C’est un peu la même histoire avec F-Droid et ses nombreux manquements en termes de sécurité. À la base, c'était une excellente initiative : un dépôt libre et open-source pour éviter le Play Store et récupérer des applications respectueuses de la vie privée. Mais avec le temps, F-Droid est devenu un frein plus qu’une solution.
Leurs politiques absurdes empêchent de nombreux projets sérieux d’y publier leurs applications. On pense notamment aux débats ridicules autour de la signature des APKs, où ils veulent imposer leur propre signature, brisant ainsi la confiance des développeurs et des utilisateurs. Pire encore, la non-reproductibilité des builds fait qu’on ne peut même pas garantir que l’APK publié correspond bien au code source d’origine. Niveau sécurité, c’est une blague absolue.
Et ce ne sont pas juste des théories : des développeurs de projets reconnus ont publiquement dénoncé l’amateurisme de F-Droid. Par exemple, le créateur de WireGuard, a plusieurs fois critiqué leurs pratiques douteuses, notamment sur la manière dont ils gèrent les mises à jour et leur incapacité à garantir une chaîne de distribution fiable.
D’autres projets refusent purement et simplement de publier sur F-Droid à cause de ces problèmes :
Molly, le fork sécurisé de Signal, refuse d’être sur F-Droid car la plateforme est incapable de garantir l’intégrité des binaires.
Ledger, qui développe des portefeuilles crypto open-source, ne veut pas non plus y publier son application pour les mêmes raisons. Quand des projets orientés sécurité évitent une plateforme supposée être "libre et respectueuse", c’est qu’il y a un sérieux problème.
Personnellement, j’espère qu’Accrescent va rapidement prendre le relais et nous faire oublier ces projets dignes d’un étudiant qui code seul dans sa grotte. On a besoin d’un store sécurisé, moderne, et viable à long terme, pas d’un énième projet qui finira par devenir un fardeau pour les développeurs sérieux.
Le verrouillage du bootloader apporte plusieurs avantages cruciaux pour la sécurité et l'intégrité du système :
```
Protection contre les attaques physiques
Un bootloader verrouillé empêche une personne mal intentionnée (ou un malware) d’installer un firmware modifié à ton insu. Avec un bootloader déverrouillé, un attaquant peut facilement injecter un système compromis qui intercepte tes données avant même que ton OS ne démarre. ### Garanties d’intégrité du système
Un bootloader verrouillé permet l'utilisation de Verified Boot, qui s'assure que le système d’exploitation installé n’a pas été altéré. Sans cela, n'importe quel code peut être exécuté au démarrage, ce qui est une énorme faille de sécurité.
Meilleure protection des données chiffrées
Avec un bootloader verrouillé, l’OS (comme GrapheneOS) peut garantir que les clés de chiffrement stockées sur l’appareil n’ont pas été compromises. Si le bootloader est déverrouillé, un attaquant peut flasher un OS qui siphonne ces clés au boot, rendant le chiffrement inutile. ### Prévention des attaques de type "Evil Maid"
Sans un bootloader verrouillé, un attaquant ayant un accès physique (même bref) à ton appareil peut y injecter un backdoor persistant, même si tu as activé toutes les protections logicielles du monde. Avec un bootloader verrouillé, cette attaque devient impossible sans effacer les données.
Fiabilité et stabilité
Un bootloader verrouillé empêche aussi les installations accidentelles de ROMs mal fichues ou non sécurisées. Ça réduit les risques de bricker son téléphone ou d'installer une version modifiée qui introduit des failles.
``` ### Je ne parle même pas des versions non maintenues de LineageOS…
LineageOS a déjà des soucis de sécurité par son absence de bootloader verrouillé, mais quand on y ajoute le problème des versions non maintenues, c'est carrément une catastrophe. Beaucoup d'utilisateurs restent bloqués sur d'anciennes versions, parfois sans correctifs de sécurité depuis des mois voire des années. On frôle l’irresponsabilité.
LineageOS, un projet condamné ?
Ça me rappelle un peu l’histoire de Mandrake Linux (devenu Mandriva puis OpenMandriva). Un projet qui avait de bonnes idées mais qui a fini par disparaître, faute d’un modèle économique viable et d’une vraie vision à long terme.
J’ai beaucoup de respect pour Gaël Duval, il avait une vraie vision avec Mandrake, et on retrouve un peu cette ambition dans /e/OS. Mais honnêtement, quand on voit comment ces projets alternatifs peinent à survivre, on peut se poser la question : LineageOS n'est-il pas voué à disparaître de la même manière ?
Les ROMs customs ont toujours eu ce problème : de l’enthousiasme, des idées, mais aucune stabilité à long terme. GrapheneOS, lui, a une approche différente : ils ont un projet structuré, avec une ligne claire, qui mise sur la sécurité plutôt que sur le "modding". Et c’est ce qui fait toute la différence.
Bref, je préfère utiliser un OS sécurisé et maintenu qu’une ROM qui ressemble plus à un projet étudiant voué à disparaître d’ici quelques années.
Sympa le projet, je ne le connaissais pas.
- Question : tu arrives à appeler via Signal ? Du coup, c'est un fork de Signal Desktop ou vous utilisez l'APK de Signal ? - Qu'en est-il du bootloader, peut-il être verrouillé ?
- J'ai une question sur le chiffrement du dispositif : cela fonctionne-t-il avec dm-crypt et cryptsetup ?
Quand tu regardes les vidéos d'iFixit, tu te rends compte que tout démonter devient rapidement un problème mécanique. Et quitte à démonter, autant enlever le port USB-C sans se prendre la tête :)
Je ne suis pas forcément habile avec mes gros doigts boudinés, mais n'importe quel magasin de réparation peut faire ça rapidement.
En fait, mon idée était de trouver une solution simple, comme une bonne hygiène numérique. Si je devais vraiment me protéger d'une attaque ultra-sophistiquée, j'enlèverais le port USB-C et je chercherais où sont les lignes de données USB-C sur le PCB pour couper le pont en grattant. Mais je n'en suis pas encore là :)
L'idée, c'est vraiment de trouver une solution simple et accessible que tout le monde peut mettre en place. Au final, je pense que je vais coller de l'époxy avec un cache USB-C pour protéger de la poussière :)
La batterie n'a pas d'impact direct sur ce processus. En fait, sous GrapheneOS, le téléphone passe automatiquement en mode BFU (Before First Unlock) après un certain délai d'inactivité, généralement 18 heures, même sans connexion. Ce délai est ajustable dans les paramètres pour une durée plus courte ou plus longue.
Ce mode BFU se déclenche indépendamment de l'état de la batterie ou des câbles, car il repose sur le logiciel. Donc, même si un pirate tentait de manipuler les câbles sans déconnecter la batterie, le téléphone redémarrerait en BFU passé le délai configuré, protégeant ainsi les données tant qu'elles ne sont pas déchiffrées.
Merci pour ton analyse détaillée et pour l’empathie dont tu fais preuve. Ta suggestion de la goutte d'époxy dans le connecteur semble en effet être une solution équilibrée, surtout dans le cadre de la protection des individus face aux abus potentiels de l'État. Comme tu le soulignes, cette approche protège les utilisateurs de manière réaliste et raisonnable sans compromettre les enquêtes légitimes.
J'apprécie particulièrement l'idée de permettre un usage régulier du téléphone sans contraintes excessives, hormis la recharge par induction. Ce compromis permet de respecter les besoins quotidiens tout en ajoutant un niveau de protection efficace lors d'événements de contrôle. En effet, le système proposé dissuade les processus d’extraction automatisée de données en limitant les accès à un niveau standardisé.
En imaginant des scénarios tels que des contrôles aux frontières ou des gardes à vue non justifiées, on constate combien il est essentiel de disposer de mécanismes qui protègent les droits individuels tout en permettant à l'État de mener des investigations légitimes lorsqu'elles sont bien encadrées. Comme tu le dis si bien, cela dissuaderait les abus tout en respectant les procédures légales nécessaires pour des enquêtes approfondies.
Je comprends d’autant plus l’importance de ces protections ayant moi-même été traumatisé par la violence de ce qui m'est arrivé dans le passé. La pression exercée a été démesurée, d’autant plus qu’elle provenait d’un fonctionnaire ayant à peine les compétences nécessaires pour taper un procès-verbal, truffé de fautes, refusant de corriger les erreurs. Ce même fonctionnaire, avec si peu de qualification, possédait un tel pouvoir de nuisance. Même le simple fait de demander un papier confirmant la confiscation du matériel m'a été refusé.
