façon de contrer cela est d'utiliser un vieux navigateur.

Depuis les attentats du vendredi 13 qui ont endeuillé la capitale, ces fiches S reviennent donc sur le devant de la scène. Nicolas Sarkozy préconise que toutes les personnes qui y sont citées soient assignées à résidence et équipées d'un bracelet électronique.

Source : http://www.huffingtonpost.fr/2015/11...n_8572986.html

Je retourne la question : est-ce que l'utilisateur d'un VPN est assigné à résidence et équipé d'un bracelet électronique ?
Je m'avance peut-être pour dire que c'est ni plus ni moins qu'une affabulation de croire cela.

Installer des portes dérobées sur des produits, est-ce une bonne idée ?

Je ne suis pas au fait de ce qui se fait dans ce domaine, mais une porte dérobée peut-elle être contré avec un bon firewall, voire une box qui bloque les flux entrants ?

@+

[Invité]

Et il a environ 10.000 personnes en France qui sont fichés.
Essentiellement des terroristes !

Je ne pense pas qu'il parlait des fiches S en particulier. Il existe beaucoup d'autres fichiers : https://fr.wikipedia.org/wiki/Fichage_en_France
À ma connaissance, personne ne sait qui est fiché et combien de personnes sont fichées. L'histoire nous a montré à de nombreuses reprises que, dans le doute, mieux vaut se méfier

[LSMetag]

c'est facile et évident de dire cela, quand tu achètes une voiture, tu acceptes aussi d'être immatriculé, fichés..Etc....Bun pour un téléphone/ordi ça devrait être pareil.

L'immatriculation est un principe de sécurité, pas juste une paperasse. Tout ce qui est potentiellement nuisible est sérialisé et suivi (armes, médicaments, alimentations, permis, machines spéciales)

moi aussi , j'accepte d'être trouvé, même que mes données soit collectées et même qu'elles soient croisées mais je voudrais comme contrepartie :
- avoir une réduction financière sur mon abonnement internet ou téléphonique (car je fais un don de mes informations)
- avoir un droit de regard sur le backup de mes données
- être averti par LRAR que mes données viennent d'être croisées et que le résultat du croisement me demande d'aller à la gendarmerie justifier qqchose (plutôt que d'être réveillé à 3h du mat pour être mis en garde à vue ou perquisitionné et d'apprendre la raison après.).

C'est l'équivalent d'avoir un PC/Téléphone identifié par son adresse IP, répertoriée chez le FAI. On sait à qui il appartient., identifié par sa ligne téléphonique Comme la plaque d'immatriculation et la carte grise de la voiture. Mais est-ce qu'on peut savoir si tu fais l'amour dedans avec ta copine ? Les trajets que tu fais sont-ils signalés par la voiture ? Le verrouillage des portes et du démarreur est-il backdooré ?

J'accepte qu'on identifie ma voiture et qu'on m'associe avec. Je n'apprécie pas que quelqu'un d'autre puisse l'utiliser à ma place, tracer tous mes déplacements (si ça se trouve je vais au "Bois de Boulogne" alors que je suis marié), ou de recevoir dans ma boîte aux lettres parisienne (je n'habite pas Paris) des pubs de McDo parce que je suis passé devant celui de Lyon dans un de mes déplacements.

Par contre, si on me suspecte de quelque chose, on peut très bien saisir ma voiture, défoncer la porte, analyser l'intérieur, demander des témoignages, utiliser le bornage de mon téléphone (ce que je trouve déjà limite, mais bon...) et les caméras de surveillance,... Je me demande d'ailleurs si les GPS intégrés ne sont pas backdoorés.

[Zirak]

Tu essayes de faire peur ou quoi ?

De quelles fiches parles-tu ?
Des fiches "S" sont émises par la Direction générale de la sécurité intérieure (DGSI), une des branches du renseignement français.
Crois-tu que le hacker tout boutonneux de moins de 16 ans soit fiché parce qu'il utilise un VPN ?
En quoi est-ce un déli de faire l'usage d'un VPN ?
Dans ce cas-ci, ce sont des centaines de milliers de personnes qui seraient sous surveillances.
Et il a environ 10.000 personnes en France qui sont fichés.
Essentiellement des terroristes !

Comme l'a dit Conan Lord, il n'existe pas que les fiches S, et il n'y a pas que la DGSI qui fiche les gens.

A l'époque où j'étais au lycée, pendant les manifestations lycéennes fin 90, je faisais parti des représentants des lycées de St-Brieuc, et c'est nous qui organisions les manifestations, avec le trajet, les horaires, etc etc.

