J'en reste pantois.
Me baladant tranquillement sur les interwebs en ce Samedi radieux, je remarque le commentaire de quelqu'un qui prétend que le chiffrement en France est interdit, alors que ça fait longtemps que les États-Unis ont abandonné ça.
Il devait certainement penser aux restrictions sur l'utilisation de PGP ou sur SSH sur la taille de la clé, qui sont peu à peu tombées. Ni une ni deux, je m'empresse de corriger ce faquin, liens à l'appui.
Premier arrêt, l'éternel Wikipédia:
Enfin, la Loi pour la confiance dans l'économie numérique du 21 juin 2004 a totalement libéré l’utilisation des moyens de cryptologie, en revanche leur importation ou exportation est soumise à déclaration ou autorisation
Ah.
Bon déjà, ça confirme qu'on a le droit d'utiliser n'importe quel moyen de chiffrement avec toute la sécurité qu'il y a dedans, super. Mais ça dit aussi que l'importation et l'exportation sont soumises à autorisation, ce que confirme l'ANSSI:
En France, les moyens de cryptologie sont soumis à une règlementation spécifique.
L’utilisation d’un moyen de cryptologie est libre. Il n’y a aucune démarche à accomplir.
En revanche, la fourniture, l’importation, le transfert intracommunautaire et l’exportation d’un moyen de cryptologie sont soumis, sauf exception, à déclaration ou à demande d’autorisation.
La citation Wikipédia pointe vers ce tableau, où déjà je suis perdu parce que je ne sais pas quelle est la différence entre un Moyen de cryptologie et un double usage (sur la page précédente):
Les moyens de cryptologie sont, sauf exception, classés « biens à double usage ».
Du coup, je suis un peu perdu, parce que je vois même pas la différence entre importer et utiliser; en plus de ça, si je veux fournir, disons, un système de stockage et chiffrement de données au monde entier, il faut que j'avertisse l'ANSSI/le SBDU ?
(Ah, mais le site me signale que si la clé fait moins de 56 bits, certaines opérations sont exemptes de formalités. trosympa.)
Moi qui croyais que ces démarches avaient totalement volé en éclat suite justement à PGP et SSH, je me rends compte qu'on en est encore loin.
Ce contenu est placé sous licence CC0
# Intervention police...
Posté par djibb (site web personnel) . Évalué à 10.
Nous venons d'avoir une intervention policière pour les "dangers d'internet". Très intéressant. L'officier en question nous a dit :
on peut chiffrer sans problèmes, par contre, lors du'une perquisition, il faut donner les clefs, sous peine de gros problèmes.
Voilà ce que j'en ai retenu.
[^] # Re: Intervention police...
Posté par karchnu . Évalué à -2.
Dans quel contexte ? Si je chiffre mes données et que ce sont MES données il n'y a aucune raison que je donne les clés. Sinon ce n'est qu'une forme d'interdiction de chiffrement, totalement masquée et hypocrite.
[^] # Re: Intervention police...
Posté par Sylvain Sauvage . Évalué à 10.
Dans le contexte d’une « perquisition » qu’on te dit.
Dans ce même contexte, on pourra aussi te demander d’ouvrir ton coffre-fort ou toute pièce ou meuble fermé à clef. Même différence.
[^] # Re: Intervention police...
Posté par karchnu . Évalué à -1.
Une perquisition n'est pas nécessairement pour tes données à toi, simple particulier. Cela peut être une demande faite à un intermédiaire technique, d'où ma question.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 6. Dernière modification le 29 mars 2015 à 21:35.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Intervention police...
Posté par Nicolas Boulay (site web personnel) . Évalué à 4.
La loi prévois une peine si tu refuses de donner un clef pour déchiffrer un contenu. Par contre, on ne peut pas appliquer la loi quand c'est toi qui est incriminé. Il est interdit d'obliger quelqu'un à s'accuser. Je crois que des articles sont passé à ce sujet.
"La première sécurité est la liberté"
[^] # Re: Intervention police...
Posté par arnaudus . Évalué à 10.
On a déja eu toute cette discussion, mais c'est compliqué. La loi ne t'oblige pas à t'incriminer, mais elle t'oblige à obtempérer. Par exemple, si un policier te demande "où avez-vous mis l'arme du crime", tu n'es pas obligé de répondre. Par contre, s'il te demande "ouvrez la porte de votre coffre-fort pour que je regarde si l'arme n'y est pas", tu es obligé de le faire (ou, plus exactement, tu commets un délit en ne le faisant pas).
Si j'étais un juge (ce que je ne suis pas, de toute évidence, puisque ma conception de la logique s'éloigne significativement de la logique judiciaire), je considèrerais qu'il n'est pas strictement nécessaire de donner la clé, mais qu'il est obligatoire de taper son mot de passe quand on nous le demande.
L'argument principal des avocats qui prétendent qu'il vaut mieux ne pas déverrouiller ses disques est (évidemment) qu'on risque généralement moins pour refus d'obtempérer que pour le crime ou délit duquel on est accusé. Il vaut donc mieux refuser de donner accès à des preuves éventuelles. Je n'ai qu'un problème avec cet argument, c'est que je le trouve profondément immoral ; c'est le même argument qu'on donne pour ne pas avouer même quand les preuves sont confondantes, ou pour ne pas donner la localisation du corps même quand on a avoué un meurtre. Ce n'est pas parce qu'une action est juridiquement avantageuse qu'elle est morale pour autant, et je trouve ça malsain de conseiller des actions immorales (y compris, dans le cas présent, de violer la loi volontairement). Il existe plein de combines de la sorte (par exemple, ne pas présenter ses papiers lors d'un contrôle routier quand on n'a plus de points et envoyer quelqu'un d'autre au commissariat le lendemain : c'est quasiment imparable, mais c'est illégal et immoral).
