Journal NSA: Est-il interdit de retirer un message indiquant que la NSA est passé vous voir ?

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
5
1
oct.
2013

Les américains ont une loi qui contraint fortement la parole des personnes approchées pour affaiblir la sécurité de leur outil. Il est donc question de mettre un message disant qu'il n'y a aucun problème et de le retirer en cas de visite. La légalité n'a pas encore été testé.

Sinon, j'aime bien le passage de cet article, où la NSA considère le public comme un ennemi d'état :

"When the NSA came up with codenames for its projects to sabotage security products, it chose "BULLRUN" and "MANASSAS", names for a notorious battle from the American civil war in which the public were declared enemies of the state. GCHQ's parallel programme was called "EDGEHILL", another civil war battle where citizens became enemies of their government."

http://www.theguardian.com/technology/2013/sep/09/nsa-sabotage-dead-mans-switch

  • # Commentaire supprimé

    Posté par  . Évalué à 10.

    Ce commentaire a été supprimé par l’équipe de modération.

  • # Autre moyen

    Posté par  (site web personnel) . Évalué à 3.

    Mettre un cron envoyant un message sur un medium ou un autre (rss, mailing-list, blog, résal social, que sais-je) indiquant "La NSA n'est pas venu me demander de mettre en place une backdoor". Le jour où la NSA passe, couper le cron : tout le monde le sait :D

    Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.

    • [^] # Re: Autre moyen

      Posté par  . Évalué à 7.

      Couper le cron est un acte et pourrait être interprété comme une action destinée à informer.
      Je me demande combien d'autres artifices on peut imaginer?
      -un membre "virtuel" du projet sans lien avec un nom réée, qui résilie son compte
      -une association canari, qui se dissout (ça va quand même être délicat d'interdire à quelqu'un de dissoudre son association!)

      Au lieu d'un cron, on peut imaginer un serveur complètement mal branlé exprès pour qu'il se vautre toutes les semaines. Le jour où il n'est plus redémarré… Pareil, arrêter quelqu'un pour défaut de maintenance d'un serveur perso, c'est gros!

      Cela dit, toutes ces solutions partent du principe non-complotiste que ce n'est pas déjà la NSA qui a mis en place les canaris!

      • [^] # Re: Autre moyen

        Posté par  . Évalué à 10.

        on peut imaginer un serveur complètement mal branlé exprès pour qu'il se vautre toutes les semaines.

        arriver à promouvoir microsoft sur linuxfr, c'est vraiment TRÈS fort. Bravo.

      • [^] # Re: Autre moyen

        Posté par  . Évalué à 4.

        Je crois que peu importe l'action ou la non action, le fait qu'elle soit liée au canari sera nécessairement publique et peut donc être interprétée comme une volonté d'information.

        Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

        • [^] # Re: Autre moyen

          Posté par  . Évalué à 6.

          Ne pourrait-on pas formuler le message du canari autrement, par exemple comme ceci : «un service secret nous a contacté». Le message est faux tant que la société ayant mis en place ce canari n'est pas contactée par un service secret, mais il devient vrai dès lors qu'un service secret la contacte. Dans ce dernier cas, la société est alors logiquement et légalement contrainte de supprimer le message, qui remplirait donc exactement la fonction qui lui était dévolue..?

          • [^] # Re: Autre moyen

            Posté par  . Évalué à 6.

            Tel que je comprends les choses, il est interdit de dire que tu as été contacté par un service secret… Mais rien ne dit que cette interdiction se limite au seul cas où tu as réellement été contacté !
            En bref, tu serais tout autant accusé dans un cas (le dire alors que tu n'as pas été contacté) que dans l'autre (le dire car tu as été contacté)

            • [^] # Re: Autre moyen

              Posté par  . Évalué à 2.

              Tel que je comprends les choses, il est interdit de dire que tu as été contacté par un service secret… Mais rien ne dit que cette interdiction se limite au seul cas où tu as réellement été contacté !

              Voilà. Un corollaire étant « Il n'y a pas de service secret ».

              Le principe est simple : Chhhuuuuut…

            • [^] # Re: Autre moyen

              Posté par  (site web personnel) . Évalué à 2.

