C’est clair que si l’attaquant est prêt à faire des trous dans la coque et à démonter le téléphone sans débrancher la batterie, ça devient compliqué de le stopper complètement. Mais comme tu dis, le but est vraiment de retarder l’accès et de rendre le processus plus long et laborieux.
La résine qui se dissout tout en bousillant le smartphone, ça pourrait être une option intéressante. Je me demande si ça existe en version suffisamment agressive pour limiter les dégâts juste à la zone du port, sans tout faire sauter.
Souder un truc directement dans l'USB-C est aussi une piste à creuser. Mais je ne vois pas comment souder quelque chose sans risquer de créer un court-circuit qui bousillerait la carte mère. C’est ça qui m’inquiète avec cette approche.
Merci pour les idées, je vais explorer ces pistes et voir ce qui pourrait marcher ! Et toi, tu as quoi comme idée de résine ?
Je vois l’idée, mais je ne suis pas sûr de comment griller uniquement le port USB-C sans risquer de détruire la carte mère. Avec un killer USB, ça pourrait facilement faire des dégâts au-delà du port lui-même, et c’est justement ce que je veux éviter. À moins qu’il existe une méthode ultra-précise pour cibler uniquement le port, ça me paraît risqué.
Si tu as des infos sur une méthode qui limiterait les dégâts au port USB-C sans toucher au reste, je suis preneur, mais pour l’instant ça me semble un peu trop dangereux pour l’appareil en entier.
Arriver à dumper la RAM en AFU via le Bluetooth ou le NFC, ça me semble vraiment improbable. Ces connexions ne permettent pas d’avoir un accès assez bas niveau pour ça.
``` Pour les fake updates, les applis que j’utilise sont signées avec ma clé, donc elles ne s’installeront pas. Idem pour l’OS, qui est un fork maison de GrapheneOS (GOS). Donc là-dessus, je suis couvert.
Et puis, de toute façon, si l’OS redémarre, on repasse directement en mode BFU.
Dans tous les cas, ça réduit considérablement le vecteur d'attaque. Ça force à passer sur des attaques en BFU, où la résistance au chiffrement devient le principal obstacle pour l’attaquant.
Le chiffrement est robuste et, de toute façon, les gens ont besoin de communiquer. On peut quand même se prémunir contre certaines attaques en prenant quelques précautions. L'objectif est de faire en sorte qu'un attaquant se retrouve face à un appareil en état BFU plutôt qu'en AFU. Dans cet état, les données ne sont pas du tout accessibles, surtout avec une véritable passphrase comme un diceware. Cela rend les tentatives de déchiffrement bien plus difficiles, voire impossibles en termes de temps.
A) Oui, effectivement, enlever le port USB-C est probablement la meilleure solution, mais difficile à réaliser en série.
B) Oui, je fais référence à une attaque de type cold boot, mais cela ne me dérange pas. Pour ressouder le port USB-C, il faudrait de toute façon retirer la batterie. Donc, on passe l'appareil de l'état AFU (After First Unlock) à l'état BFU (Before First Unlock).
Avec une phrase de passe suffisamment solide, il faudrait alors passer par une attaque par brute force.
Je travaille effectivement avec GrapheneOS, et le délai de 18h est pratique pour ne pas gêner les utilisateurs.
C) Bon, eh bien, tu viens de doucher mes espoirs de trouver une solution facile :) Je cherche une idée un peu folle, mais simple, sans avoir à retirer une tonne de ports USB-C :)
Oui, les solvants, c’est justement ce qui m'embête avec les colles. C’est pour ça que j'ai pensé à l'époxy, mais je ne sais pas si c’est vraiment facile à enlever ou pas.
C'est pour ça que je me demandais si coller un cache USB-C en silicone à l’intérieur du port ne serait pas plus pratique.
Pour l’idée de forer les contacts, c’est vrai qu'un attaquant motivé pourrait tenter le coup. Mais bon, c’est risqué et il pourrait abîmer des trucs au passage, donc ça reste dissuasif même pour les plus téméraires.
