Le premier concernait Echelon, le réseau militaire d'espionnage américain bien connu pour ses dérives vers l'espionnage industriel, ceci à l'occasion de la sortie d'un rapport de l'Assemblé Nationale. Bref, un classique.
Le second reportage est beaucoup plus inquiétant, il concernait l'existence de backdoors ds le célèbre programme de cryptage PGP. Ces backdoors permettraient aux Américains de lire en clair les textes cryptés avec ce logiciel.
Note du modérateur: ces inquiétudes concernant le logiciel PGP avaient déjà été évoquées et sont réelles. Utilisez GnuPG ! :)
Aller plus loin
- NSA (1 clic)
- GnuPG (remplacement de PGP) (3 clics)
# Question Naive
Posté par Anonyme . Évalué à 0.
Juste un petite interogation... comment placer une backdoor sur un algo open source ? =:o)
Car il me semble que ce terme n'est pas exacte... Il sagit pluto d'un mecanisme crackable par la NSA en un temps Polynomiale (P) pour une petite clef PGP.
[^] # Re: Question Naive
Posté par Anonyme . Évalué à 0.
Il suffit d'utiliser un algorytme qui dispose de chausse-trappe / de failles que le fournisseur connait, pas les utilisateurs.
Exemple:
- La NSA a longtemps fourni de la cryptographie qu'elle savait percer à ses "amis".
- Lors de la conception du DES, IBM a vu les S-Box complétement modifiées par la NSA. Il se trouve que la NSA les a optimisés contre un type d'analyse qui n'a été découvert que longtemps après.
Rien ne dis que PGP ou GPG n'ont pas été "influencés" pour que les algoritmes semblent bons mais dispose de faiblesses exploitables.
Il ne suffit pas de sauter sur sa chaise en criant "opensource, opensource, opensource" pour convaincre de la sécurité d'un algo.
# Backdoor dans PGP = légende urbaine
Posté par Anonyme . Évalué à 0.
Le problème actuel de PGP c'est plutôt la dérive marketing, mais ça ne concerne que les versions Doz, donc on s'en moque un peu ;-) Pour info, sous Linux, GnuPG est dix fois plus rapide et fiable que PGP...
[^] # Re: Backdoor dans PGP = légende urbaine
Posté par Anonyme . Évalué à 0.
Il y a environ 1 an un chercheur en statistique du CNRS relatait dans le bulletin bimestriel de sécurité informatique du CNRS son expérience des logiciels de "cryptage" commerciaux. Il avait été chargé d'étudier et de sélectionner pour le compte de divers organismes de recherche publique la solution de cryptage la plus appropriée. En étudiant les algorithmes utilisés dans divers logiciels commerciaux il s'est rendu compte qu'il y avait un "bug" dans la génération des clés privés et publiques dans l'un d'eux. En fait pour une clé de 96 bits générées "aléatoirement", 40 bits étaient générés de manière périodique et PREVISIBLE ! Reste donc 56 a trouver ce qui se fait sans difficulté avec n'importe quel PC. Après vérification, il a contacté la société éditrice du logiciel (américaine...) pour lui signaler ce petit problème. Il a eu une réponse après 2 mois lui disant que le problème était connu (sic) et en passe d'être résolu... Pendant ce temps son équipe a continué a étudier les séquences de clés générées par ce logiciel et ils ont trouvé une autre faille, plus subtile du même type. 6 mois après ils n'avaient toujours pas de nouvelle sur une éventuelle correction de cette faille. Si ça ce n'est pas une Backdoor alors...
[^] # Re: Backdoor dans PGP = légende urbaine
Posté par Anonyme . Évalué à 0.
backdoor mais "Sabotage" - une backdoor est une porte EN PLUS .. pas une fonction (la clef complette) en MOINS.
[^] # Re: Backdoor dans PGP = légende urbaine
Posté par Anonyme . Évalué à 0.
# Les légendes urbaines perdurent
Posté par Foxy (site web personnel) . Évalué à 1.
Comme toujours, les journalistes font un amalgame simpliste car ils n'y comprennent rien.
En effet, en montant en épingle le bug (important) découvert sur PGP récemment et la rumeur (très persistante) que PGP contient des backdoors (propagée par l'Allemagne et le "Monde du renseignement" en France), ça leur permet de faire du pseudo-journalisme en accolant ça au dernier rapport sur Echelon.
Il faut dire que quelques personnes en France (Guillaume Dasquié du LMR par ex. interviewé hier soir) continuent à alimenter ces rumeurs. Le problème est qu'aucun journaliste n'a le niveau technique pour comprendre et que le experts techniques sollicités sont très partiaux (comme le type de Bull interviewé hier soir aussi).
Enfin, quelque soit la véracité de ces rumeurs (faible IMHO), utiliser GPG de toute façon comme dit dans la news.
# Ca doit être vrai
Posté par Anonyme . Évalué à 0.
Tiens, c'est comme <a href="http://www.marmotte.net/milka">la(...) marmotte</A>, je suis sûr qu'elle met vraiment le chocolat dans le papier d'alu.
Bon, franchement, quelqu'un a des faits concrets concernant la faiblesse de PGP? Personne? Non? Ah bon.
[^] # Re: Ca doit être vrai
Posté par trouillard_sans_nom . Évalué à 1.
[^] # Re: Ca doit être vrai
Posté par Pat Le Nain . Évalué à 1.
[^] # Re: Ca doit être vrai
Posté par Anonyme . Évalué à 0.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.