Cela fait 6 ans que mon matériel a été confisqué, et je n'en ai plus jamais entendu parler. Lorsque j'ai entrepris des démarches au bout d'un an, on m'a bien fait comprendre que je les dérangeais et qu'il fallait prendre un avocat. J'avais pourtant refusé un avocat lors de ma garde à vue, car je n'avais rien à me reprocher. Au final, le système m'a pris en otage, car il aurait fallu dépenser une somme importante pour faire valoir mes droits et récupérer mon matériel (un ordinateur portable de 2000 € et un smartphone de plusieurs centaines d'euros) sans savoir dans quelles conditions ils avaient été stockés. Cela m’aurait coûté plus cher simplement pour défendre mes droits.
Mais avec le recul, je suis en quelque sorte heureux d'avoir vécu cette expérience, car elle m'a permis de comprendre ce qui se passe réellement dans ces situations. J'ai réalisé à quel point il est dangereux d'être pris dans un système où il est impossible de lutter ou de s'exprimer. J'aurais pu rencontrer bien plus de difficultés et m'en sortir beaucoup plus mal. Une petite journée en garde à vue n'est pas si grave en soi, mais cela aurait pu dégénérer et aboutir à une incarcération préventive le temps d'une enquête, simplement parce que j'utilise Debian et Signal, des outils qu'ils ne comprenaient pas. De plus, j'avais une vague ressemblance avec quelqu'un de même corpulence. Pour certains de mes déplacements, j'utilisais BlaBlaCar, ce qui est apparemment super suspect passé un certain âge. Donc, si on utilise le covoiturage, c'est qu'on cherche à se déplacer discrètement sans laisser de traces…
Il faut aussi considérer que les fonctionnaires ne sont pas toujours bien intentionnés. Imagine un scénario où un fonctionnaire pourrait être payé pour nuire à quelqu’un : son matériel est confisqué, on lui extorque son mot de passe, et du contenu y est ajouté avant qu’un rapport soit établi par un expert ou une machine. La moindre des choses serait d’avoir un système de scellés, avec un numéro, et que des documents indiquant ces numéros soient remis à la personne concernée. Cela permettrait de garantir une traçabilité et une organisation plus propre et plus respectueuse des droits individuels.
Il est normal qu’un expert analyse et rédige un rapport pour une autorité judiciaire. Mais le fait qu’on en vienne aujourd'hui à utiliser des rapports pseudo-automatisés, basés sur de simples extractions de mots-clés, est choquant. Cela banalise le processus et ajoute une dimension d’arbitraire, qui peut affecter injustement les personnes concernées.
Le vrai criminel, cependant, est déjà protégé par le chiffrement. Actuellement, il est pratiquement impossible de casser le chiffrement LUKS-DMCRYPT pour GNU/Linux ou même FBE pour Android, à condition que le mot de passe soit suffisamment solide (par exemple, en utilisant un diceware). Néanmoins, dans un cadre juridique bien établi, le criminel doit être prêt à accepter la sentence : soit il fournit ses clés de déchiffrement, soit il accepte une peine par défaut. Ce n'est peut-être pas parfaitement équilibré, mais si la justice dispose de preuves matérielles suffisantes pour l'incriminer, alors cette approche est justifiée et compréhensible.
Depuis cet événement, j'ai appris à minimiser mes traces numériques au strict minimum sans tomber dans la paranoïa. Pendant un temps, j'ai utilisé Tails quotidiennement, en le personnalisant avec des scripts bash. Puis, après un retour à la réalité, j'ai réinstallé une bonne vieille Debian et je travaille désormais dans un ramdisk. À chaque redémarrage, je repars de zéro et je récupère les données dont j'ai besoin depuis mon backup. Cela m'oblige à avoir un backup solide et me permet de protéger ce que je pense.
Quand on sait que des militants ont été incarcérés simplement parce qu'ils utilisaient des logiciels que même de vrais terroristes n'utilisent pas, cela me glace le sang. Je me rends compte qu'aspirer à une société plus humaine et plus égalitaire peut nous exposer à des risques, et que nous pouvons perdre notre liberté à cause de l'incompétence de certains fonctionnaires, alors que des crimes bien plus graves restent sans réponse adéquate de la justice.
Il devient de plus en plus important de protéger nos idées philosophiques et politiques, au risque d'être considérés comme des citoyens à risque simplement en raison de nos connaissances techniques ou de nos réflexions. En un sens, un criminel est moins dangereux, car il est beaucoup plus simple à analyser. C'est triste à dire, mais un criminel correspond à une norme que la justice parvient plus facilement à comprendre.
Merci encore pour ton partage et ta réflexion poétique – en effet, il est important de ne pas oublier l’aspect humain et les aspirations de chacun, même dans des contextes où la technique et la procédure prennent souvent le dessus.
Pour repenser notre société, il est crucial de revoir l’ensemble de la législation. Le trafic de drogue, par exemple, est une monstruosité entretenue par les États. La prohibition n'a jamais fonctionné. Plus on multiplie les interdictions et les arrestations, plus cela génère d’argent au noir et attire des personnes prêtes à tout pour s’approprier des parts de marché.
Ne faudrait-il pas le courage d'être plus humain et de légaliser la vente de drogues dans des points de vente contrôlés, tout en exigeant un suivi médical régulier pour les consommateurs ? Plutôt que de mobiliser des ressources colossales pour les forces de l’ordre — police, gendarmerie, douanes, justice — on pourrait taxer ce commerce, permettant à l'État de tirer profit tout en investissant dans l’aide et le soin aux consommateurs. Il nous faut aussi plus de personnel médical — docteurs, infirmiers, etc. — et davantage de ressources humaines pour résoudre ce fléau. Cela affaiblirait les organisations criminelles et rendrait notre société plus sûre. Cela pourrait même, à moyen et long terme, détruire ces organisations criminelles. Si l’offre légale propose un prix de revient plus attractif, alors l’offre criminelle se retrouvera marginalisée, ce qui réduira très fortement les crimes. Les forces de l’ordre pourraient ainsi se concentrer sur la protection des citoyens contre les vols, les crimes violents, et la défense des droits des femmes, entre autres.
On pourrait même, dans un système contrôlé, générer des revenus locaux pour les agriculteurs. Il faudrait instaurer un cercle vertueux, avec traçabilité, contrôle qualité, et un permis obligatoire pour l’achat de ces drogues. Obtenir ce permis nécessiterait simplement d’accepter un suivi médical et psychologique continu pour conserver le droit d’achat.
En aidant ces populations de la même manière qu’on aide les alcooliques, nous pourrions les sortir de cet enfer. Cela pourrait également éviter que notre société ne se transforme petit à petit en narco-État.
Il en va de même pour les éco-terroristes. Pourquoi ne pas engager un dialogue pour que les populations concernées soient véritablement écoutées et puissent décider de leur avenir ? Notre société fonctionne comme un patriarcat où l’on impose au peuple d’obéir. On utilise des moyens démesurés pour diriger les citoyens, comme dans une dictature déguisée en démocratie. Cette déconnexion entre l'État et l'humain est de plus en plus palpable.
Les trafics, qu’ils soient illicites ou en col blanc, font vivre une économie parallèle. Le gouvernement, qui a constamment besoin de fonds, pourrait économiser des ressources en encadrant certains réseaux plutôt qu’en les combattant, et en aidant ceux qui y sont piégés.
Pour conclure, je suis prêt à donner mes clefs de déchiffrement, même si je m'auto-incrimine, mais il faut qu’il y ait un cadre légal et même collégial. En France, un juge détient trop de pouvoir ; en Espagne, par exemple, les décisions lourdes sont prises sous la supervision de plusieurs juges.
Quand on voit que des personnes sont incriminées parce qu'elles utilisent des logiciels pour protéger leurs informations, on comprend le ridicule de la situation, mais surtout le fait que la justice n'est plus encadrée. La justice doit être indépendante, mais elle doit elle-même être soumise à des garde-fous, bien avant de faire appel à un juge des libertés. Pour donner plus de moyens à la justice, il y a beaucoup à faire, mais il y a aussi de nombreuses choses que nous pourrions légaliser, encadrer, et tenter de sortir ces personnes de leurs cercles vicieux en les accompagnant.
Pour moi, l'humain doit être au centre de nos préoccupations. Une société ne doit pas se cacher des choses horribles derrière un arsenal législatif et policier, mais les accepter pour tenter d’aider les humains. Il faut laisser les forces de l’ordre se concentrer sur les véritables crimes graves — meurtres, viols, vols, harcèlement, etc.
Cela commence par l’éducation, dans laquelle nous devons investir davantage de ressources, par l’accès aux soins, et par un marché du travail plus dynamique. Il s’agit d’offrir aux populations délaissées le droit de vivre dignement et fièrement.
Savais-tu que les avocats français qui travaillent pour des ONG sont souvent pris pour cible par des gouvernements étrangers ? Ces derniers n’hésitent pas à les surveiller et à tenter de compromettre leur sécurité numérique.