Au passage, il y a au moins trois cas où il est stupide de ne pas donner la clé quand on nous la demande : 1) on est totalement innocent du délit (auquel cas donner la clé ne peut que nous disculper, alors qu'on risque au moins des poursuites du fait de ne pas l'avoir fait), 2) le délit concerne un tiers (par exemple, si on héberge des données sans savoir ce qu'elles contiennent), puisqu'on risque d'être associé à des délits graves, voire des crimes ; 3) le délit est en cours et ne pas donner la clé pourrait l'aggraver (par exemple, si les données encodées contiennent des informations permettant d'identifier un kidnappeur ou un pédophile actif).
Objectivement, il serait donc profondément stupide de refuser systématiquement de décoder un disque.
[^] # Re: Intervention police...
Posté par ElectronLibre63 . Évalué à 1.
Je ne suis pas sûr que les forces de l'ordre te demandent de taper ton mot de passe, car en général ils préfèrent embarquer le matériel informatique pour le confier à la police scientifique. Après, je ne sais pas si c'est systématique ou si c'est seulement pour certaines affaires. Donc il faudrait qu'ils t'invitent dans leur labo pour que tu tapes ton mot passe, ça me semble peu probable.
Tu peux être innocent du délit dont on t'accuse, mais ne pas être pour autant blanc comme neige. Dans ce cas tu ne donnes pas ta clef car tu sais (espère) que l’enquête devrait finir par t'innocenter, sans avoir à donner des preuves d'autres délits.
Le mieux c'est quand même de ne pas avoir d’activité illégale :)
[^] # Re: Intervention police...
Posté par thamieu . Évalué à 5.
Je crois que c'est absolument faux. Si les données ainsi déchiffrées ont (ou semblent avoir) un rapport avec les faits reprochés, alors elles pourront être lues avec une grille particulière qui tendra à t'incriminer de toute façon. Exemple, quelqu'un fait des blagues avec « Bitcoin », « Lennart Pottering » et « tuer » dedans. Si demain on retrouve le cadavre de Lennart, et que ce quelqu'un a le malheur d'être soupçonné, les traces de ces messages malheureux seront utilisées comme des éléments à charge a posteriori, alors qu'a priori il ne s'agissait que d'un troll. À l'inverse, si les données n'ont visiblement aucun rapport avec l'enquête, elles ne disculpent de rien : « absence de preuve n'est pas preuve d'absence ».
Subjectivement, il faut y réfléchir à deux fois avant de donner les clés de la boîte de Pandore.
[^] # Re: Intervention police...
Posté par arnaudus . Évalué à 6.
Ça ne veut pas dire grand chose. Si quelqu'un a téléchargé des vidéos pédophiles à partir de ton wifi, qu'on perquisitionne chez toi et qu'on récupère un disque crypté, je ne vois pas comment tu voudrais qu'un juge interprète un refus de donner la clé. Si tu sais que tu n'as rien sur ton disque, tu donnes la clé ; l'absence de fichiers compromettants ne peut que te disculper.
Encore une fois, si ce que tu as sur ton disque n'a rien à voir avec l'enquête, tu ne peux qu'attirer l'attention des enquêteurs en jouant au gros dur. Il ne faut pas exagérer pour le coup des éléments à charge, la justice n'est pas parfaite, mais tu attireras beaucoup moins l'attention en coopérant avec la justice.
J'ai parfois l'impression qu'à force de dénoncer à tort les procédures administratives liberticides, certains finissent par nier la nécessité pour la justice d'accéder à des informations personnelles au cours des enquêtes. Si la justice n'a plus les moyens d'accéder à aucune information, elle perd toute efficacité. La loi doit permettre aux enquêteurs de collecter les preuvent qui permettent de condamner les coupables et d'innocenter les innocents, et je ne vois pas de quel droit on peut vouloir s'opposer au bon fonctionnement de la justice.
[^] # Re: Intervention police...
Posté par briaeros007 . Évalué à 2.
Ca c'est vrai dans le principe.
Aux US, lors d'une perquisition, le juge peut indiquer que seul les éléments en liens avec l'affaire peuvent être pris en compte.
En france non. Ca veut dire que si tu donnes tes clés, et que tu as, disons 1 MP3 dont il est soupconné que tu n'ai pas les droits dessus, tu risques quand même 3 ans de prisons.
Et la justice française n'est pas toute noire, mais elle n'est pas toute blanche. On a déjà vu des enquêtes plus à charge qu'à décharge….
[^] # Re: Intervention police...
Posté par gouttegd . Évalué à 3.
Ça ne correspond pas vraiment à ce que raconte Zythom. « La mission, rien que la mission » est quelque chose qui revient souvent dans ses anecdotes d’expert judiciaire.
Il semble que le juge puisse poser des questions assez précises (« y a-t-il des images pédopornographiques sur cet ordinateur ? ») lorsqu’il confie sa mission à l’expert, auquel cas l’expert n’a pas à rapporter quoi que ce soit qui ne soit pas lié à la question.
[^] # Re: Intervention police...
Posté par fearan . Évalué à 2.
Tu as le droit de refuser de donner les clés, mais c'est une circonstance aggravante; autrement dit, si seul ce qui est dans les données chiffrés peuvent t'inculper tu gardes tes clés, sinon tu les files au représentant de l'ordre (sauf si dans les données chiffrées il y a encore pire… )
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Intervention police...
Posté par Professeur Méphisto . Évalué à 2.
mais comment la justice (ou plutôt ses experts) peut elle faire avec les systèmes de déni plausible tels que feu truecrypt ?
[^] # Re: Intervention police...
Posté par Jiehong (site web personnel) . Évalué à 2.
Il me semble que il y a la présomption d'innocence, tant que le contraire n'a pas été démontré (m'enfin, sur internet, c'est plutôt le contraire qui est en train de se passer…).
Mais ça ne tiens que si le logiciel utilisé n'ajoute pas de faille dans la mise en place de se déni plausible.
Après, que va dire l'expert :
Dans le premier cas, on doit bien pouvoir te demander si le disque contient des données chiffrées, et après te demander la clé.
