Lien à quoi ressemblerait une démocratie idéale si on pouvait la créer aujourd'hui depuis zéro ?
Lien la politique, les lois et normes analysées comme des systèmes de sécurité
Journal Retour sur rC3, le 37e CCC mais en distant
Entre les fêtes de fin d’année devait avoir lieu le traditionnel Chaos Communication Congress (CCC), le 37ᵉ, par le Chaos Computer Club (CCC). Mais pour cause de pandémie, l’événement a eu lieu en ligne et a été rebaptisé rC3. Les sujets abordés sont variés : féminisme, Bruce Schneier, manifestations en Bulgarie, rançongiciel, conflit Arménie/Azerbaïdjan, AES, Cory Doctorow, jeu vidéo, les Yes Men, fuzzing, contenus pédagogiques, climat, rayons X, chaîne de blocs, Wikileaks, brevets, matériel ouvert, Digital Service (…)
GnuPG, OpenPGP.js & cie : quoi de neuf ?
Le 8 mars 2018, la version 3.0.0 de la bibliothèque OpenPGP.js sortait. Elle implémente le format OpenPGP en JavaScript et est disponible sous licence LGPL 3.0. C’est l’occasion de présenter cette bibliothèque et les nouveautés apportées par cette version. C’est surtout un très bon prétexte pour parler du standard OpenPGP lui‐même, de ses principales implémentations et de ses évolutions futures.
Linux Mint a été compromise
Message d'intérêt général : les serveurs de la distribution Linux Mint ont été compromis.
- Des images ISO (images disque utilisées pour l'installation) de Linux Mint Cinammon 17.3 ont été remplacées et contenaient une porte dérobée. À priori cela n'affecte que des images ISO téléchargées les 20 et 21 février 2016. Néanmoins vous êtes invités à la plus grande prudence si vous utilisez Linux Mint et l'avez installée dernièrement.
- Le forum a également été compromis et la base de données copiée par les attaquants, entre autres avec les adresses de courriel, mots de passes hachés et d'autres informations personnelles. Cette base de données aurait fuité depuis au moins le début de l'année 2016.
Il convient d'être très prudent car une ou plusieurs attaques ont donc été jouées sur plusieurs mois, et même si les images ISO vérolées semblent ne l'avoir été que sur deux jours, il est conseillé de :
- désinstaller/réinstaller Linux Mint si vous venez de l'installer ;
- dans tous les cas de changer vos mots de passe, non seulement sur les forums Linux Mint mais aussi sur tout autre service où vous auriez pu utiliser le même mot de passe ;
- Et dans ce genre de situation, il vaut mieux être le plus inclusif possible : si vous avez utilisé d'autres services Mint, il est préférable de considérer vos mots de passe là-bas aussi comme potentiellement compromis.
Vous êtes invité à lire la seconde partie de la dépêche pour des informations plus détaillées.
Journal De la gestion des clefs OpenPGP
Dans un commentaire de la dépêche sur la carte OpenPGP, Spack demandait :
OK mais je la mets où ma clef ? Sous l’oreiller ? Quels sont les bons conseils pour mettre sa clef privée au chaud et de façon pérenne ?
Ce à quoi je répondais, en bottant honteusement en touche, que ça n’avait rien à voir avec la carte OpenPGP. Mais la question n’en est pas moins intéressante et mérite que l’on tente d’y répondre.
Je me propose donc, dans ce (…)
NSA / TAO : le chemin vers vos serveurs
Ne trouvant aucune base de données des différents programmes provenant des fuites de Snowden, nous avons travaillé à la création d'une base de données concernant la NSA et le GCHQ. L'article qui suit est une synthèse d'une partie de nos travaux.
NdM : cet article poursuit la série commencée par NSA-observer — quels sont les programmes de la NSA ?, NSA - temps de faire le (premier) point et Que peut faire le service d'élite JTRIG du GCHQ ?.
Nous (nsa-observer) allons aborder aujourd'hui le "catalogue" du groupe d'élite de la NSA nommé TAO (pour Tailored Access Operations). La mission de ce groupe est, depuis sa création en 1997, d'identifier, de monitorer et de trouver un chemin vers des réseaux ou des systèmes pour collecter des informations. Ce département a gagné la réputation de collecter certains des meilleurs renseignements parmi les services de renseignements US, que ce soit sur la Chine, sur des groupes terroristes, ou sur les activités politiques, militaires et économiques d'un pays.
Tails 1.1 est disponible
La distribution Tails (The Amnesic Incognito Live System) est un live-CD/live-USB visant à protéger votre anonymat et votre vie privée quand vous vous connectez à Internet.
La sortie de la version 1.1 a été annoncée le 22 juillet dernier par l'équipe de développement.
Revue de presse de l'April pour la semaine 8 de l'année 2014
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
Sommaire
- [La Semaine] Une imprimante 3D pliable unique au monde A Folschviller, les pionniers d'un monde libre
- [Numerama] OpenKnit: une imprimante de vêtements open-source
- [GreenIT.fr] Sobriété fonctionnelle: la clé de l’écoconception des logiciels?