              Soit, il suffit donc de mettre comme message "Il se pourrait que j'ai été contacté par les services secrets" et l'enlever quand on n'a plus envie de jouer avec le feu …

              • [^] # Re: Autre moyen

                Posté par  (site web personnel) . Évalué à 5.

                J'y comprend plus rien moi, si je vais sur un site et qu'il y a écrit :

                Il se pourrait que j'ai été contacté par les services secrets

                ça voudra dire quoi ? Que le site a effectivement été contacté ? Ou qu'on lui a proposé une offre d'emploi pour un nouveau système de cryptage ? Ou bien qu'il s'agit d'un canari vraiment bien tordu qui consiste à affirmer une fausse information pour la retirer avant qu'elle ne soit vraie ?

                Il faut aussi rester simple, et on peut très bien faire passer un message en ne disant rien du t

                • [^] # Re: Autre moyen

                  Posté par  (site web personnel) . Évalué à 6.

                  Il se pourrait que LinuxFr.org n'ait pas été contacté par les services secrets.

                  • [^] # Re: Autre moyen

                    Posté par  . Évalué à 5.

                    Nan mais toi ça compte pas: on sait depuis le début que tu roules pour la NSA et que linuxfr est ta couverture.

                    Bon, je vous laisse, c'est l'heure du passage du satellite 39-C, et celui-là est assigné à MA surveillance ne particulier. Faut que je coupe tout.

                    -------------> [ ]

                  • [^] # Re: Autre moyen

                    Posté par  . Évalué à 8.

                    Par Linkéo, par contre… :-)

  • # retirer ou laisser ?

    Posté par  (site web personnel) . Évalué à 6.

    Est-il permis de retirer un message disant "tout va bien", ou plutôt de ne pas le mettre à jour ?

    Retirer une page est un acte, ne pas mettre à jour une page est un non-acte.

    La loi peut facilement demander de se taire (ce qui peut former un mensonge par omission), la loi peut difficilement demander de mentir (mensonge par action). Bon, cela dit, divers marqueurs tendent à montrer que la contrainte légale au mensonge n'est pas si éloignée de nous.

    ce commentaire est sous licence cc by 4 et précédentes

    • [^] # Re: retirer ou laisser ?

      Posté par  . Évalué à 4.

      ne pas mettre à jour une page est un non-acte
      La loi française punie aussi l'absence d'action
      Légifrance Art. 223-6 lien
      Quiconque pouvant empêcher par son action immédiate, sans risque pour lui ou pour les tiers, soit un crime, soit un délit contre l'intégrité corporelle de la personne s'abstient volontairement de le faire est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende.

      Je ne connais pas la loi américaine, mais ne pas empêcher quelque chose de se produire et risquant d'induire un risque pour l'état (de leur point de vue) doit être assimilable à une action volontaire mettant en danger l'état.

  • # Commentaire supprimé

    Posté par  . Évalué à -10. Dernière modification le 01 octobre 2013 à 11:47.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: La NSA, en l'état, tu l'aimes, ou pas.

      Posté par  . Évalué à 10.

      j'aime bien le passage de cet article, où la NSA considère le public comme un ennemi d'état

      En même temps, tout admin réseau considère ses utilisateurs comme des ennemis. Personne n'y trouve rien à redire.

    • [^] # Re: La NSA, en l'état, tu l'aimes, ou pas.

      Posté par  . Évalué à 10.

      Mon diagnostique : avant la fin de son mandat, Obama, cette marionnette de l'état profond (clin d'oeil à Chauprade), sera destitué et l'état véritable restauré.

      Merci pour ce grand moment de géopolitique.

  • # Warrant canary

    Posté par  (site web personnel) . Évalué à 10.

    La technique qui consiste à enlever un message le jour où la NSA t'approche s'appelle Warrant Canary.

    • [^] # Re: Warrant canary

      Posté par  (site web personnel) . Évalué à 5.

      Elle est d'ailleurs utilisée par rsync.

      blog.rom1v.com

    • [^] # Ça va chier

      Posté par  . Évalué à 10.

      Quand j'entends le mot "surveillance", je sors mon canari.