Bon, mais dans ce cas là, si tu as un volume TrueCrypt contenant un volume TrueCrypt caché, la meilleure idée c'est de coopérer, mais de ne donner que la clé du volume visible, contenant des trucs semi-importants : ils auront l'impression qu'ils ont tout, et tu auras coopéré, réduisant ainsi une possible condamnation.
La question est : le volume caché est-il vraiment indétectable ?
[^] # Re: Intervention police...
Posté par gouttegd . Évalué à 2.
D’après certains qui se sont penchés sur cette question, c’est pas gagné. Le comportement normal tant du système d’exploitation que des programmes qui tournent dessus peut laisser des traces qui, a minima, font fortement douter de la présence d’un volume caché.
Cette étude concernait une version ancienne de TrueCrypt et les auteurs notent que la version suivante a corrigé certains problèmes. Mais cela illustre néanmoins toujours que le déni plausible est loin d’être évident. « We encourage the users not to blindly trust the deniability of such systems. »
[^] # Re: Intervention police...
Posté par Renault (site web personnel) . Évalué à 10.
Pas vraiment.
En gros l'État peut te demander tes clés lors d'une procédure judiciaire pour obtenir des infos pour faire avancer le dossier. Refuser de les délivrer, c'est comme pour toute autre refus dans le cadre d'une enquête : entrave au bon fonctionnement de la justice ce qui est condamnable.
Pourtant, ça ne signifie pas que le chiffrement est inutile :
[^] # Re: Intervention police...
Posté par Benoît Sibaud (site web personnel) . Évalué à 10.
En fait normalement tu as le droit de ne pas t'auto-incriminer (ie ne pas fournir des éléments contre toi). Mais dans ce cas présent, article 434-15-2 du code pénal sur le refus de remise de la clé de chiffrement et article 132-79 du code pénal sur la peine aggravée en cas d’utilisation d’un moyen chiffrement dans le but de commettre un délit. Cf http://www.artiflo.net/2011/02/la-loi-truecrypt-et-le-chiffrement-de-disque-en-france/
Donc le coupable peut choisir entre la peine qu'il risque à déchiffrer et la peine qu'il risque à ne pas déchiffrer ; l'innocent peut être condamné juste pour ne pas vouloir déchiffrer. Et l'autorité judiciaire peut aussi essayer de casser le chiffrement de son côté.
[^] # Re: Intervention police...
Posté par Renault (site web personnel) . Évalué à 5.
Pour moi ce dispositif était en gros que tu n'as pas le droit de leur fournir des éléments dont ils n'ont pas connaissance. Mais s'ils te demandent des éléments comme ouvrir tel meuble, aller à tel endroit de la maison, donner une clé de chiffrement, tu ne peux refuser si c'est sous l'autorité judiciaire bien sûr.
En gros, tu as le droit de ne pas donner les clés spontanément, mais s'ils te demandent c'est comme pour le reste, tu le fais.
[^] # Re: Intervention police...
Posté par ®om (site web personnel) . Évalué à 3.
Un article récent sur le sujet : Si la police le demande, est-on obligé de donner son mot de passe ?
blog.rom1v.com
[^] # Re: Intervention police...
Posté par Nitchevo (site web personnel) . Évalué à 7.
Un autre article intéressant: ce que peut trouver un expert judiciaire sur un disque chiffré sans posséder la clef: parfois un peu d'astuce réalise de vrais miracles: http://zythom.blogspot.fr/2015/03/le-disque-dur-chiffre.html
Pour ceux qui ne veulent pas lire l'article je copie un extrait:
[^] # Re: Intervention police...
Posté par arnaudus . Évalué à 9.
Tu appelles ça un peu d'astuce? C'est quand même une énorme faille de sécurité…
[^] # Re: Intervention police...
Posté par Nitchevo (site web personnel) . Évalué à 9.
C'était une énorme faille puisqu'il semble qu'elle soit corrigée depuis. L'astuce consiste à imaginer qu'un disque entièrement crypté puisse contenir des données qui ne le sont pas. C'est digne de l’œuf de Christophe Colomb.
[^] # Re: Intervention police...
Posté par Tonton Th (Mastodon) . Évalué à 4.
Et un autre : http://zythom.blogspot.com/2015/03/face-truecrypt.html
[^] # Re: Intervention police...
Posté par dyno partouzeur du centre . Évalué à 4.
Comment peut-on prouver que tu as la clé?
Qu'est-ce qui t'interdit de répondre "je ne connais pas le code/je l'ai oublié" ?
[^] # Re: Intervention police...
Posté par octane . Évalué à 5.
Je pense que tu peux répondre "j'ai oublié le code". Mais le fait est que cette réponse est entendue par un juge. Et libre au juge de se faire une idée suite à ta réponse:
-il peut s'en foutre totalement
-il peut trouver que ta réponse est extrêmement suspicieuse
-il peut ajouter cette info à un faisceau de présomptions
N'oubliez pas que dans ce genre de situations vous êtes face à un être humain, et non pas à une machine qui raisonne en binaire. Tout dépend donc de la manière dont sont annoncées les choses:
Mr le juge, je n'ai pas fait du revenge porn avec ma copine car je n'ai jamais eu de photos d'elle, et vous pourrez jamais vérifier l'absence de photos d'elle sur mon PC car j'ai malheureusement oublié mon mot de passe.
Ou: Oui, suite à la perquisition chez Mr Voleur, on a retrouvé ce PC qui est le mien, mais depuis le temps, j'ai perdu mon mot de passe, mais c'est le mien je vous assure, rendez le moi.
[^] # Re: Intervention police...
Posté par Psychofox (Mastodon) . Évalué à 0.
Vous faites quoi d'illégal pour vous poser toutes ces questions ?
Si mon domicile devait être perquisitionné et mon pc mis sous scellé, ce serait plutôt de devoir en racheter un qui m'emmerderait royalement.