Bah outre le fait qu'il fallait bien entendu prévenir les forces de l'ordre concernant l'organisation, on avait régulièrement un mec des RG qui venait aux réunions, et qui notait le nom de tout le monde (et qui prenait une bonne partie des participants (organisateurs ou pas) en photo lors des manifs elles-mêmes).

Rien que le fait de participer à une manifestation peut faire de toi quelqu'un de fiché, donc qu'il n'y ait que 10 000 personnes en France qui soient fichées, j'en doute fortement... Il n'y a que 10 000 fiches S peut-être, ça oui, c'est plus probable.

[MichaelREMY]

Comme l'a dit Conan Lord, il n'existe pas que les fiches S, et il n'y a pas que la DGSI qui fiche les gens.

A l'époque où j'étais au lycée, pendant les manifestations lycéennes fin 90, je faisais parti des représentants des lycées de St-Brieuc, et c'est nous qui organisions les manifestations, avec le trajet, les horaires, etc etc.

Bah outre le fait qu'il fallait bien entendu prévenir les forces de l'ordre concernant l'organisation, on avait régulièrement un mec des RG qui venait aux réunions, et qui notait le nom de tout le monde (et qui prenait une bonne partie des participants (organisateurs ou pas) en photo lors des manifs elles-mêmes).

Rien que le fait de participer à une manifestation peut faire de toi quelqu'un de fiché, donc qu'il n'y ait que 10 000 personnes en France qui soient fichées, j'en doute fortement... Il n'y a que 10 000 fiches S peut-être, ça oui, c'est plus probable.

Filtrer/select ou faire une requête de croisement =c-a-d fichage.

Si vous saviez à quel point c'est facile quand on est admin d'un réseau de faire un filtre dans les logs pour savoir qui utilise un vpn. c'est aussi simple que de savoir qui utilise le Protocole ftp. c'est presque la même requête/ligne de commande. je n'arrive pas à croire qu'un responsable politique n'ait pas demandé à Orange (par exemple), de donner mensuellement les coordonnées/identités/horodatages des gens qui utilisent un vpn (qui porte une cagoule donc) ou qui visitent un site "étrange".

Sauf erreur au états-unis, il y a une loi qui obligent ceux qui créer des systèmes de cryptages à déposer l'algo de décryptage à une autorité. Et sachant que 99.9 des VPN sont américains....

La meilleure façon d'être caché ou masqué, c'est de se fondre dans la masse, donc de ne pas porter de cagoule, donc pas de VPN. Le VPN ne permet pas de cacher son utilisation (ouverture session et fermeture), il permet juste de cacher le contenu échangé entre le client et le serveur.
Même utiliser un port non-ordinaire est suspect de toute façon.

[LSMetag]

Sauf erreur au états-unis, il y a une loi qui obligent ceux qui créer des systèmes de cryptages à déposer l'algo de décryptage à une autorité.

Si tu utilises un truc de genre Truecrypt qui enchevètre les algos de cryptage existants, dont les autorités ont la clé de décryptage, elles se révèlent malgré tout impuissante. Le FBI a fait interdire Truecrypt (pas par la loi) pour cette raison (heureusement il est forké).

Si vous saviez à quel point c'est facile quand on est admin d'un réseau de faire un filtre dans les logs pour savoir qui utilise un vpn.

Pour la détection de l'utilisation des VPN je ne saurais dire. Si tu bloques la plupart du traffic entrant et sortant avec une appli style Peerblock (ou en incluant les listes utilisées dans les iptables), surtout la télémétrie dans le cas de Windows, et utilise des solutions opensource (openVPN + openDNS), je ne sais pas ce que ça peut donner. Il suffit juste de ne pas mettre de VPN quand tu surfes sur le site de ton FAI et ne pas utiliser la boîte mail de ton FAI mais une autre anonymisée située dans un autre pays (que les USA). Après tout, le FAI a accès à ta box via ta ligne téléphonique, mais ce n'est qu'en dehors de la box qu'il peut se rendre compte de l'utilisation d'un VPN.

Pour les histoires de connexions/déconnexions, mon VPN se lance au démarrage du système et reste en permanence activé. Ca réduit les switch de connexions vu que je n'éteins ou rédémarre presque jamais mon ordi (je gère à ma façon la consommation électrique). De toute façon il n'y a qu'en faisant une surveillance de masse, avec complicité des FAI, qu'on peut savoir qui est sur VPN ou non. Après l'affaire Snowden, ça devient plus difficile de tenter ce genre de truc liberticide.

J'ai l'impression que tu es administrateur réseau dans une entreprise. Donc la surveillance de masse tu connais, et il est plutôt normal que tu la prônes. La France, que dis-je, le monde, c'est différent, il y a des lois externes et personnes n'a signé de charte informatique.

Je m'amuse des fois à regarder le traffic sur Wireshark pour vérifier comment ça marche.