Fondre ensemble les connecteurs de données, ou même tous les connecteurs s’il y a une protection anti court-circuit, ça pourrait être une vraie galère pour quelqu’un qui essaie de les réactiver. Même si le gars réussit à retirer ce qui bloque, il se retrouve avec un port inutilisable.
Merci pour les idées ! Je vais creuser un peu l’option du court-circuit permanent sans cramer la carte mère. Si t’as des astuces pour faire ça proprement, je suis preneur !
Et d’ailleurs, tu aurais une idée de comment faire ça sans ouvrir le téléphone ? Peut-être avec un fer à souder ?
Car avec mes gros doigts boudinés, bousiller le port USB-C, ça va être chaud :)
Effectivement, si un attaquant veut accéder directement à la carte mère pour contourner le port USB-C externe, il devra de toute façon démonter le smartphone et retirer la batterie. Cette étape complique sa tâche, car dès qu'on enlève la batterie, on se retrouve en mode BFU (Before First Unlock) et non en AFU (After First Unlock).
En mode BFU, les protections sont bien plus fortes et les données sont encore mieux sécurisées, car elles ne sont pas déchiffrées comme elles peuvent l’être en AFU. Donc, même s’il parvient à accéder physiquement à l’USB interne, il sera confronté à un niveau de sécurité supplémentaire qui rend l'attaque beaucoup moins faisable. L’objectif est vraiment de rendre le processus suffisamment complexe pour décourager ou ralentir toute tentative de ce genre.
Pour Signal, tout est open source, tu as même des clients des forks du client Android qui apporte un vrais plus en termes de sécurité anti-forensic (Ex : Molly.im, Johan Fork)
Mais tout est centralisé, le serveur est opensource donc théoriquement nous devons pouvoir redéployer des instances, mais ont reviens dans une microbulle avec plus personne a qui parler.
Getsession.org est un fork de Signal, plus ouvert et plus décentralisé.
Il y'a de bonne idée derrière avec notamment Lokinet .
En revanche ce qui n'est pas cool, c'est qu'ont ce récupéré tout l'historique des 30 derniers jours, même si on change de device. Mais ils sont en train de travailler sur des messages éphémères.
Et l'audio ce n'est pas encore super et c'est uniquement du 1-1, mais il y'a du potentiel
Non, je suis simplement choqué d'avoir été confronté par effet de rebond à la justice et à ces officiers judiciaires.
J'ai divulgué des mots de passe que je ne voulais pas, alors qu'ils eussent une preuve traditionnelle physique de ma non-implication.
Dans tous les cas si des personnes comme les gars de chez Tails, Tor & Tor Browser font un travail fantastique, c'est qu'il y a un réel besoin de pouvoir se protéger contre nos démocraties.
Ces outils devraient être déployés massivement afin de démontrer l'inefficacité des lois de surveillances et de viols de nos vies privées.
En revanche, je le réécris, pour le moment, je n'ai malheureusement trouvé aucune solution élégante pour Android qui laisse trop de traces …
DMA (direct memory access) is when a device has its own access to main memory so that it can operate independently of the CPU. This is a performance decision made in modern computers, to mitigate the slow performance that was seen on older computers where all hardware communication had to be coordinated (including I/O itself) through the CPU.
DMA is very good for most things, but for external hotswappable devices it is a security risk because an attacker could easily insert a malicious device into your system while it’s running which can be used to very quickly extract anything in RAM, which could include your encryption keys.
We will do the following:
Remove the cardbus/expresscard slot
Remove firewire slot (USB ports left intact, since USB devices don’t have DMA)
Docking port connector disabled (but not removed, because doing so is extremely invasive physically to the mainboard)
SATA ports removed*
J'ai enfin sauté le pas et j'ai migré complètement sous Tails.
J'ai pris une décision assez extrême, mais c'est de ne plus jamais avoir aucune donnée stockée localement.
J'ai acheté une clef USB miniature afin que je puisse ranger mon laptop facilement dans sa sacoche :
Car l'expérience me l'a démontré quand ont à des données chiffrées il y a un risque juridique qu'on soit obligé de divulguer son mot de passe à un tiers.