[^] # Re: Intervention police...
Posté par Professeur Méphisto . Évalué à 4.
que fais-tu d'illégal (ou simplement d'immoral) dans tes toilettes pour en fermer systématiquement la porte ?
[^] # Re: Intervention police...
Posté par Psychofox (Mastodon) . Évalué à 1. Dernière modification le 31 mars 2015 à 12:03.
Rien à voir. Je ne suis pas contre le chiffrement et la protection des données privées. Par contre vouloir à tout prix cacher ses données et éviter de coopérer avec la justice, c'est un comportement que je trouve pour le moins étrange si l'on n'a rien à se reprocher.
[^] # Re: Intervention police...
Posté par octane . Évalué à 4.
La frontière est quand même ténue. On te demande de coopérer tout le temps et en permanence avec la justice, c'est à dire de lui fournir en permanence toutes tes clés de chiffrement. La justice avisera ensuite de te poursuivre ou non selon ce qu'elle est susceptible de trouver dans tes données. Tu n'as pas à savoir qui utilises tes clés, tes données, ni ce qui est cherché, ni quand.
Un illustre inconnu a dit un jour sur internet: "Donnez moi l'historique de navigation de quelqu'un sur internet et j'y trouverai de quoi l'incriminer plusieurs fois."
[^] # Re: Intervention police...
Posté par Psychofox (Mastodon) . Évalué à 2.
Ce n'est pas vraiment comme ça que ça marche. Ce n'est pas un juge ni un policier qui va fouiller dans ton ordinateur. Un juge donne un mandat pour qu'un policier amène ton pc à un expert qui aura une tâche précise à faire. Exemple bête : si on demande à l'expert de regarder s'il y'a du contenu pédophile sur ton pc, sa tâche n'est pas de faire un listing dans son rapport des différents délits que tu as pu commettre. La justice ne saura pas informée si tu as diffusé des superproduction hollywoodienne via une plateforme d'échange peer2peer.
[^] # Re: Intervention police...
Posté par Jiehong (site web personnel) . Évalué à 6.
C'est vrai, mais il n'y a pas que la justice.
Quand j'étais étudiant, j'ai bossé dans une entreprise de réparation de PC (j'en profitais aussi pour accepter les réparations sur des linux, ce que l'entreprise ne faisait pas avant, mais bref).
Après plusieurs centaines de PC passés entre les mains, je n'en ai vu aucun avec du contenu chiffré. Parfois, en cherchant des soucis logiciels, ou simplement dans l'historique des actions (oui, car les clients ont tendance à dire « mais non, j'ai jamais fait ça moi », mais l'historique est plutôt convainquant), et ça suffit à enlever une bonne part de vie privée à l'utilisateur.
Je ne compte plus le nombre de fois où je vois une liste de fichiers images aux noms révélateurs, de films, de cracks, de coordonnées bancaires, de tableurs, etc.
Malheureusement, certaines personnes jugeaient ça marrant, ou utile (pour récupérer un film qu'on a pas), mais ça aurait très bien pu être les coordonnées bancaires, ou la divulgation d'une liaison inconnue de l'autre partenaire, etc.
Ces données ne sont absolument pas nécessaires à la réparation d'un PC, et elles devraient être chiffrées bien avant de se rentre compte que mince, l'ordi ne s'allume plus.
Le « bon » côté des choses, c'est qu'un pédophile s'est fait arrêté de la sorte, quand mon chef découvrir des trucs pas super sympa.
Mais sur plusieurs centaines de PC, c'est le seul. C'est bien qu'il se soit fait arrêté, mais je ne pense pas que ça ait valu la vie privée d'autant de personnes.
[^] # Re: Intervention police...
Posté par Psychofox (Mastodon) . Évalué à 4.
Je n'ai pas dit que j'étais contre le chiffrement. Je suis contre le fait de vouloir refuser à la justice de donner un moyen de déchiffrer tes données.
Le contexte de cette discussion, c'est la perquisition.
[^] # Re: Intervention police...
Posté par briaeros007 . Évalué à 2.
c'est presque vrai.
Il n'y a pas que des experts agréé auprès des tribunaux qui font des "perquisitions numériques". Il y a des services gouvernementaux qui le font aussi.
Et en france, tu as aussi des lois qui indique que si un fonctionnaire à connaissance d'un délit ou d'un crime (par exemple en recherchant des images pédophiles, le fonctionnaire en question trouve la super production hollywoodienne), alors il a l'obligation de l'indiquer au procureur.
[^] # Re: Intervention police...
Posté par Professeur Méphisto . Évalué à 3.
est-ce vraiment limité aux seuls fonctionnaires ?
[^] # Re: Intervention police...
Posté par flan (site web personnel) . Évalué à 2.
Ah ? Je ne me souviens pas qu'on m'ait demandé mes clefs de chiffrement.
[^] # Re: Intervention police...
Posté par khivapia . Évalué à 2.
que fais-tu d'illégal (ou simplement d'immoral) dans tes toilettes pour en fermer systématiquement la porte ?
À ce sujet, il me semble qu'en prison il n'y a pas de portes aux toilettes de la cellule, et si la porte de la cellule est effectivement fermée, un judas permet à tout moment à un gardien d'y regarder ce qu'y fait le détenu.
Comm on ne peut pas imaginer qu'un détenu fasse quelque chose d'illégal, il est raisonnable de penser que ce n'est pas normal de fermer la porte quand on va aux toilettes.
----> []
[^] # Re: Intervention police...
Posté par Zylabon . Évalué à 2.
Quid du « Au démarage, une clef aléatoire est générée, le disque dur est formaté et chiffré avec. Si l'ordinateur est éteint, toutes les données sont perdues » ?
En l’occurrence tu peux prouver que tu es dans l'impossibilité de fournir la clef simplement en exhibant le système de boot. Et que tout espoir a été perdu au moment ou la machine a été débranchée lors de la saisie.