Quant à la justice française, il est illusoire de penser qu’elle dispose de tous les moyens pour suivre l’évolution technologique. Face aux avancées en matière de chiffrement, ils se retrouvent démunis. Crois-tu vraiment que la police ou la gendarmerie puisse casser un chiffrement LUKS/DM-Crypt ou FBE d’Android si le mot de passe est suffisamment robuste ? Ces technologies sont conçues pour résister aux attaques, et les ressources nécessaires pour les briser dépassent souvent les capacités actuelles.
Des systèmes d’exploitation comme Tails et GrapheneOS, conçus pour renforcer la sécurité et la confidentialité, sont-ils là pour contourner les lois ? Absolument pas. Ces outils sont vitaux pour des personnes qui doivent protéger leur vie privée et leurs communications, comme les journalistes, les défenseurs des droits humains, et oui, les avocats travaillant dans des ONG. Quant à Signal, il est l’un des meilleurs outils de communication chiffrée ; ce n'est pas un « mauvais outil » parce que certains pourraient en abuser. Il est conçu pour protéger la vie privée dans un monde où les États vont parfois trop loin en enfreignant les droits fondamentaux.
Alors oui, parfois la justice française tente de casser certaines protections, mais elle se retrouve souvent dépassée. Les gouvernements ont toujours cru qu’ils étaient en avance sur le plan technologique, et qu’ils pouvaient surveiller la population sans qu’elle s’en aperçoive. Mais la « guerre du chiffrement » n’est pas à leur avantage : ils n’ont plus le contrôle, et c’est pourquoi ils cherchent à imposer des lois pour affaiblir le chiffrement, sous prétexte de lutter contre des criminels en ligne.
Cela dit, la loi impose, dans certains cas, l’obligation de fournir ses clés de déchiffrement. C’est normal et compréhensible. Si l’utilisateur refuse, il sait qu'il encoure une peine de prison. Cependant, ce pouvoir doit rester encadré par des garde-fous bien définis pour éviter les abus et préserver les droits des citoyens.
Dans notre monde, il est essentiel de se protéger, non seulement contre les menaces venant de son propre État, mais aussi contre d’autres États. Ce débat n’est pas seulement politique ; il soulève des problèmes techniques qui concernent tout le monde. La sécurité se construit dans son ensemble, et heureusement, des outils comme Signal ont popularisé le chiffrement de bout en bout, un système désormais adopté par des applications de masse comme WhatsApp. Car au final, c'est cette adoption de masse qui assure la protection de tous.
Non, le téléphone repasse en mode BFU après 18 heures sans aucune authentification de l'utilisateur, donc cela n'a rien à voir avec l'état de la batterie.
Je suis d'accord avec toi, Android 14-15 est une solution open source d'excellente qualité, un système sain qu'on peut utiliser loin des GAFAM. L'équipe de GrapheneOS fait un travail remarquable, et leur avancée vers une authentification AFU combinant biométrie et PIN (2FA) va considérablement améliorer la sécurité des profils utilisateurs.
En mode BFU, on pourrait enfin utiliser un vrai mot de passe type diceware, ce qui offrirait une vraie protection contre les attaques en force brute. Du côté de Signal, ils font aussi un travail exceptionnel en matière de sécurité et de confidentialité. Si tu t'intéresses à creuser, tu verras qu'il existe même des forks comme Molly, qui viennent renforcer encore davantage la sécurité.
Android, c'est open source, une immense boîte à outils pour les passionnés. Malheureusement, j'ai l'impression que sur LinuxFR, on oublie parfois qu'on est face à un noyau Linux, et qu'en tant que geeks, on a la responsabilité de s'impliquer dans l'évolution de ces appareils.
Ici, on se focalise souvent sur Android = GAFAM, mais il ne faut pas oublier qu'Android permet de se détacher de cet écosystème grâce aux contributions de la communauté open source.
Le passé m'a appris à me méfier, car même en étant innocent, on peut se retrouver pris dans une nasse sans pouvoir s’en échapper. Malheureusement, la situation évolue de plus en plus dans une direction inquiétante.
Par exemple, l'affaire du 8 décembre montre comment le simple usage du chiffrement peut être assimilé à un comportement terroriste.
J'ai déjà eu une expérience avec les forces de l’ordre, où elles sont complètement sorties du cadre légal.
D'ailleurs, on ne m'a jamais rendu mon matériel. Je n'ai jamais reçu de document confirmant qu'ils avaient gardé mon équipement informatique, et lorsque j'ai relancé pour le récupérer, on m'a dit qu'il fallait engager un avocat. Au final, cela m'aurait coûté plus cher que la valeur du matériel confisqué. J'ai donc laissé tomber.
En l’occurrence, la cible de mes réflexions concerne principalement les voyages hors de l'UE. Je cherche une solution facilement reproductible et adaptable. Toute personne peut, par exemple, se rendre dans une boutique de réparation de téléphones pour faire enlever le port USB-C, ce qui rend l’accès aux données plus difficile.
En France, le cadre légal exige de communiquer ses clés de déchiffrement. Si l’on refuse, les autorités peuvent utiliser des moyens alternatifs pour accéder aux données. Ce cadre est compréhensible et justifié, mais il n’est pas normal que certains cherchent à le contourner de manière arbitraire.
Premièrement, en France, il y a une obligation légale de déverrouiller tout dispositif de chiffrement lorsqu'un juge le demande. Si l'on refuse de coopérer, cela peut entraîner une peine de prison. En vertu de l'article 434-15-2 du Code pénal, refuser de remettre une clé de chiffrement demandée par les autorités peut effectivement être puni d’une peine de trois ans d'emprisonnement et de 270 000 euros d'amende.
Deuxièmement, les équipements spécialisés ne sont pas aussi efficaces que l'on pourrait le penser.
Troisièmement, nous privilégions l'usage de logiciels open source que nous personnalisons selon nos besoins. Par exemple, GrapheneOS est une excellente distribution reconnue pour ses capacités de sécurité.
Quatrièmement, la police et la gendarmerie françaises n'ont pas nécessairement les moyens techniques de déverrouiller les modèles récents d'Android, et font appel à des outils externes tels que ceux fournis par Cellebrite.
Cinquièmement, lors de voyages aux États-Unis, en Chine et en Russie, les voyageurs peuvent être soumis à des fouilles et à la saisie de leurs données électroniques. Aux États-Unis, les agents des douanes ont le droit d’inspecter les appareils électroniques sans mandat, et peuvent conserver les données pour une période allant jusqu’à 15 ans, accessibles à des milliers d’agents. En Chine, de nouvelles lois permettent aux autorités de fouiller les appareils des voyageurs pour des raisons de « sécurité nationale » sans besoin de mandat, et d’enquêter sur les applications de messagerie chiffrée comme Signal. En Russie, bien que le cadre soit moins connu, les autorités disposent également de pouvoirs importants pour accéder aux données numériques des voyageurs arrivant dans le pays
Sixièmement, dans de nombreux pays à travers le monde, les risques pour la protection des données sont élevés, notamment pour les commerciaux en déplacement. Rester dans un écosystème Android et utiliser Signal pour communiquer avec les clients constitue une excellente solution pour préserver la sécurité et la confidentialité des échanges.
Aujourd'hui, les solutions open source ont atteint une maturité impressionnante en termes de sécurité et de chiffrement, rivalisant souvent avec les options spécialisées disponibles sur le marché.
Enfin, il est important de se rappeler que l'usage d'outils comme Signal peut parfois être perçu avec suspicion par les autorités françaises, bien que ce soit simplement un moyen de protéger sa vie privée. Heureusement, des associations comme La Quadrature du Net sont là pour défendre nos libertés et notre droit à la confidentialité.
PS : Et bien sûr, le port USB-C doit être désactivé dans les paramètres de GOS.
J'ai essayé de détruire le port USB-C avec une pince à épiler, mais ce n'est pas concluant. Un attaquant motivé pourrait toujours réussir à souder dessus.
Je pense que, pour de simples mouvements populaires, un cache USB-C collé à l’intérieur devrait suffire. Et pour les plus paranos, on peut tout simplement l’enlever :)
Voice mes recommandations en matière de sécurité mobile, particulièrement pertinentes dans des contextes sensibles comme ceux que nous avons évoqués.
Gestion du port USB-C
Pour maximiser la sécurité physique des appareils, plusieurs options sont envisageables :
Retrait complet du port USB-C : cela reste, à mon avis, la solution la plus efficace.
Endommagement du port USB-C : je vais tenter de le désactiver en le cassant avec une pince à épiler, puis en le scellant avec de la colle époxy et un cache en silicone. 2. Configuration sur GrapheneOS (GOS)
Pour sécuriser davantage l’appareil, voici les paramètres recommandés sur GOS :
Redémarrage automatique : à 18h, pour une remise à zéro régulière.
Mode avion permanent : (sans carte SIM) pour minimiser les risques associés aux communications mobiles.