Actuellement je stocke toutes mes données sur un petit serveur en dehors de l'union européenne et des états unis d'Amérique.
Pour plus de sécurité le harddrive du disque dur de mon serveur et chiffré avec dm-crypt.
Ainsi, en cas de problème, il me suffit simplement de sortir la clef USB et le PC s'étend et wipe la RAM.
Ils ont vraiment pensé à tous les petits gars de chez Tails.
La seule attaque théorique possible reste une attaque cold boot pendant qu'il y'a de la batterie ou que mon PC est branché sur le secteur.
Il me reste à migrer mon serveur ssh sur un .onion et à planifier des backups.
Posté par bizaw .
En réponse au journal Ma journée en garde à vue..
Évalué à 0.
Dernière modification le 18 mai 2019 à 09:52.
Sur le moment, j'ai vu que j'allais attendre des heures un avocat commis d'office.
Comme je n'avais rien à me reprocher, je me suis dit que ce n'été pas une bonne idée.
Rétrospectivement parlant j'aurais dû prendre l'avocat commis d'office mais cela aurait pris des heures d'attente mais je pense que j'aurais passé plus de temps en garde à vue.
Pour les forces de l'ordre si tu prends un avocat commis d'office c'est que tu à quelques choses à te reprocher.
Posté par bizaw .
En réponse au journal Ma journée en garde à vue..
Évalué à 0.
Dernière modification le 17 mai 2019 à 12:16.
Du moment ou on commence à fouiner dans ta vie privée, l'enquête peut toujours déborder sur d'autres sujets.
Une fois qu'ils ont absorbé tes données, tes contacts, tu n'as aucune idée, s'il n'y aura pas des fuites et si ces données ne sortiront pas du cadre de l'enquête.
Pour moi, même un juge ne devrais pas pouvoir t'obliger à donner tes clefs de déchiffrement.
Aucune idée, mais je ne trouve pas normales ces nouvelles lois en france qui essayent de te forcer à donner ton mot passe.
Tu devrais pouvoir avoir le droit de ne pas t'incriminer et tu ne devrais pas pouvoir être condamnable pour ça.
Par exemple en Suisse un prisonnier à le droit d'essayer de s'évader et s'il s'évade ça ne lui ai pas reproché.
On ne lui mettra pas de peine supplémentaire, on le remettra simplement en prison.
Je pense que la France a été un pays démocratique, mais qu'elle s'est perdu en chemin sous de faux prétextes.
La France à publier ces dernières années un arsenal législatif pour obtenir ce qu'elle veut.
En grande partie en utilisant des prétextes comme les attentats et que des terroristes utilisent des applications "End To End Encryption".
Les états ont perdu la guerre mathématique sur le chiffrement, alors ils vont directement à la source avec des lois que j'estime antidémocratique.
Bien sûr qu'on peut justifier ces lois car cela a permis d'arrêter de méchants terroristes qui comploté contre l'état et le peuple. Car ces lois ont permis d'arrêter des pédophiles etc …
Mais nous avons vendu notre âme au diable au passage.
Je pense que la seule voit pour le peuple et d'utiliser des systèmes amnésiques comme Tails.
Même si les inconvénients sont trop nombreux à mon goût, d'ou ce journal.
Peut importe le motif, tu devrait avoir le droit de ne pas t'incriminer.
Ce qui me dérange le plus, c'est que j'avais un alibi en béton armée et que malgré que je puisse leur prouver par A+B que je venais d'arriver sur le territoire il y a moins de 24 h et que par conséquent il m'été impossible d'avoir commis le dit délit, ça ne leurs à pas suffit.
Ils ont décidé de fouiller dans mes données.
Actuellement, je monte un dossier potentiellement "politique" sur un énorme industriel français qui pollue avec des magouilles et des complaisances politiques pour l'emploi.
J'estime que j'ai eu beaucoup de chance, qu'ils soient passés à coté de ce dossier.
Car j'ai obtenu pas mal d'éléments de façon obscure.
Mais le problème n'est pas la, avec les nouvelles lois le chiffrement ne nous protèges plus.