Please do not feed the trolls
[^] # Re: Intervention police...
Posté par khivapia . Évalué à 3.
intervention policière (…) lors du'une perquisition, il faut donner les clefs,
Les policiers ne sont pas avocats, et leur intérêt n'est pas la défense des perquisitionnés mais de trouver le maximum d'informations possibles y compris celles qui n'ont rien à voir avec la perquisition mais permettraient de trouver autre chose (histoire de ne pas avoir perdu leur temps).
Bref il y a un risque à ne pas donner les clefs, si on peut et qu'on les a (à savoir une augmentation des peines maximales encourues si on est condamné), mais c'est clair que les premiers que ça emmerdera ce sont les policiers.
# et oui
Posté par Anonyme . Évalué à 7.
tu dois etre un peu jeune ? ou la mémoire courte :)
en france c'est la FSF qui se coltine la procedure d'importation de gPGP
http://www.zdnet.fr/actualites/cryptographie-feu-vert-officiel-francais-pour-gnupg-et-openssl-2120542.htm (premier lien trouver, il y en a surement des plus recent)
en france, il y a eu une loi qui gere la mise en place de la gestion des clés, oui tu as lu en france, alors nos deputé on pondu une gestion des clé a la francaise \o/
pour resumé, si tu signe avec tes clé c'est bien, mais cela n'aura pas une grande valeur juridique, il faut donc avoir une clé fourni par un organisme agrée lequel si tu le trouve te factureras entre 3000 et 5000€ pour cela (chiffre fictif :) mais c'est pour les entreprise)
donc tu auras une jolie cl€ de chiffrement que tu pourras utiliser correctement dans un etat de droits, sous windows exclu evidement…
Amha, c'est deja pas super facile de gerer les clé sois même, alors mettre une entreprise €€€ dans le processus -> mauvaise idée.
# double usage
Posté par syl . Évalué à 9.
Les « biens à double usage » sont ceux qui peuvent être utilisés pour une utilisation civile ou une utilisation militaire.
Les moyens de cryptologie sont considérés comme biens à double usage, et même comme des armes de guerre de 2ème catégorie (d'où la restriction à l'export).
[^] # Re: double usage
Posté par Ellendhel (site web personnel) . Évalué à 3.
Ce qui est défini et géré par l'Arrangement de Wassenaar (on peut aussi consulter le site officiel). Ce sont ces règles qui limitent officiellement l’importation et l'exportation de moyens cryptographiques.
[^] # Re: double usage
Posté par rakoo (site web personnel) . Évalué à 2.
D'accord, mais dans ce cas la je prends quelle colonne dans les tableaux qu'ils donnent ?
# On chiffre comment, sinon ?
Posté par Jiehong (site web personnel) . Évalué à 10.
Depuis que Truecrypt a été forcé à s'arrêter, entre VeraCrypt dont la licence n'est pas libre, et CipherShed qui n'avance pas trop, il reste quoi comme bonne solutions pour chiffrer soit sont disque dur ou une clé USB tout en conservant la possibilité de dénie de présence de données plausible sur ces supports ?
[^] # Re: On chiffre comment, sinon ?
Posté par briaeros007 . Évalué à 2.
Pour un disque, ce qu'il a toujours existé : cryptsetup.
Bien entendu il faut que tu te souvienne de l'ensemble des paramètres de configuration pour la "plausible deniability" et que tu les rentrent à la main à chaque fois.
c'est à dire clé, algo, et offset.
Il ne faut pas passer par LUKS qui a une entête connu et détectable et remplir initialement le disque de ddonnées aléatoirirre.
Il faut aussi voir comment se prémunir du cold boot attack, et ne pas oublier que souvent les problèmes les plus simples ne sont pas traité (par exemple … la commande que l'on retrouve dans un historique/log/script quelconque sur le disque système non chiffré …)
Bref, les outils ont toujours existé, mais la mise en place d'un plausible deniability est quand même sacrément contraignantes.
Le plus simple, pour repartir sur le double conteneur de truecrypt, c'est de posséder le contenir chiffré global, avec LUKS qui va te gérer itou, et le démonter aussi sec pour remonter le conteneur réel sans jamais rien mettre en historique ni log.
[^] # Re: On chiffre comment, sinon ?
Posté par Jiehong (site web personnel) . Évalué à 2.
Il faut tout chiffrer, même le swap, même j'avoue ne pas savoir si dm-crypt fonctionne en UEFI (c'est-à-dire avec des partitions GPT).
Quant aux attaques à froid, c'est marron. Il faudrait une télécommande pour déconnecter la source d'alimentation du PC à distance, histoire de laisser la RAM augmenter son entropie rapidement avec la chaleur ambiante, mais je ne connais pas de système le faisant.
[^] # Re: On chiffre comment, sinon ?
Posté par briaeros007 . Évalué à 3.
Le top, serait surtout de conserver la clé et les clés dérivés en cache L3 et pas en RAM.
Mais je ne suis pas sur que Linux gère les clés de chiffrement comme ça.
Sinon, il reste TPM qui devrait aider.
[^] # Re: On chiffre comment, sinon ?
Posté par oinkoink_daotter . Évalué à 2.
Il n'est pas transparent vis à vis de l'os, le cache du cpu ?
Pour la confidentialité ? Bof. A l'arrêt c'est bien, oui (sachant que si tu ne fais pas attention, si la CM crame, t'es marron). En fonctionnement, comme ce n'est pas la puce qui chiffre/déchiffre, tu as le même problème que la clef en RAM (puisque c'est ce qui se produit).
[^] # Re: On chiffre comment, sinon ?
Posté par briaeros007 . Évalué à 2.
pour le L3, ca dépend ^
Certains processeurs peuvent te laisser gérer un peu le cache.
Pour TPM, tu es sur qu'il n'es pas accompagné d'un asic qui permet de chiffrer/déchiffrer ?
[^] # Re: On chiffre comment, sinon ?