      'naka bien se tenir la NSA.

      dégainage_de_canari

      Piou piou piou.

      *splash!*

    • [^] # Re: Warrant canary

      Posté par  . Évalué à 4.

      La technique qui consiste à enlever un message […] s'appelle Warrant Canary.

      Plus exactement, qui consiste à ne pas mettre à jour une page.

      Comme dit plus haut, il est plus compliqué légalement[1] de demander à quelqu'un de faire quelque chose, que de l'empêcher de faire quelque chose.

      Si on arrête tous les devs de rsync et qu'on les met au fond d'un cachot sans Internet, ils ne pourrons pas retirer le message. Mais il ne sera pas non plus mis à jour.

      [1] ou para légalement, les services de renseignement n'était pas connus pour respecter strictement la loi, voire des fois se torchant carrément avec)

      Le FN est un parti d'extrême droite

  • # Titre

    Posté par  (site web personnel) . Évalué à 5.

    Le titre du journal est : "NSA: Est-il interdit de retirer un message indiquant que la NSA est passé vous voir ?"
    J'aurais plutôt dit : "[…] n'est pas passé vous voir ?"

  • # Alternative?

    Posté par  . Évalué à 5.

    OpenBSD a bien un canari, si je ne m'abuse.

    Quand on voit le caractère un peu trempé de Theo de Raadt, on imagine cependant mal qu'il reste à la tête d'un projet dont l'ambition est de faire un système le plus sécurisé possible en maintenant dans le même temps un trou béant.

    La meilleure façon de dénoncer l'intrusion de la NSA dans le code ne resterait-elle pas le fork brutal avec un départ massif de l'état-major du projet?
    Ils pourraient avoir prévu un signal anodin entre eux (rien que Theo de Raadt qui proposerait de forker OpenBSD pour faire un OS "bien sécurisé" à la place, je crois que ça devrait déjà éveiller de sacrés soupçons…)

    • [^] # Re: Alternative?

      Posté par  . Évalué à 3.

      La meilleure façon de dénoncer l'intrusion de la NSA dans le code ne resterait-elle pas le fork brutal avec un départ massif de l'état-major du projet?

      Déjà fait : il y a FreeNSA FreeNAS

    • [^] # Re: Alternative?

      Posté par  . Évalué à 2.

      Les backdoors dans OpenBSD c'est pas la NSA c'est le FBI(voir ici).
      Mais c'était avant, maintenant c'est fini…
      Hein? oui? J'ai raison?

  • # Si on résume

    Posté par  (site web personnel) . Évalué à 2.

    Pour que ce genre de système fonctionne, il est nécessaire qu'il soit public, et donc que le service secret le connaisse.
    Donc si tu t'en sers, il sera de notoriété publique que tu auras prévenu tout le monde de la mise en demeure. Il y a peu de chances que ça soit défendable devant un juge qui respectera l'esprit de la loi.

    • [^] # Re: Si on résume

      Posté par  . Évalué à 10.

      Il y a peu de chances que ça soit défendable devant un juge qui respectera l'esprit de la loi

      Oui mais on parle des USA ici. C'est le pays où des adolescents ont été condamnés pour pornographie infantile parce qu'ils s'étaient échangés des photos d'eux nus et qui sont désormais fichés à vie comme criminels sexuels.

      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

      • [^] # Re: Si on résume

        Posté par  . Évalué à 2.

        Jore ça n'arriverait jamais en France.

        *splash!*

      • [^] # Re: Si on résume

        Posté par  . Évalué à 9.

        https://en.wikipedia.org/wiki/Ages_of_consent_in_North_America#New_York

        someone who is 16 years old commits a crime by voluntarily having sex with anyone who cannot themselves legally consent to sex, including another 16-year-old, even if this "victim" is actually older. […] In effect, mutual crimes are committed when two unmarried 16-year-old individuals voluntarily have sex with each other in New York State, each being the "victim" of the other.

        Deux ados de 16 ans se violent mutuellement sauf s'ils sont mariés (parce qu'il sont trop jeunes pour pouvoir coucher, mais pas pour s'engager officiellement).

        Quel beau pays.

        Le FN est un parti d'extrême droite

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.