Nous pouvons tous franchir le Rubicon et il est facile de monter un dossier sur des personnes pour obtenir des informations qu'ils n'auraient pas voulus communiquer.
Un pays qui t'interdit le droit au silence et t'oblige à t'auto incriminer, tu appel ça une démocratie ?
La france n'est plus une démocratie à cause de ce type de lois qui empiètent sur notre vie privée.
J'avais des données importantes et j'estime que j'ai eu de la chance que les forces de l'ordre n'y ai pas eu accès.
Données certes qui n'avaient rien avoir avec leurs enquètes mais qui auraient pu les intéresser sur un autre volet juridique.
Mais c'est plus due à un problème de compétence de leurs côtés et ils ont raté des détails qui auraient du leur mettre la puce à l'oreille.
Et pour ton information, je ne vie pas en france et je vis dans une dictature plus féroce.
Mais peu importe le degré de férocité, le danger est bel et bien présent.
Mais tu à raison, il faut recentrer le débat sur le coté technique
Et pour ton information, je ne vie pas en france et je vis dans une dictature plus féroce.
Mais peu importe le degré de férocité, le danger est bel et bien présent.
Mais tu à raison, il faut recentrer le débat sur le coté technique
Nous recherchons une personne de votre taille, de votre corpulence et qui à la même coupe de cheveux que vous.
Si vous refusez de coopérer, vous allez avoir de gros problèmes.
Nous voulons accéder à vos données de géolocalisations et à vos messages pour vérifier vos dires …
Bref, c'est facile à posteriori quand on connaît tous les détails de l'affaire, mais sur le moment bah, j'ai simplement donnée mes mots de passe.
Et je pense que beaucoup de personnes l'auraient fait.
La sécurité s'arrête là où commencent la sécurité de nos dix doigts.
C'est pour cela que des systèmes amnésiques existent car face au totalitarisme, il n'y a aucun moyen de se défendre.
Il est très facile pour une équipe qui enquête de justifier sa demande auprès d'un juge qui va accepter la requête face au prévenu qui refuse de donner ses mots de passe. "Un innocent ne refuserait pas …"
[^] # Re: attaquant
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 1.
C’est clair que si l’attaquant est prêt à faire des trous dans la coque et à démonter le téléphone sans débrancher la batterie, ça devient compliqué de le stopper complètement. Mais comme tu dis, le but est vraiment de retarder l’accès et de rendre le processus plus long et laborieux.
La résine qui se dissout tout en bousillant le smartphone, ça pourrait être une option intéressante. Je me demande si ça existe en version suffisamment agressive pour limiter les dégâts juste à la zone du port, sans tout faire sauter.
Souder un truc directement dans l'USB-C est aussi une piste à creuser. Mais je ne vois pas comment souder quelque chose sans risquer de créer un court-circuit qui bousillerait la carte mère. C’est ça qui m’inquiète avec cette approche.
Merci pour les idées, je vais explorer ces pistes et voir ce qui pourrait marcher ! Et toi, tu as quoi comme idée de résine ?
[^] # Re: attaquant
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 1.
Je vois l’idée, mais je ne suis pas sûr de comment griller uniquement le port USB-C sans risquer de détruire la carte mère. Avec un killer USB, ça pourrait facilement faire des dégâts au-delà du port lui-même, et c’est justement ce que je veux éviter. À moins qu’il existe une méthode ultra-précise pour cibler uniquement le port, ça me paraît risqué.
Si tu as des infos sur une méthode qui limiterait les dégâts au port USB-C sans toucher au reste, je suis preneur, mais pour l’instant ça me semble un peu trop dangereux pour l’appareil en entier.
[^] # Re: pourquoi la ram uniquement?
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 1.
[^] # Re: La réponse D
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 1.
Le chiffrement est robuste et, de toute façon, les gens ont besoin de communiquer. On peut quand même se prémunir contre certaines attaques en prenant quelques précautions. L'objectif est de faire en sorte qu'un attaquant se retrouve face à un appareil en état BFU plutôt qu'en AFU. Dans cet état, les données ne sont pas du tout accessibles, surtout avec une véritable passphrase comme un diceware. Cela rend les tentatives de déchiffrement bien plus difficiles, voire impossibles en termes de temps.