Posté par oinkoink_daotter . Évalué à 2.
Oui. Un TPM c'est à peu de choses près une carte à puce, que ce soit niveau fonctionnalités ou vitesse.
Pour bitlocker par exemple, le chiffrement est complètement en soft, même avec un TPM.
[^] # Re: On chiffre comment, sinon ?
Posté par octane . Évalué à 3.
Regarde du côté de TRESOR.
https://www1.cs.fau.de/filepool/projects/tresor/tresor.pdf
"TRESOR Runs Encryption Securely Outside RAM"
[^] # Re: On chiffre comment, sinon ?
Posté par gouttegd . Évalué à 4.
Le déni plausible, franchement j’y crois moyen…
C’est peut-être efficace si on veut juste se protéger contre les forces de l’ordre dans un état de droit. Mais si votre opposant n’hésite pas à recourir à la rubber-hose cryptanalysis (cryptanalyse à la clef à molette, en français), le déni plausible non seulement ne servira probablement pas à grand’chose, mais en plus met en danger même ceux qui ne l’utilisent pas, en faisant planer sur eux une suspicion qu’ils n’ont aucune possibilité de réfuter.
[^] # Re: On chiffre comment, sinon ?
Posté par Jiehong (site web personnel) . Évalué à 3.
Sauf si tu supposes que tu ne connais pas la clé, mais que tu sais juste t'en servir.
Par exemple, la clé est une clé USB que tu as jeté dans la cheminée durant l'intervention : la clé est effectivement détruite, et même toi tu n'y peux rien.
Tu auras peut-être droit à quelques coups de clé à molette, mais ça ne mènera nulle part.
[^] # Re: On chiffre comment, sinon ?
Posté par briaeros007 . Évalué à 3.
Vous ne parlez pas de la même chose (état de droit vs mafia)
En tout état de cause, si des mafia sont capable d'user de la torture pour avoir une information, sitôt que tu ne l'as pas (parce que tu es innocent ou parce que tu l'as supprimé ou parce que tu arrives à être suffisament convaincant que tu ne l'as pas) ils te supprimeront* pour éliminer les traces.
D'un autre coté, si tu leur donne l'information, ils te supprimeront* aussi pour éliminer toute trace.
Dans tous les cas, tu es "owned".
* : ce n'est pas forcé, mais la probabilité qu'ils le fassent reste extrêmement élevé.
[^] # Re: On chiffre comment, sinon ?
Posté par Kerro . Évalué à 3.
Si l'objectif est d'éliminer les traces, ils te suppriment dans tous les cas.
[^] # Re: On chiffre comment, sinon ?
Posté par arnaudus . Évalué à 4.
Non, sans déconner, c'est juste pour jouer à se prendre pour James Bond, ou vous avez vraiment des données tellement secrètes et importantes que vous seriez capables de mettre en place un système permettant de prétendre qu'elles n'ont jamais existé pendant qu'un mafioso vous casse les genoux à la clé à molette?
[^] # Re: On chiffre comment, sinon ?
Posté par Jiehong (site web personnel) . Évalué à 3.
Il n'y a pas que des mafioso qui s'intéresseraient à des données.
Tu es journaliste, et une source te file des données que tu ne peux pas te permettre de fuiter, ou même de laisser supposer que ce disque en particulier les contient. C'est exactement le même soucis.
Après, c'est toujours utile de pouvoir faire ce genre de choses, sans qu'il ne soit besoin de devoir le faire pour tout le monde : de manière générale, un simple disque dur totalement chiffré est suffisant.
[^] # Re: On chiffre comment, sinon ?
Posté par flan (site web personnel) . Évalué à 3. Dernière modification le 30 mars 2015 à 21:24.
Bin non. Si tu as le droit de garder les choses secrètes, tu ne donnes pas la clef, et voilà tout ; pas besoin d'avoir à prétendre que les données n'existent pas. Et si c'est illégal, coopérer avec la justice me semble assez raisonnable, non ?
Chez moi, tous les disques sont chiffrés, tous mes services sont en SSL et j'ai ma propre CA, mais si la police me demande de casser ce chiffrement, je donnerai les clefs sans souci (s'ils en ont le droit, évidemment), je ne chercherai pas à discuter…
[^] # Re: On chiffre comment, sinon ?
Posté par Nicolas Boulay (site web personnel) . Évalué à 6.
Tu as la zone grise des infos des lanceurs d'alerte, des sources de journalistes, des journalistes, des activistes politiques…
L'état n'a jamais été très propre avec eux (cf l'affaire de Tarnac).
"La première sécurité est la liberté"
[^] # Re: On chiffre comment, sinon ?
Posté par arnaudus . Évalué à 0.
C'est clair que ce cas existe, mais c'est juste qu'à lire les commentaires, ça donne l'impression que tout le monde est dans ce cas, ce qui relève probablement plus de la geekerie ordinaire que d'un vrai besoin.
[^] # Re: On chiffre comment, sinon ?
Posté par Nicolas Boulay (site web personnel) . Évalué à 5.
Pour aider ses gens-là, il faut aussi une masse de personne qu'il utilise ses outils sans raison spécial. Sinon, il n'y pas assez de noeuds Tor, et envoyer un mail chiffré devient suspect.
"La première sécurité est la liberté"
[^] # Re: On chiffre comment, sinon ?
Posté par Jiehong (site web personnel) . Évalué à 3.
Ça dépend également de la situation de l'utilisateur.
Dans un monde parfait, si les lois étaient égales à faire du bien uniquement, ça serait presque superflu.
Mais dans un pays avec un gouvernement à tendance totalitaire, avec des restrictions de libertés au nom d'une cause quelle qu'elles soient, et bien il se peut vraiment que des choses illégales soient considérées comme bien, et nécessaires pour changer les choses.
C'est un peu un outil garant des libertés, qui n'est nécessaire que si elles ne sont pas ou plus garanties.
[^] # Re: On chiffre comment, sinon ?