Applications sécurisées : utiliser Accrescent et Molly avec un numéro jetable, des messages en auto-suppression, un verrouillage après 12 heures d’inactivité, et des paramètres de confidentialité limitant les accès à « personne, personne ».
VPN sécurisé : utiliser un VPN de confiance pour sécuriser toutes les connexions.
Profil utilisateur restreint : créer un profil utilisateur où seules Molly et le VPN sont installés. Désactiver l’installation d’applications pour limiter les vecteurs d’attaque. 3. Préparation à Android 15 saveur GOS
La prochaine version d’Android (15) saveur GOS proposera une authentification biométrique double (biométrie + code PIN). Il serait judicieux de définir un mot de passe fort pour le profil utilisateur, par exemple un mot de passe Diceware.
Et pour déverrouiller le profil en mode AFU, il faut l'empreinte digitale et le code PIN.
Séparation et chiffrement des profils
Il est important de noter que le profil propriétaire dispose d’un chiffrement indépendant. Un attaquant pourrait cibler directement ce profil utilisateur. Bien que l’accès au profil secondaire nécessite d’abord le déverrouillage du profil propriétaire, le chiffrement des données au repos doit être activé et configuré de manière rigoureuse.
N'oubliez pas, en cas de besoin, d’utiliser un mot de passe duress pour protéger vos données de manière optimale.
Un simple passage à la frontière aux États-Unis, et vos données peuvent être perquisitionnées. Il en est de même à la frontière russe, où la situation est similaire.
Une simple garde à vue suite à une dénonciation, parce que vous utilisez Signal, peut également mener à une fouille de vos données.
Actuellement, le chiffrement d’Android est excellent et ne peut pas être cassé facilement. Les autorités essaient plutôt d'utiliser le bruteforce sur les schémas, les codes PIN, etc., et d'exploiter les failles de certains constructeurs comme Samsung, par exemple.
Les forces de l’ordre s’appuient énormément sur des sociétés comme Cellebrite.
En bref, une bonne hygiène de vie ne fait pas de nous des terroristes.
En France, vous avez l'obligation de déchiffrer vos données si un juge vous le demande, mais il n’y a aucune obligation de le faire si cela provient d’un policier ou d’un gendarme.
L’autre avantage, c’est que si vous utilisez un mot de passe de duress, ils n’auront rien de plus :)
Franchement, c’est pas con comme idée ! Une bonne méthode de barbare, et ça pourrait effectivement bien compléter l’époxy. Un coup de perceuse et ensuite de la résine époxy, et là, c’est sûr que le port est fini pour de bon.
C’est radical, mais ça pourrait être vraiment efficace !
Le problème, c’est que cette désactivation ne s’applique pas au niveau de fastboot. Là, c’est impossible de le désactiver complètement. C’est ce qui laisse une petite marge de manœuvre à un attaquant, même si le reste est verrouillé côté OS.
C’est un bon point. Mais pour l’auto-reboot, l’idée est de désactiver le port USB-C directement au niveau de l’OS. Du coup, le système d’exploitation ne peut pas détecter un branchement sur l’USB-C, car il est déconnecté. Cela rend cette défense difficilement contournable par un simple branchement et donc pratiquement inutile pour l’attaquant.
Quant à l’idée de court-circuiter un pin de données de l’UFS pour bloquer le démarrage du kernel, c’est vrai que ça peut être une faille. Un attaquant sophistiqué, qui en sait assez pour manipuler le bootloader à ce niveau, pourrait effectivement garder la RAM active sans écrasement par Linux.
Ça montre bien que, même avec des protections complexes, on n’est jamais à l’abri d’un attaquant vraiment déterminé. L’idée reste de ralentir et de compliquer l’accès pour rendre l’attaque moins faisable ou moins rentable.
Et quant à passer sur des Pinephone et autres, malheureusement, ça ne fait pas partie de ma cible. Et non, je n'ai pas des moyens illimités, mais j'ai plusieurs dizaines de devices à déployer. Honnêtement, retirer le port USB-C de chaque device, c’est vraiment lourd. Donc je cherche une méthode simple mais efficace !
Je comprends que bousiller définitivement le port USB peut paraître extrême, mais c'est une précaution supplémentaire pour limiter les attaques par exploitation de failles physiques. L'idée, c'est de forcer l’attaquant à devoir passer par des méthodes plus complexes ou risquées.
Concernant la menace physique, c’est un bon point. Dans un scénario où quelqu'un est prêt à en venir là, évidemment, les protections logicielles et matérielles ne servent plus à grand-chose. Mais pour des situations où un accès physique rapide au téléphone est plus probable qu'une agression directe, l’objectif est de compliquer suffisamment la tâche pour que le temps et les compétences nécessaires découragent l’attaquant.
Et pour l’agression physique, il y a un mode duress : si on entre le code de détresse, les clés de chiffrement sont immédiatement éjectées, donc même si la personne se fait prendre, il n’y aura aucune donnée à récupérer. Autant dire qu’il vaut mieux garder la personne vivante et la torturer pour tenter d’avoir ce qu’on cherche, mais ça ne servira à rien sans les clés.
PPS : Ou bien sûr, en piratant les serveurs de GOS. Lors de la première installation d'une application, un attaquant pourrait, en théorie, injecter un APK vérolé en modifiant le SHA-256 dans le fichier JSON non authentifié. Cependant, cet APK vérolé ne fonctionnerait que pour les utilisateurs qui installent l'APK pour la première fois. S’il s’agit d’une mise à jour, le système de signature, qui est solide sur Android, empêcherait l'installation d'une version altérée.
Tu veux dire que seul tu arrives à suivre l'intégralité des vulns et des patchs qui sont publiés? Et que le code que tu as ajouté est exempt de vulns? (vraie question premier degré hein).
PS : Tu sais que GOS est super sécurisé, mais le fichier JSON pour installer des applications n'est ni authentifié, ni chiffré. La seule sécurité repose sur le SSL. Pour éviter un MITM, ils utilisent le key pinning pour authentifier leurs certificats SSL.
Seule la partie mise à jour est sécurisée via le système de signature. Mais lors de la première installation d'une application, tu peux potentiellement pousser quelque chose de suspect, à condition d'avoir d'abord réussi à faire un MITM.
Attention, je ne dénigre pas GOS : c'est actuellement la référence en matière de sécurité pour Android grand public. En revanche, cela ne répond pas toujours aux besoins professionnels où il est crucial que les utilisateurs ne puissent pas faire n'importe quoi sur le device.
Heureusement, ce n'est pas aussi simple que tu le décris :)
Et contrairement à GOS, j'utilise du mTLS.
Donc un attaquant devrait réussir à contourner la signature de l'update, et en plus il faudrait qu'il compromette la partie serveur pour pousser une mise à jour véreuse. Un MITM ne suffira pas.
GOS fait beaucoup de mises à jour, mais honnêtement, on arrive à suivre avec une MAJ par mois.
Après, pour les applis qui tournent, c'est assez simple, il n'y en a que deux sur un store privé :)
Là aussi, le store est authentifié via mTLS.
Donc, la surface d'attaque est super réduite.
En tout cas, on s'éloigne du sujet : comment bloquer un port USB-C sans avoir à le démonter :)
[^] # Re: Custom rom bloquée
Posté par bizaw . En réponse au sondage Quel âge a votre smartphone ?. Évalué à -1 (+2/-4).
C’est un peu la même histoire avec F-Droid et ses nombreux manquements en termes de sécurité. À la base, c'était une excellente initiative : un dépôt libre et open-source pour éviter le Play Store et récupérer des applications respectueuses de la vie privée. Mais avec le temps, F-Droid est devenu un frein plus qu’une solution.
Leurs politiques absurdes empêchent de nombreux projets sérieux d’y publier leurs applications. On pense notamment aux débats ridicules autour de la signature des APKs, où ils veulent imposer leur propre signature, brisant ainsi la confiance des développeurs et des utilisateurs. Pire encore, la non-reproductibilité des builds fait qu’on ne peut même pas garantir que l’APK publié correspond bien au code source d’origine. Niveau sécurité, c’est une blague absolue.
Et ce ne sont pas juste des théories : des développeurs de projets reconnus ont publiquement dénoncé l’amateurisme de F-Droid. Par exemple, le créateur de WireGuard, a plusieurs fois critiqué leurs pratiques douteuses, notamment sur la manière dont ils gèrent les mises à jour et leur incapacité à garantir une chaîne de distribution fiable.
D’autres projets refusent purement et simplement de publier sur F-Droid à cause de ces problèmes :
Molly, le fork sécurisé de Signal, refuse d’être sur F-Droid car la plateforme est incapable de garantir l’intégrité des binaires.
Ledger, qui développe des portefeuilles crypto open-source, ne veut pas non plus y publier son application pour les mêmes raisons.