[^] # Re: pourquoi la ram uniquement?
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 2.
A) Oui, effectivement, enlever le port USB-C est probablement la meilleure solution, mais difficile à réaliser en série.
B) Oui, je fais référence à une attaque de type cold boot, mais cela ne me dérange pas. Pour ressouder le port USB-C, il faudrait de toute façon retirer la batterie. Donc, on passe l'appareil de l'état AFU (After First Unlock) à l'état BFU (Before First Unlock).
Avec une phrase de passe suffisamment solide, il faudrait alors passer par une attaque par brute force.
Je travaille effectivement avec GrapheneOS, et le délai de 18h est pratique pour ne pas gêner les utilisateurs.
C) Bon, eh bien, tu viens de doucher mes espoirs de trouver une solution facile :) Je cherche une idée un peu folle, mais simple, sans avoir à retirer une tonne de ports USB-C :)
[^] # Re: Colles
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 2. Dernière modification le 14 octobre 2024 à 08:48.
Oui, les solvants, c’est justement ce qui m'embête avec les colles. C’est pour ça que j'ai pensé à l'époxy, mais je ne sais pas si c’est vraiment facile à enlever ou pas.
C'est pour ça que je me demandais si coller un cache USB-C en silicone à l’intérieur du port ne serait pas plus pratique.
Pour l’idée de forer les contacts, c’est vrai qu'un attaquant motivé pourrait tenter le coup. Mais bon, c’est risqué et il pourrait abîmer des trucs au passage, donc ça reste dissuasif même pour les plus téméraires.
Fondre ensemble les connecteurs de données, ou même tous les connecteurs s’il y a une protection anti court-circuit, ça pourrait être une vraie galère pour quelqu’un qui essaie de les réactiver. Même si le gars réussit à retirer ce qui bloque, il se retrouve avec un port inutilisable.
Merci pour les idées ! Je vais creuser un peu l’option du court-circuit permanent sans cramer la carte mère. Si t’as des astuces pour faire ça proprement, je suis preneur !
Et d’ailleurs, tu aurais une idée de comment faire ça sans ouvrir le téléphone ? Peut-être avec un fer à souder ?
Car avec mes gros doigts boudinés, bousiller le port USB-C, ça va être chaud :)
[^] # Re: attaquant
Posté par bizaw . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 3.
Effectivement, si un attaquant veut accéder directement à la carte mère pour contourner le port USB-C externe, il devra de toute façon démonter le smartphone et retirer la batterie. Cette étape complique sa tâche, car dès qu'on enlève la batterie, on se retrouve en mode BFU (Before First Unlock) et non en AFU (After First Unlock).
En mode BFU, les protections sont bien plus fortes et les données sont encore mieux sécurisées, car elles ne sont pas déchiffrées comme elles peuvent l’être en AFU. Donc, même s’il parvient à accéder physiquement à l’USB interne, il sera confronté à un niveau de sécurité supplémentaire qui rend l'attaque beaucoup moins faisable. L’objectif est vraiment de rendre le processus suffisamment complexe pour décourager ou ralentir toute tentative de ce genre.
[^] # Re: Aucune chance de grossir
Posté par bizaw . En réponse au journal web3 = grosse daube marketing ?. Évalué à 4.
Pour Signal, tout est open source, tu as même des clients des forks du client Android qui apporte un vrais plus en termes de sécurité anti-forensic (Ex : Molly.im, Johan Fork)
Mais tout est centralisé, le serveur est opensource donc théoriquement nous devons pouvoir redéployer des instances, mais ont reviens dans une microbulle avec plus personne a qui parler.
Getsession.org est un fork de Signal, plus ouvert et plus décentralisé.
Il y'a de bonne idée derrière avec notamment Lokinet .
En revanche ce qui n'est pas cool, c'est qu'ont ce récupéré tout l'historique des 30 derniers jours, même si on change de device. Mais ils sont en train de travailler sur des messages éphémères.