Posté par Psychofox (Mastodon) . Évalué à 2.
Ouais mais la tu parles de cas hypothétiques où les lois ne sont pas forcément les mêmes donc ça ne sert pas à grand chose de théoriser sur ce que tu peux ou pas faire au niveau du droit français.
[^] # Re: On chiffre comment, sinon ?
Posté par Jiehong (site web personnel) . Évalué à 4.
Et la loi renseignement qui laisse aux services secrets récupérer tes données sans l'accord de la justice, juste au cas où. Il me semble que c'est en France, est pas si loin d'être pratique.
M'enfin, peut-être que les lois françaises sont déjà hyper bien et que je ne les comprends pas bien (ce qui n'est pas faux !)
[^] # Re: On chiffre comment, sinon ?
Posté par Psychofox (Mastodon) . Évalué à 3.
Oui mais là c'est encore hors-sujet.
Si les services secrets veulent tes données, soit ils te cloneront ton disque en douce pour l'analyser et éventuellement le bruteforcer en douce à la maison, soit ils te feront cracher la clé d'une manière ou d'une autre et ce ne sera pas joli ni conforme à la loi. Donc se pignoler sur le fait qu'on peut faire croire à la justice qu'on n'a pas de données chiffrées où qu'on ne sait plus les déchiffrer c'est inutile.
[^] # Re: On chiffre comment, sinon ?
Posté par Nicolas Boulay (site web personnel) . Évalué à 4.
Dans un état de droit, comme est censé être le notre, les services secrets n'ont pas le droit de faire ça. Si la justice tombe sur ce genre d'individu, ils sont censé les mettre en prison. Et cela a déjà eu lieu ( https://fr.wikipedia.org/wiki/Affaire_du_Rainbow_Warrior )
"La première sécurité est la liberté"
[^] # Re: On chiffre comment, sinon ?
Posté par briaeros007 . Évalué à 2.
Ca c'est la théorie.
Le but d'un service secret c'est de faire des opérations secrètes, ou d'essayer de se prémunir des opérations secrètes des autres pays.
Et crois le ou pas, lorsqu'ils en font, c'est rarement en toute accordance avec la législation des pays sur lequel elle se déroule.
Le but c'est de ne pas se faire prendre :P
[^] # Re: On chiffre comment, sinon ?
Posté par oinkoink_daotter . Évalué à 2.
Pas besoin, il y a suffisamment de 0 day dans tous les tiroirs de tout le monde qu'il suffit que tu sois identifié comme une cible pour te faire poutrer et exfiltrer ton stuff dès que tu te connecteras à internet.
[^] # Re: On chiffre comment, sinon ?
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
Disons que la cryptographie est le seul moyen de garantir des droit fondamentales. Et cela défrise un peu trop nos gouvernant à mon gout. On dirait que garantir le droit de communication ou de la vie privé, ne leur plait pas.
"La première sécurité est la liberté"
[^] # Re: On chiffre comment, sinon ?
Posté par arnaudus . Évalué à 4.
Je ne suis vraiment pas d'accord. C'est la constitution qui permet de garantir tes droits. La cryptographie est un outil, un outil ne permet pas de garantir de droits. C'est exactement le même raisonnement qui permet aux ricains de prétendre que le fait d'avoir un flingue chargé sur toi permet de garantir tes droits. Un flingue ou un algorithme de cryptographie, c'est un outil qui permet éventuellement de pallier des faiblesses dans les lois ou dans l'exécution des lois, mais ça ne garantit rien du tout, et surtout, ça entérine un état de fait inadmissible : j'ai besoin d'un flingue parce que l'État ne garantit pas ma sécurité, j'ai besoin de cryptographie parce que l'État ne garantit pas le respect de ma vie privée. Le bug là-dedans, là où doivent aller nos efforts, c'est sur l'amélioration du fonctionnement de l'État. Le contraire entraine droit vers la paranoïa complotiste, où tu cherches à te protéger de l'État, ce qui n'a aucun sens en démocratie. Au contraire même, si l'État fonctionne bien, l'État peut avoir des raisons légitimes d'utiliser la force ou d'intercepter des données, et la diffusion de ces différents outils de défense (armes, algorithmes, n'importe quoi) gêne le fonctionnement de la justice et de la police.
[^] # Re: On chiffre comment, sinon ?
Posté par Moonz . Évalué à 7. Dernière modification le 31 mars 2015 à 16:20.
Non. La constitution définit tes droits (par exemple vie privée). Pour les garantir, tu as des moyens publics répressifs (système judiciaire) et des moyens privés préventifs (cryptographie). Et je ne vois aucune raison de les présenter comme exclusifs l’un de l’autre : tu peux avoir un système judiciaire efficace qui punit les contrevenants ET de la cryptographie pour avoir à éviter d’en arriver à là (tout comme l’interdiction du vol, et sa condamnation par les tribunaux, ne t’empêche pas d’acheter une serrure).
[^] # Re: On chiffre comment, sinon ?
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
ça c'est la garanti juridique. Je te parle d'une garantie réelle, effective, offerte par la technique.
Bien sûr que si. Par exemple, l'EUCD a été une directive européenne de protection juridique, des mesure téchnique (les DRM), d'une protection juridique : le droit d'auteur.
Le premier des droits, c'est le droit de vivre, tout de même !
Cela a sens, car la persistance de la démocratie n'est pas garanti du tout.
Je suis d'accord que le problème de base est politique et non téchnique. La téchnique n'est qu'un palliatif. Mais le minimum pour un état est de ne jamais interdire ces techniques. La légalité des techniques passe avant la facilité de les casser. Tout ce qui est traitement de masse, et de considérer tous le monde comme suspect devrait être interdit. En gros, le fichage, la surveillance devrait être une conséquence possible d'une condamnation précédente (une peu comme la perte des droits civiques).
"La première sécurité est la liberté"
[^] # Re: On chiffre comment, sinon ?