Personnellement, j’espère qu’Accrescent va rapidement prendre le relais et nous faire oublier ces projets dignes d’un étudiant qui code seul dans sa grotte. On a besoin d’un store sécurisé, moderne, et viable à long terme, pas d’un énième projet qui finira par devenir un fardeau pour les développeurs sérieux.
[^] # Re: Custom rom bloquée
Posté par bizaw . En réponse au sondage Quel âge a votre smartphone ?. Évalué à -4 (+1/-6).
Le verrouillage du bootloader apporte plusieurs avantages cruciaux pour la sécurité et l'intégrité du système :
```
Protection contre les attaques physiques
Un bootloader verrouillé empêche une personne mal intentionnée (ou un malware) d’installer un firmware modifié à ton insu. Avec un bootloader déverrouillé, un attaquant peut facilement injecter un système compromis qui intercepte tes données avant même que ton OS ne démarre.
### Garanties d’intégrité du système
Un bootloader verrouillé permet l'utilisation de Verified Boot, qui s'assure que le système d’exploitation installé n’a pas été altéré. Sans cela, n'importe quel code peut être exécuté au démarrage, ce qui est une énorme faille de sécurité.
Meilleure protection des données chiffrées
Avec un bootloader verrouillé, l’OS (comme GrapheneOS) peut garantir que les clés de chiffrement stockées sur l’appareil n’ont pas été compromises. Si le bootloader est déverrouillé, un attaquant peut flasher un OS qui siphonne ces clés au boot, rendant le chiffrement inutile.
### Prévention des attaques de type "Evil Maid"
Sans un bootloader verrouillé, un attaquant ayant un accès physique (même bref) à ton appareil peut y injecter un backdoor persistant, même si tu as activé toutes les protections logicielles du monde. Avec un bootloader verrouillé, cette attaque devient impossible sans effacer les données.
Fiabilité et stabilité
Un bootloader verrouillé empêche aussi les installations accidentelles de ROMs mal fichues ou non sécurisées. Ça réduit les risques de bricker son téléphone ou d'installer une version modifiée qui introduit des failles.
``` ### Je ne parle même pas des versions non maintenues de LineageOS…
LineageOS a déjà des soucis de sécurité par son absence de bootloader verrouillé, mais quand on y ajoute le problème des versions non maintenues, c'est carrément une catastrophe. Beaucoup d'utilisateurs restent bloqués sur d'anciennes versions, parfois sans correctifs de sécurité depuis des mois voire des années. On frôle l’irresponsabilité.
LineageOS, un projet condamné ?
Ça me rappelle un peu l’histoire de Mandrake Linux (devenu Mandriva puis OpenMandriva). Un projet qui avait de bonnes idées mais qui a fini par disparaître, faute d’un modèle économique viable et d’une vraie vision à long terme.
J’ai beaucoup de respect pour Gaël Duval, il avait une vraie vision avec Mandrake, et on retrouve un peu cette ambition dans /e/OS. Mais honnêtement, quand on voit comment ces projets alternatifs peinent à survivre, on peut se poser la question : LineageOS n'est-il pas voué à disparaître de la même manière ?
Les ROMs customs ont toujours eu ce problème : de l’enthousiasme, des idées, mais aucune stabilité à long terme. GrapheneOS, lui, a une approche différente : ils ont un projet structuré, avec une ligne claire, qui mise sur la sécurité plutôt que sur le "modding". Et c’est ce qui fait toute la différence.
Bref, je préfère utiliser un OS sécurisé et maintenu qu’une ROM qui ressemble plus à un projet étudiant voué à disparaître d’ici quelques années.
[^] # Re: Custom rom bloquée
Posté par bizaw . En réponse au sondage Quel âge a votre smartphone ?. Évalué à -3 (+0/-4).
GOS est en train de proposer une solution pour résoudre ce problème :
https://grapheneos.social/@GrapheneOS/113907966196889728
Honnêtement, je pense que c'est la seule distribution open source réellement fiable pour les téléphones.
LineageOS et consorts n'ont même pas un bootloader verrouillé, ce qui est complètement dingue.
L'open source, c'est génial, mais il vaut mieux sortir couvert.
Longue via a Grapheneos
# Questions sur le projet et l'utilisation de Signal
Posté par bizaw . En réponse au journal Droidian: un OS fonctionnel pour les téléphones Android. Évalué à 3. Dernière modification le 17 octobre 2024 à 03:01.
Sympa le projet, je ne le connaissais pas.
- Question : tu arrives à appeler via Signal ? Du coup, c'est un fork de Signal Desktop ou vous utilisez l'APK de Signal ?
- J'ai une question sur le chiffrement du dispositif : cela fonctionne-t-il avec dm-crypt et cryptsetup ?
[^] # Re: Enlever la batterie
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 1.
Quand tu regardes les vidéos d'iFixit, tu te rends compte que tout démonter devient rapidement un problème mécanique. Et quitte à démonter, autant enlever le port USB-C sans se prendre la tête :)
Je ne suis pas forcément habile avec mes gros doigts boudinés, mais n'importe quel magasin de réparation peut faire ça rapidement.
En fait, mon idée était de trouver une solution simple, comme une bonne hygiène numérique. Si je devais vraiment me protéger d'une attaque ultra-sophistiquée, j'enlèverais le port USB-C et je chercherais où sont les lignes de données USB-C sur le PCB pour couper le pont en grattant. Mais je n'en suis pas encore là :)
L'idée, c'est vraiment de trouver une solution simple et accessible que tout le monde peut mettre en place. Au final, je pense que je vais coller de l'époxy avec un cache USB-C pour protéger de la poussière :)
[^] # Re: attaquant
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 1.
La batterie n'a pas d'impact direct sur ce processus. En fait, sous GrapheneOS, le téléphone passe automatiquement en mode BFU (Before First Unlock) après un certain délai d'inactivité, généralement 18 heures, même sans connexion. Ce délai est ajustable dans les paramètres pour une durée plus courte ou plus longue.
Ce mode BFU se déclenche indépendamment de l'état de la batterie ou des câbles, car il repose sur le logiciel. Donc, même si un pirate tentait de manipuler les câbles sans déconnecter la batterie, le téléphone redémarrerait en BFU passé le délai configuré, protégeant ainsi les données tant qu'elles ne sont pas déchiffrées.
[^] # Re: TLDR ; L'epoxy anti retro-ingienerie c'est nickel et c'est pas pour les voyous
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 4. Dernière modification le 16 octobre 2024 à 03:32.
Merci pour ton analyse détaillée et pour l’empathie dont tu fais preuve. Ta suggestion de la goutte d'époxy dans le connecteur semble en effet être une solution équilibrée, surtout dans le cadre de la protection des individus face aux abus potentiels de l'État. Comme tu le soulignes, cette approche protège les utilisateurs de manière réaliste et raisonnable sans compromettre les enquêtes légitimes.
J'apprécie particulièrement l'idée de permettre un usage régulier du téléphone sans contraintes excessives, hormis la recharge par induction. Ce compromis permet de respecter les besoins quotidiens tout en ajoutant un niveau de protection efficace lors d'événements de contrôle. En effet, le système proposé dissuade les processus d’extraction automatisée de données en limitant les accès à un niveau standardisé.
En imaginant des scénarios tels que des contrôles aux frontières ou des gardes à vue non justifiées, on constate combien il est essentiel de disposer de mécanismes qui protègent les droits individuels tout en permettant à l'État de mener des investigations légitimes lorsqu'elles sont bien encadrées. Comme tu le dis si bien, cela dissuaderait les abus tout en respectant les procédures légales nécessaires pour des enquêtes approfondies.
Je comprends d’autant plus l’importance de ces protections ayant moi-même été traumatisé par la violence de ce qui m'est arrivé dans le passé. La pression exercée a été démesurée, d’autant plus qu’elle provenait d’un fonctionnaire ayant à peine les compétences nécessaires pour taper un procès-verbal, truffé de fautes, refusant de corriger les erreurs. Ce même fonctionnaire, avec si peu de qualification, possédait un tel pouvoir de nuisance. Même le simple fait de demander un papier confirmant la confiscation du matériel m'a été refusé.
Cela fait 6 ans que mon matériel a été confisqué, et je n'en ai plus jamais entendu parler. Lorsque j'ai entrepris des démarches au bout d'un an, on m'a bien fait comprendre que je les dérangeais et qu'il fallait prendre un avocat. J'avais pourtant refusé un avocat lors de ma garde à vue, car je n'avais rien à me reprocher. Au final, le système m'a pris en otage, car il aurait fallu dépenser une somme importante pour faire valoir mes droits et récupérer mon matériel (un ordinateur portable de 2000 € et un smartphone de plusieurs centaines d'euros) sans savoir dans quelles conditions ils avaient été stockés. Cela m’aurait coûté plus cher simplement pour défendre mes droits.