Et l'audio ce n'est pas encore super et c'est uniquement du 1-1, mais il y'a du potentiel
[^] # Re: Nostr
Posté par bizaw . En réponse au journal web3 = grosse daube marketing ?. Évalué à 1.
Sympa je vais regarder.
J'ai aussi trouvé GUNJS qui est open source, ce n'est pas une blockchain, donc c'est cool et ca a l'air de répondre a une partie de mes besoins :)
En revanche, je ne trouve pas l'équivalent pour partager des photos de façons sécurisées, décentralisable et non censurable.
[^] # Re: Migration complète sous Tails
Posté par bizaw . En réponse au journal Ma journée en garde à vue.. Évalué à 1.
De la vantardise ?
Non, je suis simplement choqué d'avoir été confronté par effet de rebond à la justice et à ces officiers judiciaires.
J'ai divulgué des mots de passe que je ne voulais pas, alors qu'ils eussent une preuve traditionnelle physique de ma non-implication.
Dans tous les cas si des personnes comme les gars de chez Tails, Tor & Tor Browser font un travail fantastique, c'est qu'il y a un réel besoin de pouvoir se protéger contre nos démocraties.
Ces outils devraient être déployés massivement afin de démontrer l'inefficacité des lois de surveillances et de viols de nos vies privées.
En revanche, je le réécris, pour le moment, je n'ai malheureusement trouvé aucune solution élégante pour Android qui laisse trop de traces …
Via à un autre journal (https://linuxfr.org/nodes/117265/comments/1771905), j'ai trouvé le site de minifree et ils proposent des modifications du hardware super intéressantes :
https://minifree.org/product/security-mods/
Notament la partie :
All DMA-capable slots removed
DMA (direct memory access) is when a device has its own access to main memory so that it can operate independently of the CPU. This is a performance decision made in modern computers, to mitigate the slow performance that was seen on older computers where all hardware communication had to be coordinated (including I/O itself) through the CPU.
DMA is very good for most things, but for external hotswappable devices it is a security risk because an attacker could easily insert a malicious device into your system while it’s running which can be used to very quickly extract anything in RAM, which could include your encryption keys.
We will do the following:
Remove the cardbus/expresscard slot
Remove firewire slot (USB ports left intact, since USB devices don’t have DMA)
Docking port connector disabled (but not removed, because doing so is extremely invasive physically to the mainboard)
SATA ports removed*
*For info, see:
https://libreboot.org/faq.html#hddssd-firmware
# Migration complète sous Tails
Posté par bizaw . En réponse au journal Ma journée en garde à vue.. Évalué à 1.
J'ai enfin sauté le pas et j'ai migré complètement sous Tails.
J'ai pris une décision assez extrême, mais c'est de ne plus jamais avoir aucune donnée stockée localement.
J'ai acheté une clef USB miniature afin que je puisse ranger mon laptop facilement dans sa sacoche :
https://www.amazon.com/SanDisk-Low-Profile-SDCZ430-032G-G46-Everything-Stromboli/dp/B07C4BCH1B/ref=sr_1_6?crid=2ISRFNJ41UV51&keywords=sandisk+ultrafit&qid=1558521548&s=gateway&sprefix=sandisk+ultrafit%2Caps%2C500&sr=8-6
Car l'expérience me l'a démontré quand ont à des données chiffrées il y a un risque juridique qu'on soit obligé de divulguer son mot de passe à un tiers.
Actuellement je stocke toutes mes données sur un petit serveur en dehors de l'union européenne et des états unis d'Amérique.
Je monte mon répertoire :
sshfs host:/mnt/directory-crypt /home/amnesia/directory-crypt -o reconnect
Et pour éviter que mes données soit déchiffré sur le serveur :
cryfs /home/amnesia/directory-crypt /home/amnesia-directory-uncrypt
Pour plus de sécurité le harddrive du disque dur de mon serveur et chiffré avec dm-crypt.
Ainsi, en cas de problème, il me suffit simplement de sortir la clef USB et le PC s'étend et wipe la RAM.
Ils ont vraiment pensé à tous les petits gars de chez Tails.
La seule attaque théorique possible reste une attaque cold boot pendant qu'il y'a de la batterie ou que mon PC est branché sur le secteur.