- [JDN] Emploi: la demande pour les compétences Linux encore en hausse
- [Revenu Agricole] Ekylibre: logiciel libre de gestion agricole
- [Largeur.com] «Les capacités de la NSA sont incroyables»
- [PC INpact] Les échanges non marchands et la mort des DRM expurgés du rapport Castex
L’IETF se lance dans la lutte contre l’espionnage
Des tas de gens et d’organisations ont été secoués par les révélations du héros Edward Snowden concernant l’ampleur de l’espionnage réalisé par la NSA (et, certainement, par bien d’autres organisations). Bien sûr, les experts en sécurité savaient depuis longtemps, mais ils avaient le plus grand mal à se faire entendre ; les dirigeants et les utilisateurs préféraient se moquer de ces experts, en les qualifiant de paranoïaques. Les révélations de Snowden ont montré que les paranoïaques ne l’étaient en fait pas assez, et que l’ampleur de l’espionnage dépassait les pires prévisions.
Cela a nécessité des changements de direction à pas mal d’endroits. Par exemple, l’IETF, l’organisation qui établit les normes techniques de l’Internet. Traditionnellement, elle se préoccupait peu de vie privée, parfois considérée comme « un problème politique, ce n’est pas pour nous ». Cela a changé dans les dernières années mais les révélations Snowden ont mené à une brusque accélération. À la réunion de l’IETF à Vancouver, du 3 au 8 novembre, on a donc beaucoup parlé de vie privée. Tous les groupes de travail avaient consacré du temps à un examen de leurs protocoles, sous l’angle de la protection de la vie privée. Et la plénière technique du 6 novembre, avec Bruce Schneier en invité vedette, avait été entièrement consacrée à cette question. La décision la plus spectaculaire a été l’accord très large de l’IETF (par le biais du fameux « hum », l’IETF n’ayant pas de procédures de vote) pour se lancer à fond dans cette voie.
NdM : merci à Stéphane Bortzmeyer pour son journal.
Journal L'IETF se lance dans la lutte contre l'espionnage
Des tas de gens et d'organisations ont été secoués par les révélations du héros Edward Snowden concernant l'ampleur de l'espionnage réalisé par la NSA (et, certainement, par bien d'autres organisations). Bien sûr, les experts en sécurité savaient depuis longtemps mais ils avaient le plus grand mal à se faire entendre, les dirigeants et les utilisateurs préféraient se moquer de ces experts, en les qualifiant de paranoïaques. Les révélations de Snowden ont montré que les paranoïaques ne l'étaient en fait pas (…)
"Petit Frère", la VF du "Little Brother" de Cory Doctorow
Little Brother, de Cory Doctorow, est maintenant disponible en version française. Little Brother est un livre pour jeunes adultes qui traite des libertés civiles à l'ère du numérique, et de diverses techniques de sécurité informatique.
L'intrigue se situe dans un avenir proche, à San Francisco. Marcus Yallow, un hacker de 17 ans, se retrouve précipité dans des aventures qui lui font visiter, et expliquer de façon très didactique, des outils de sécurité divers : Tor, la théorie de l'information, la cryptographie à clef publique, etc.
À la façon dont Le Monde de Sophie introduit sans douleur les concepts les plus importants de la Philosophie, ou dont Le Théorème du Perroquet traitait des mathématiques, Little Brother offre une introduction agréable à des concepts informatiques variés, dont certains, pas évidents à priori pour des débutants, sont rendus avec une didactique brillante (on retiendra en particulier une épique réunion d'échange de clefs cryptographiques).
Il introduit aussi de nombreux éléments de culture, comme les jeux de rôle Grandeur Nature ou l'atmosphère des Hackerspaces, et rend des hommages à Kerouac, Orwell et Bruce Schneier.
Journal Comment les jeux gratuits font payer leurs utilisateurs
Bon, c'est en Anglais mais voici un lien vers un article expliquant comment les jeux "gratuits" arrivent à faire payer leurs utilisateurs: http://www.schneier.com/blog/archives/2013/07/f2p_monetizatio.html
TLDR: ces jeux utilisent principalement le fait qu'on est beaucoup plus prêt à payer pour conserver ce qu'on a plutôt que de payer pour acquérir de nouvelles choses.
Keccak remporte la mise et devient SHA-3
En 2007, le NIST (National Institute of Standards and Technology) a lancé une compétition internationale pour choisir une fonction de hachage de nouvelle génération.
Les attaques sur SHA-1 avaient généré une certaine inquiétude et les experts pensaient que la famille SHA-2 (SHA-256, SHA-384, SHA-512) serait menacée à plus ou moins longue échéance. Cela a donc conduit à l’organisation d’une compétition SHA-3 sur le modèle de celle ayant conduit à la sélection de l’algorithme de chiffrement AES.
Plus de 64 propositions ont été reçues et soumises, au fil des années, aux tentatives de cassages de la communauté cryptographique mondiale. Cette longue compétition vient enfin de s’achever puisque le NIST a désigné Keccak comme l’algorithme gagnant. Ce dernier devient donc officiellement SHA-3.
Plus de détails dans la suite de la dépêche.