Mais avec le recul, je suis en quelque sorte heureux d'avoir vécu cette expérience, car elle m'a permis de comprendre ce qui se passe réellement dans ces situations. J'ai réalisé à quel point il est dangereux d'être pris dans un système où il est impossible de lutter ou de s'exprimer. J'aurais pu rencontrer bien plus de difficultés et m'en sortir beaucoup plus mal. Une petite journée en garde à vue n'est pas si grave en soi, mais cela aurait pu dégénérer et aboutir à une incarcération préventive le temps d'une enquête, simplement parce que j'utilise Debian et Signal, des outils qu'ils ne comprenaient pas. De plus, j'avais une vague ressemblance avec quelqu'un de même corpulence. Pour certains de mes déplacements, j'utilisais BlaBlaCar, ce qui est apparemment super suspect passé un certain âge. Donc, si on utilise le covoiturage, c'est qu'on cherche à se déplacer discrètement sans laisser de traces…
Il faut aussi considérer que les fonctionnaires ne sont pas toujours bien intentionnés. Imagine un scénario où un fonctionnaire pourrait être payé pour nuire à quelqu’un : son matériel est confisqué, on lui extorque son mot de passe, et du contenu y est ajouté avant qu’un rapport soit établi par un expert ou une machine. La moindre des choses serait d’avoir un système de scellés, avec un numéro, et que des documents indiquant ces numéros soient remis à la personne concernée. Cela permettrait de garantir une traçabilité et une organisation plus propre et plus respectueuse des droits individuels.
Il est normal qu’un expert analyse et rédige un rapport pour une autorité judiciaire. Mais le fait qu’on en vienne aujourd'hui à utiliser des rapports pseudo-automatisés, basés sur de simples extractions de mots-clés, est choquant. Cela banalise le processus et ajoute une dimension d’arbitraire, qui peut affecter injustement les personnes concernées.
Le vrai criminel, cependant, est déjà protégé par le chiffrement. Actuellement, il est pratiquement impossible de casser le chiffrement LUKS-DMCRYPT pour GNU/Linux ou même FBE pour Android, à condition que le mot de passe soit suffisamment solide (par exemple, en utilisant un diceware). Néanmoins, dans un cadre juridique bien établi, le criminel doit être prêt à accepter la sentence : soit il fournit ses clés de déchiffrement, soit il accepte une peine par défaut. Ce n'est peut-être pas parfaitement équilibré, mais si la justice dispose de preuves matérielles suffisantes pour l'incriminer, alors cette approche est justifiée et compréhensible.
Depuis cet événement, j'ai appris à minimiser mes traces numériques au strict minimum sans tomber dans la paranoïa. Pendant un temps, j'ai utilisé Tails quotidiennement, en le personnalisant avec des scripts bash. Puis, après un retour à la réalité, j'ai réinstallé une bonne vieille Debian et je travaille désormais dans un ramdisk. À chaque redémarrage, je repars de zéro et je récupère les données dont j'ai besoin depuis mon backup. Cela m'oblige à avoir un backup solide et me permet de protéger ce que je pense.
Quand on sait que des militants ont été incarcérés simplement parce qu'ils utilisaient des logiciels que même de vrais terroristes n'utilisent pas, cela me glace le sang. Je me rends compte qu'aspirer à une société plus humaine et plus égalitaire peut nous exposer à des risques, et que nous pouvons perdre notre liberté à cause de l'incompétence de certains fonctionnaires, alors que des crimes bien plus graves restent sans réponse adéquate de la justice.
Il devient de plus en plus important de protéger nos idées philosophiques et politiques, au risque d'être considérés comme des citoyens à risque simplement en raison de nos connaissances techniques ou de nos réflexions. En un sens, un criminel est moins dangereux, car il est beaucoup plus simple à analyser. C'est triste à dire, mais un criminel correspond à une norme que la justice parvient plus facilement à comprendre.
Merci encore pour ton partage et ta réflexion poétique – en effet, il est important de ne pas oublier l’aspect humain et les aspirations de chacun, même dans des contextes où la technique et la procédure prennent souvent le dessus.
[^] # Re: on se dit la vérité, c'est pour un darkphone ?
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 1.
Pour repenser notre société, il est crucial de revoir l’ensemble de la législation. Le trafic de drogue, par exemple, est une monstruosité entretenue par les États. La prohibition n'a jamais fonctionné. Plus on multiplie les interdictions et les arrestations, plus cela génère d’argent au noir et attire des personnes prêtes à tout pour s’approprier des parts de marché.
Ne faudrait-il pas le courage d'être plus humain et de légaliser la vente de drogues dans des points de vente contrôlés, tout en exigeant un suivi médical régulier pour les consommateurs ? Plutôt que de mobiliser des ressources colossales pour les forces de l’ordre — police, gendarmerie, douanes, justice — on pourrait taxer ce commerce, permettant à l'État de tirer profit tout en investissant dans l’aide et le soin aux consommateurs. Il nous faut aussi plus de personnel médical — docteurs, infirmiers, etc. — et davantage de ressources humaines pour résoudre ce fléau. Cela affaiblirait les organisations criminelles et rendrait notre société plus sûre. Cela pourrait même, à moyen et long terme, détruire ces organisations criminelles. Si l’offre légale propose un prix de revient plus attractif, alors l’offre criminelle se retrouvera marginalisée, ce qui réduira très fortement les crimes. Les forces de l’ordre pourraient ainsi se concentrer sur la protection des citoyens contre les vols, les crimes violents, et la défense des droits des femmes, entre autres.
On pourrait même, dans un système contrôlé, générer des revenus locaux pour les agriculteurs. Il faudrait instaurer un cercle vertueux, avec traçabilité, contrôle qualité, et un permis obligatoire pour l’achat de ces drogues. Obtenir ce permis nécessiterait simplement d’accepter un suivi médical et psychologique continu pour conserver le droit d’achat.
En aidant ces populations de la même manière qu’on aide les alcooliques, nous pourrions les sortir de cet enfer. Cela pourrait également éviter que notre société ne se transforme petit à petit en narco-État.
Il en va de même pour les éco-terroristes. Pourquoi ne pas engager un dialogue pour que les populations concernées soient véritablement écoutées et puissent décider de leur avenir ? Notre société fonctionne comme un patriarcat où l’on impose au peuple d’obéir. On utilise des moyens démesurés pour diriger les citoyens, comme dans une dictature déguisée en démocratie. Cette déconnexion entre l'État et l'humain est de plus en plus palpable.
Les trafics, qu’ils soient illicites ou en col blanc, font vivre une économie parallèle. Le gouvernement, qui a constamment besoin de fonds, pourrait économiser des ressources en encadrant certains réseaux plutôt qu’en les combattant, et en aidant ceux qui y sont piégés.
Pour conclure, je suis prêt à donner mes clefs de déchiffrement, même si je m'auto-incrimine, mais il faut qu’il y ait un cadre légal et même collégial. En France, un juge détient trop de pouvoir ; en Espagne, par exemple, les décisions lourdes sont prises sous la supervision de plusieurs juges.
Quand on voit que des personnes sont incriminées parce qu'elles utilisent des logiciels pour protéger leurs informations, on comprend le ridicule de la situation, mais surtout le fait que la justice n'est plus encadrée. La justice doit être indépendante, mais elle doit elle-même être soumise à des garde-fous, bien avant de faire appel à un juge des libertés. Pour donner plus de moyens à la justice, il y a beaucoup à faire, mais il y a aussi de nombreuses choses que nous pourrions légaliser, encadrer, et tenter de sortir ces personnes de leurs cercles vicieux en les accompagnant.
Pour moi, l'humain doit être au centre de nos préoccupations. Une société ne doit pas se cacher des choses horribles derrière un arsenal législatif et policier, mais les accepter pour tenter d’aider les humains. Il faut laisser les forces de l’ordre se concentrer sur les véritables crimes graves — meurtres, viols, vols, harcèlement, etc.
Cela commence par l’éducation, dans laquelle nous devons investir davantage de ressources, par l’accès aux soins, et par un marché du travail plus dynamique. Il s’agit d’offrir aux populations délaissées le droit de vivre dignement et fièrement.
[^] # Re: Modèle de menace ?
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 1.
Exactement, le "do it yourself" est le moteur de l'open source.
On n'est jamais aussi bien servi que par soi-même :)
[^] # Re: Modèle de menace ?
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 1.
Pour plusieurs raisons :
Les appels
Les conférences de groupe
Le fait que Signal soit quand même bien adopté
[^] # Re: Tu ne serais pas un eco-térrosite en herbe, des fois ?
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 4.
Savais-tu que les avocats français qui travaillent pour des ONG sont souvent pris pour cible par des gouvernements étrangers ? Ces derniers n’hésitent pas à les surveiller et à tenter de compromettre leur sécurité numérique.