Il me reste à migrer mon serveur ssh sur un .onion et à planifier des backups.
[^] # Re: pam_duress
Posté par bizaw . En réponse au journal Ma journée en garde à vue.. Évalué à 2.
C'est pour ça que personnellement je n'ai trouvé sur mon laptop que deux solutions vraiment convaincante :
1) Effacer le headers luks après le démarrage.
Les forces de l'ordres s'ils veulent faire une empreinte vont soit devoir faire une attaque cold boot
C'est une attaque rare est coûteuse et je pense que si ont enlève le header même avec la clef, je pense qu'ils auront du mal à reconstruire le header.
2) Une clef usb bootable comme tails :)
En revanche pour Android pour le moment, je n'ai pas trouvé de solution élégante :(
[^] # Re: Question Prioritaire de Constitutionnalité
Posté par bizaw . En réponse au journal Ma journée en garde à vue.. Évalué à 0. Dernière modification le 18 mai 2019 à 09:52.
Sur le moment, j'ai vu que j'allais attendre des heures un avocat commis d'office.
Comme je n'avais rien à me reprocher, je me suis dit que ce n'été pas une bonne idée.
Rétrospectivement parlant j'aurais dû prendre l'avocat commis d'office mais cela aurait pris des heures d'attente mais je pense que j'aurais passé plus de temps en garde à vue.
Pour les forces de l'ordre si tu prends un avocat commis d'office c'est que tu à quelques choses à te reprocher.
[^] # Re: pam_duress
Posté par bizaw . En réponse au journal Ma journée en garde à vue.. Évalué à 2.
Super sympa :)
Je viens aussi de trouver ce petit script bash fort sympathique :
https://github.com/trpt/usbdeath
[^] # Re: Outrance
Posté par bizaw . En réponse au journal Ma journée en garde à vue.. Évalué à 0. Dernière modification le 17 mai 2019 à 12:16.
Du moment ou on commence à fouiner dans ta vie privée, l'enquête peut toujours déborder sur d'autres sujets.
Une fois qu'ils ont absorbé tes données, tes contacts, tu n'as aucune idée, s'il n'y aura pas des fuites et si ces données ne sortiront pas du cadre de l'enquête.
Pour moi, même un juge ne devrais pas pouvoir t'obliger à donner tes clefs de déchiffrement.
[^] # Re: Outrance
Posté par bizaw . En réponse au journal Ma journée en garde à vue.. Évalué à 2.
Aucune idée, mais je ne trouve pas normales ces nouvelles lois en france qui essayent de te forcer à donner ton mot passe.
Tu devrais pouvoir avoir le droit de ne pas t'incriminer et tu ne devrais pas pouvoir être condamnable pour ça.
Par exemple en Suisse un prisonnier à le droit d'essayer de s'évader et s'il s'évade ça ne lui ai pas reproché.
On ne lui mettra pas de peine supplémentaire, on le remettra simplement en prison.
[^] # Re: Faire simple
Posté par bizaw . En réponse au journal Ma journée en garde à vue.. Évalué à 3.
Super intéressant comme diagramme :)
[^] # Re: Question Prioritaire de Constitutionnalité
Posté par bizaw . En réponse au journal Ma journée en garde à vue.. Évalué à -1.
Intéressant le diagramme de maître Eolas.
En fait, je ne voulais pas prendre un avocat commis d'office et vu que je ne connaissais aucun avocat dans la ville ou j'été …
Rétrospectivement parlant j'aurais certainement du prendre un avocat.
Pour le plausible deniability, j'ai regardé ce patch :
https://github.com/kriswebdev/cryptsetup-deluks
Mais le patch ne ma pas convaincus :(
[^] # Re: Outrance
Posté par bizaw . En réponse au journal Ma journée en garde à vue.. Évalué à 3.
Je ne connais pas les lois des autres pays.
Je pense que la France a été un pays démocratique, mais qu'elle s'est perdu en chemin sous de faux prétextes.
La France à publier ces dernières années un arsenal législatif pour obtenir ce qu'elle veut.