Quant à la justice française, il est illusoire de penser qu’elle dispose de tous les moyens pour suivre l’évolution technologique. Face aux avancées en matière de chiffrement, ils se retrouvent démunis. Crois-tu vraiment que la police ou la gendarmerie puisse casser un chiffrement LUKS/DM-Crypt ou FBE d’Android si le mot de passe est suffisamment robuste ? Ces technologies sont conçues pour résister aux attaques, et les ressources nécessaires pour les briser dépassent souvent les capacités actuelles.
Des systèmes d’exploitation comme Tails et GrapheneOS, conçus pour renforcer la sécurité et la confidentialité, sont-ils là pour contourner les lois ? Absolument pas. Ces outils sont vitaux pour des personnes qui doivent protéger leur vie privée et leurs communications, comme les journalistes, les défenseurs des droits humains, et oui, les avocats travaillant dans des ONG. Quant à Signal, il est l’un des meilleurs outils de communication chiffrée ; ce n'est pas un « mauvais outil » parce que certains pourraient en abuser. Il est conçu pour protéger la vie privée dans un monde où les États vont parfois trop loin en enfreignant les droits fondamentaux.
Alors oui, parfois la justice française tente de casser certaines protections, mais elle se retrouve souvent dépassée. Les gouvernements ont toujours cru qu’ils étaient en avance sur le plan technologique, et qu’ils pouvaient surveiller la population sans qu’elle s’en aperçoive. Mais la « guerre du chiffrement » n’est pas à leur avantage : ils n’ont plus le contrôle, et c’est pourquoi ils cherchent à imposer des lois pour affaiblir le chiffrement, sous prétexte de lutter contre des criminels en ligne.
Cela dit, la loi impose, dans certains cas, l’obligation de fournir ses clés de déchiffrement. C’est normal et compréhensible. Si l’utilisateur refuse, il sait qu'il encoure une peine de prison. Cependant, ce pouvoir doit rester encadré par des garde-fous bien définis pour éviter les abus et préserver les droits des citoyens.
Dans notre monde, il est essentiel de se protéger, non seulement contre les menaces venant de son propre État, mais aussi contre d’autres États. Ce débat n’est pas seulement politique ; il soulève des problèmes techniques qui concernent tout le monde. La sécurité se construit dans son ensemble, et heureusement, des outils comme Signal ont popularisé le chiffrement de bout en bout, un système désormais adopté par des applications de masse comme WhatsApp. Car au final, c'est cette adoption de masse qui assure la protection de tous.
[^] # Re: attaquant
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 1.
Non, le téléphone repasse en mode BFU après 18 heures sans aucune authentification de l'utilisateur, donc cela n'a rien à voir avec l'état de la batterie.
[^] # Re: Tu ne serais pas un eco-térrosite en herbe, des fois ?
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 2.
Je suis d'accord avec toi, Android 14-15 est une solution open source d'excellente qualité, un système sain qu'on peut utiliser loin des GAFAM. L'équipe de GrapheneOS fait un travail remarquable, et leur avancée vers une authentification AFU combinant biométrie et PIN (2FA) va considérablement améliorer la sécurité des profils utilisateurs.
En mode BFU, on pourrait enfin utiliser un vrai mot de passe type diceware, ce qui offrirait une vraie protection contre les attaques en force brute. Du côté de Signal, ils font aussi un travail exceptionnel en matière de sécurité et de confidentialité. Si tu t'intéresses à creuser, tu verras qu'il existe même des forks comme Molly, qui viennent renforcer encore davantage la sécurité.
Android, c'est open source, une immense boîte à outils pour les passionnés. Malheureusement, j'ai l'impression que sur LinuxFR, on oublie parfois qu'on est face à un noyau Linux, et qu'en tant que geeks, on a la responsabilité de s'impliquer dans l'évolution de ces appareils.
Ici, on se focalise souvent sur Android = GAFAM, mais il ne faut pas oublier qu'Android permet de se détacher de cet écosystème grâce aux contributions de la communauté open source.
[^] # Re: on se dit la vérité, c'est pour un darkphone ?
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 3.
Le passé m'a appris à me méfier, car même en étant innocent, on peut se retrouver pris dans une nasse sans pouvoir s’en échapper. Malheureusement, la situation évolue de plus en plus dans une direction inquiétante.
Par exemple, l'affaire du 8 décembre montre comment le simple usage du chiffrement peut être assimilé à un comportement terroriste.
https://www.laquadrature.net/2023/06/05/affaire-du-8-decembre-le-chiffrement-des-communications-assimile-a-un-comportement-terroriste/
J'ai déjà eu une expérience avec les forces de l’ordre, où elles sont complètement sorties du cadre légal.
D'ailleurs, on ne m'a jamais rendu mon matériel. Je n'ai jamais reçu de document confirmant qu'ils avaient gardé mon équipement informatique, et lorsque j'ai relancé pour le récupérer, on m'a dit qu'il fallait engager un avocat. Au final, cela m'aurait coûté plus cher que la valeur du matériel confisqué. J'ai donc laissé tomber.
En l’occurrence, la cible de mes réflexions concerne principalement les voyages hors de l'UE. Je cherche une solution facilement reproductible et adaptable. Toute personne peut, par exemple, se rendre dans une boutique de réparation de téléphones pour faire enlever le port USB-C, ce qui rend l’accès aux données plus difficile.
En France, le cadre légal exige de communiquer ses clés de déchiffrement. Si l’on refuse, les autorités peuvent utiliser des moyens alternatifs pour accéder aux données. Ce cadre est compréhensible et justifié, mais il n’est pas normal que certains cherchent à le contourner de manière arbitraire.
Je réfléchis donc à une solution adaptée pour ceux qui voyagent fréquemment aux frontières. Je t'invite à lire ma réponse complète ici : https://linuxfr.org/nodes/137012/comments/1971925
[^] # Re: Modèle de menace ?
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 3.
Premièrement, en France, il y a une obligation légale de déverrouiller tout dispositif de chiffrement lorsqu'un juge le demande. Si l'on refuse de coopérer, cela peut entraîner une peine de prison. En vertu de l'article 434-15-2 du Code pénal, refuser de remettre une clé de chiffrement demandée par les autorités peut effectivement être puni d’une peine de trois ans d'emprisonnement et de 270 000 euros d'amende.
Deuxièmement, les équipements spécialisés ne sont pas aussi efficaces que l'on pourrait le penser.
Troisièmement, nous privilégions l'usage de logiciels open source que nous personnalisons selon nos besoins. Par exemple, GrapheneOS est une excellente distribution reconnue pour ses capacités de sécurité.
Quatrièmement, la police et la gendarmerie françaises n'ont pas nécessairement les moyens techniques de déverrouiller les modèles récents d'Android, et font appel à des outils externes tels que ceux fournis par Cellebrite.
Cinquièmement, lors de voyages aux États-Unis, en Chine et en Russie, les voyageurs peuvent être soumis à des fouilles et à la saisie de leurs données électroniques. Aux États-Unis, les agents des douanes ont le droit d’inspecter les appareils électroniques sans mandat, et peuvent conserver les données pour une période allant jusqu’à 15 ans, accessibles à des milliers d’agents. En Chine, de nouvelles lois permettent aux autorités de fouiller les appareils des voyageurs pour des raisons de « sécurité nationale » sans besoin de mandat, et d’enquêter sur les applications de messagerie chiffrée comme Signal. En Russie, bien que le cadre soit moins connu, les autorités disposent également de pouvoirs importants pour accéder aux données numériques des voyageurs arrivant dans le pays
https://www.privacytools.io/guides/phone-and-laptop-seizures-at-airports-and-borders
https://www.rfa.org/english/news/china/security-police-check-devices-05082024130107.html
https://dragonflyintelligence.com/news/china-increased-powers-to-inspect-electronic-devices/
https://dragonflyintelligence.com/news/china-increased-powers-to-inspect-electronic-devices/
.
Sixièmement, dans de nombreux pays à travers le monde, les risques pour la protection des données sont élevés, notamment pour les commerciaux en déplacement. Rester dans un écosystème Android et utiliser Signal pour communiquer avec les clients constitue une excellente solution pour préserver la sécurité et la confidentialité des échanges.
Aujourd'hui, les solutions open source ont atteint une maturité impressionnante en termes de sécurité et de chiffrement, rivalisant souvent avec les options spécialisées disponibles sur le marché.
Enfin, il est important de se rappeler que l'usage d'outils comme Signal peut parfois être perçu avec suspicion par les autorités françaises, bien que ce soit simplement un moyen de protéger sa vie privée. Heureusement, des associations comme La Quadrature du Net sont là pour défendre nos libertés et notre droit à la confidentialité.
[^] # Re: Augmentation de l'enthropie de segments de la RAM
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 1.