En grande partie en utilisant des prétextes comme les attentats et que des terroristes utilisent des applications "End To End Encryption".
Les états ont perdu la guerre mathématique sur le chiffrement, alors ils vont directement à la source avec des lois que j'estime antidémocratique.
Bien sûr qu'on peut justifier ces lois car cela a permis d'arrêter de méchants terroristes qui comploté contre l'état et le peuple. Car ces lois ont permis d'arrêter des pédophiles etc …
Mais nous avons vendu notre âme au diable au passage.
Je pense que la seule voit pour le peuple et d'utiliser des systèmes amnésiques comme Tails.
Même si les inconvénients sont trop nombreux à mon goût, d'ou ce journal.
[^] # Re: Vie privée et justice
Posté par bizaw . En réponse au journal Ma journée en garde à vue.. Évalué à 10.
Peut importe le motif, tu devrait avoir le droit de ne pas t'incriminer.
Ce qui me dérange le plus, c'est que j'avais un alibi en béton armée et que malgré que je puisse leur prouver par A+B que je venais d'arriver sur le territoire il y a moins de 24 h et que par conséquent il m'été impossible d'avoir commis le dit délit, ça ne leurs à pas suffit.
Ils ont décidé de fouiller dans mes données.
Actuellement, je monte un dossier potentiellement "politique" sur un énorme industriel français qui pollue avec des magouilles et des complaisances politiques pour l'emploi.
J'estime que j'ai eu beaucoup de chance, qu'ils soient passés à coté de ce dossier.
Car j'ai obtenu pas mal d'éléments de façon obscure.
Mais le problème n'est pas la, avec les nouvelles lois le chiffrement ne nous protèges plus.
Nous pouvons tous franchir le Rubicon et il est facile de monter un dossier sur des personnes pour obtenir des informations qu'ils n'auraient pas voulus communiquer.
[^] # Re: Outrance
Posté par bizaw . En réponse au journal Ma journée en garde à vue.. Évalué à 5.
Un pays qui t'interdit le droit au silence et t'oblige à t'auto incriminer, tu appel ça une démocratie ?
La france n'est plus une démocratie à cause de ce type de lois qui empiètent sur notre vie privée.
J'avais des données importantes et j'estime que j'ai eu de la chance que les forces de l'ordre n'y ai pas eu accès.
Données certes qui n'avaient rien avoir avec leurs enquètes mais qui auraient pu les intéresser sur un autre volet juridique.
Mais c'est plus due à un problème de compétence de leurs côtés et ils ont raté des détails qui auraient du leur mettre la puce à l'oreille.
Et pour ton information, je ne vie pas en france et je vis dans une dictature plus féroce.
Mais peu importe le degré de férocité, le danger est bel et bien présent.
Mais tu à raison, il faut recentrer le débat sur le coté technique
Et pour ton information, je ne vie pas en france et je vis dans une dictature plus féroce.
Mais peu importe le degré de férocité, le danger est bel et bien présent.
Mais tu à raison, il faut recentrer le débat sur le coté technique
[^] # Re: Pourquoi donner toutes ces informations ?
Posté par bizaw . En réponse au journal Ma journée en garde à vue.. Évalué à 9.
Monsieur, on vous retrouve chez monsieur X.
Nous recherchons une personne de votre taille, de votre corpulence et qui à la même coupe de cheveux que vous.
Si vous refusez de coopérer, vous allez avoir de gros problèmes.
Nous voulons accéder à vos données de géolocalisations et à vos messages pour vérifier vos dires …
Bref, c'est facile à posteriori quand on connaît tous les détails de l'affaire, mais sur le moment bah, j'ai simplement donnée mes mots de passe.
Et je pense que beaucoup de personnes l'auraient fait.
La sécurité s'arrête là où commencent la sécurité de nos dix doigts.
C'est pour cela que des systèmes amnésiques existent car face au totalitarisme, il n'y a aucun moyen de se défendre.
Il est très facile pour une équipe qui enquête de justifier sa demande auprès d'un juge qui va accepter la requête face au prévenu qui refuse de donner ses mots de passe. "Un innocent ne refuserait pas …"