PS : Et bien sûr, le port USB-C doit être désactivé dans les paramètres de GOS.
J'ai essayé de détruire le port USB-C avec une pince à épiler, mais ce n'est pas concluant. Un attaquant motivé pourrait toujours réussir à souder dessus.
Je pense que, pour de simples mouvements populaires, un cache USB-C collé à l’intérieur devrait suffire. Et pour les plus paranos, on peut tout simplement l’enlever :)
[^] # Re: Augmentation de l'enthropie de segments de la RAM
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 1. Dernière modification le 14 octobre 2024 à 20:12.
Voice mes recommandations en matière de sécurité mobile, particulièrement pertinentes dans des contextes sensibles comme ceux que nous avons évoqués.
Pour maximiser la sécurité physique des appareils, plusieurs options sont envisageables :
Retrait complet du port USB-C : cela reste, à mon avis, la solution la plus efficace.
Endommagement du port USB-C : je vais tenter de le désactiver en le cassant avec une pince à épiler, puis en le scellant avec de la colle époxy et un cache en silicone.
Pour sécuriser davantage l’appareil, voici les paramètres recommandés sur GOS :
Redémarrage automatique : à 18h, pour une remise à zéro régulière.
Mode avion permanent : (sans carte SIM) pour minimiser les risques associés aux communications mobiles.
Applications sécurisées : utiliser Accrescent et Molly avec un numéro jetable, des messages en auto-suppression, un verrouillage après 12 heures d’inactivité, et des paramètres de confidentialité limitant les accès à « personne, personne ».
VPN sécurisé : utiliser un VPN de confiance pour sécuriser toutes les connexions.
Profil utilisateur restreint : créer un profil utilisateur où seules Molly et le VPN sont installés. Désactiver l’installation d’applications pour limiter les vecteurs d’attaque.
La prochaine version d’Android (15) saveur GOS proposera une authentification biométrique double (biométrie + code PIN). Il serait judicieux de définir un mot de passe fort pour le profil utilisateur, par exemple un mot de passe Diceware.
Et pour déverrouiller le profil en mode AFU, il faut l'empreinte digitale et le code PIN.
Il est important de noter que le profil propriétaire dispose d’un chiffrement indépendant. Un attaquant pourrait cibler directement ce profil utilisateur. Bien que l’accès au profil secondaire nécessite d’abord le déverrouillage du profil propriétaire, le chiffrement des données au repos doit être activé et configuré de manière rigoureuse.
N'oubliez pas, en cas de besoin, d’utiliser un mot de passe duress pour protéger vos données de manière optimale.
[^] # Re: Tu ne serais pas un eco-térrosite en herbe, des fois ?
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 1.
Un simple passage à la frontière aux États-Unis, et vos données peuvent être perquisitionnées. Il en est de même à la frontière russe, où la situation est similaire.
Une simple garde à vue suite à une dénonciation, parce que vous utilisez Signal, peut également mener à une fouille de vos données.
Actuellement, le chiffrement d’Android est excellent et ne peut pas être cassé facilement. Les autorités essaient plutôt d'utiliser le bruteforce sur les schémas, les codes PIN, etc., et d'exploiter les failles de certains constructeurs comme Samsung, par exemple.
Les forces de l’ordre s’appuient énormément sur des sociétés comme Cellebrite.
https://discuss.grapheneos.org/d/14344-cellebrite-premium-july-2024-documentation
En bref, une bonne hygiène de vie ne fait pas de nous des terroristes.
En France, vous avez l'obligation de déchiffrer vos données si un juge vous le demande, mais il n’y a aucune obligation de le faire si cela provient d’un policier ou d’un gendarme.
L’autre avantage, c’est que si vous utilisez un mot de passe de duress, ils n’auront rien de plus :)
[^] # Re: Mécanique
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 1.
Franchement, c’est pas con comme idée ! Une bonne méthode de barbare, et ça pourrait effectivement bien compléter l’époxy. Un coup de perceuse et ensuite de la résine époxy, et là, c’est sûr que le port est fini pour de bon.
C’est radical, mais ça pourrait être vraiment efficace !
[^] # Re: Alternative
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 1.
Le problème, c’est que cette désactivation ne s’applique pas au niveau de fastboot. Là, c’est impossible de le désactiver complètement. C’est ce qui laisse une petite marge de manœuvre à un attaquant, même si le reste est verrouillé côté OS.
[^] # Re: Alternative
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 3.
C’est un bon point. Mais pour l’auto-reboot, l’idée est de désactiver le port USB-C directement au niveau de l’OS. Du coup, le système d’exploitation ne peut pas détecter un branchement sur l’USB-C, car il est déconnecté. Cela rend cette défense difficilement contournable par un simple branchement et donc pratiquement inutile pour l’attaquant.
Quant à l’idée de court-circuiter un pin de données de l’UFS pour bloquer le démarrage du kernel, c’est vrai que ça peut être une faille. Un attaquant sophistiqué, qui en sait assez pour manipuler le bootloader à ce niveau, pourrait effectivement garder la RAM active sans écrasement par Linux.
Ça montre bien que, même avec des protections complexes, on n’est jamais à l’abri d’un attaquant vraiment déterminé. L’idée reste de ralentir et de compliquer l’accès pour rendre l’attaque moins faisable ou moins rentable.
Et quant à passer sur des Pinephone et autres, malheureusement, ça ne fait pas partie de ma cible. Et non, je n'ai pas des moyens illimités, mais j'ai plusieurs dizaines de devices à déployer. Honnêtement, retirer le port USB-C de chaque device, c’est vraiment lourd. Donc je cherche une méthode simple mais efficace !
[^] # Re: La réponse D
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 1.
Je comprends que bousiller définitivement le port USB peut paraître extrême, mais c'est une précaution supplémentaire pour limiter les attaques par exploitation de failles physiques. L'idée, c'est de forcer l’attaquant à devoir passer par des méthodes plus complexes ou risquées.
Concernant la menace physique, c’est un bon point. Dans un scénario où quelqu'un est prêt à en venir là, évidemment, les protections logicielles et matérielles ne servent plus à grand-chose. Mais pour des situations où un accès physique rapide au téléphone est plus probable qu'une agression directe, l’objectif est de compliquer suffisamment la tâche pour que le temps et les compétences nécessaires découragent l’attaquant.
Et pour l’agression physique, il y a un mode duress : si on entre le code de détresse, les clés de chiffrement sont immédiatement éjectées, donc même si la personne se fait prendre, il n’y aura aucune donnée à récupérer. Autant dire qu’il vaut mieux garder la personne vivante et la torturer pour tenter d’avoir ce qu’on cherche, mais ça ne servira à rien sans les clés.
[^] # Re: pourquoi la ram uniquement?
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 2.
PPS : Ou bien sûr, en piratant les serveurs de GOS. Lors de la première installation d'une application, un attaquant pourrait, en théorie, injecter un APK vérolé en modifiant le SHA-256 dans le fichier JSON non authentifié. Cependant, cet APK vérolé ne fonctionnerait que pour les utilisateurs qui installent l'APK pour la première fois. S’il s’agit d’une mise à jour, le système de signature, qui est solide sur Android, empêcherait l'installation d'une version altérée.
[^] # Re: pourquoi la ram uniquement?
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 2.
PS : Tu sais que GOS est super sécurisé, mais le fichier JSON pour installer des applications n'est ni authentifié, ni chiffré. La seule sécurité repose sur le SSL. Pour éviter un MITM, ils utilisent le key pinning pour authentifier leurs certificats SSL.
Seule la partie mise à jour est sécurisée via le système de signature. Mais lors de la première installation d'une application, tu peux potentiellement pousser quelque chose de suspect, à condition d'avoir d'abord réussi à faire un MITM.
Attention, je ne dénigre pas GOS : c'est actuellement la référence en matière de sécurité pour Android grand public. En revanche, cela ne répond pas toujours aux besoins professionnels où il est crucial que les utilisateurs ne puissent pas faire n'importe quoi sur le device.
[^] # Re: pourquoi la ram uniquement?
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 1.
Heureusement, ce n'est pas aussi simple que tu le décris :)
Et contrairement à GOS, j'utilise du mTLS.
Donc un attaquant devrait réussir à contourner la signature de l'update, et en plus il faudrait qu'il compromette la partie serveur pour pousser une mise à jour véreuse. Un MITM ne suffira pas.
GOS fait beaucoup de mises à jour, mais honnêtement, on arrive à suivre avec une MAJ par mois.
Après, pour les applis qui tournent, c'est assez simple, il n'y en a que deux sur un store privé :)
Là aussi, le store est authentifié via mTLS.
Donc, la surface d'attaque est super réduite.
En tout cas, on s'éloigne du sujet : comment bloquer un port USB-C sans avoir à le démonter :)