Posté par arnaudus . Évalué à 2.
Je ne vois pas pourquoi. Des écoutes téléphoniques peuvent être demandées par un juge dans le cadre d'une enquête où tu es suspecté d'un délit, sans pour autant avoir été déja condamné.
Par ailleurs, il faut bien distinguer les rôles de la justice, dont le but est d'enquêter sur les crimes et les délits après qu'ils soient commis, et la partie du travail de la police qui permet d'empêcher les délits avant qu'ils soient commis. Si par exemple tu as peur de te faire buter, tu peux aller voir la police pour qu'elle assure (comme elle peut) ta protection, qu'elle interroge des témoins et des suspects, et ce, avant que le crime ne soit commis. Il y a des cas extrêmes où cette anticipation du crime est indispensable : pour les attentats terroristes, par exemple. Ça n'aurait aucun sens de consacrer tous les efforts à enquêter autour d'attentats suicides, dont par définition l'auteur principal ne peut faire l'objet de poursuites.
[^] # Re: On chiffre comment, sinon ?
Posté par Zylabon . Évalué à 2.
Non, le travail de la justice c'est de déterminer si une personne a ou n'a pas respecté la loi (et de déterminer sa peine). La justice pour faire son travail, a besoin de connaitre les fait, et d'avoir les responsables sous la main, pour ça, elle fait appel à la police judiciaire, qui ne bosse que sur des faits passés.
Ensuite, il y a la police tout court, qui est grosso modo la pour faire acte de présence. Et et qui peut constater des crime et délits, et présenter les responsable à la police judiciaire, qui transmet à la justice. Mais fondamentalement, ils ne sont pas très différent de citoyens ordinaires. Si tu voit un homme sur le point de violer une femme, exactement comme le ferait la police, tu as le droit de l'arrêter et de l'amener chez un officier de police judiciaire,.
Oui, parce qu'on a proférer des menaces de mort contre toi, c'est illégal.
C'est le boulot des renseignements, pas de la police. Si la police intervient c'est parce qu'au cours d'une enquête sur des les individus suspects d'un acte antérieur se sont avéré être en train de préparer autre chose.
Please do not feed the trolls
[^] # Re: On chiffre comment, sinon ?
Posté par Psychofox (Mastodon) . Évalué à 2.
Je ne sais pas ce qu'il en est en France mais la dernière fois que j'ai vu une histoire de ce genre en Suisse, la police a précisé qu'il était interdit de contraindre quelqu'un à rester sur place quelque soit son délit/crime. En gros c'était un kiosquier à qui on avait voulu braquer la caisse et qui avait immobilisé la personne. Dans les fait la police n'a rien intenté contre lui mais le voleur aurait pu l'attaquer pour entrâve à la liberté ou un truc du genre.
Donc en gros le violeur tu serais censé le chasser mais pas l'emmener au poste sous la contrainte ni le maintenir sur place.
À vérifier donc, ce qui nous parait évident ne l'est pas toujours quand plusieurs lois entre en conflit entre elles et qu'un cas particulier n'a pas été pris en compte.
[^] # Re: On chiffre comment, sinon ?
Posté par arnaudus . Évalué à 4. Dernière modification le 01 avril 2015 à 14:44.
En France, la loi est très claire : article 73 du code de procédure pénale, "Dans les cas de crime flagrant ou de délit flagrant puni d'une peine d'emprisonnement, toute personne a qualité pour en appréhender l'auteur et le conduire devant l'officier de police judiciaire le plus proche."
Donc, tu as bien le droit de retenir un voleur contre son gré, tu dois juste appeler la police immédiatement. À toi par contre de connaitre la liste des délits punis d'emprisonnement :-)
[^] # Re: On chiffre comment, sinon ?
Posté par Psychofox (Mastodon) . Évalué à 2.
La loi précise t-elle jusqu'à quel degré tu peux contraindre le voleur à ne pas quitter les lieux s'il n'est pas coopératif ? La loi le précise t-elle d'ailleurs pour les policiers eux-mêmes ?
[^] # Re: On chiffre comment, sinon ?
Posté par arnaudus . Évalué à 2.
Il me semble, au moins pour les policiers, que la loi leur impose une réponse "proportionnée", de la même manière que pour la légitime défense, par exemple. Du coup, j'imagine que c'est la même chose avec un gars pris en flagrant délit : pas question de lui mettre un coup de couteau s'il n'est pas armé. Par ailleurs, je pense qu'il est mal vu de blesser le gusse si c'est toi la victime (par exemple, si tu attrappes un cambrioleur chez toi), ça pourrait plus ressembler à une volonté de te faire justice toi-même qu'à un acte citoyen.
Tout ceci étant dit, à ma connaissance, toutes les forces de police conseillent unanimement de ne pas s'amuser à faire ça. Tu risques de te blesser, de blesser le voleur (qui, certes, est un voleur, mais qui ne mérite pas pour autant des sévices corporels), d'aggraver la situation (transformer un simple vol en agression). J'imagine que cet article sert surtout aux para-forces de l'ordre (police municipale, vigiles…) pour justifier une éventuelle action, et couvrir les particuliers dans les cas où ils ont pu capturer le sacripan (par exemple, l'enfermer dans une pièce par surprise).
[^] # Re: On chiffre comment, sinon ?
Posté par briaeros007 . Évalué à 2.
Cet article du CPC sert au quidam de bloquer un voleur à la tire et de le retenir.
La loi dit "de l'amener à l'OPJ", mais dans les fait il est plutôt conseillé d'attendre que l'OPJ vienne en appellant les forces de l'ordre.
Il ne traite pas des moyens à mettre en oeuvre, et il est fortement à conseillé de ne pas utiliser la force et d'appeler la police plutot que de se mettre en risque.
Ensuite si tu es conscient des limites, ou inconscient et pret a mourir pour 50 euros dans un portefeuille volé ou un ipod assuré, tu as uniquement le droit de l'arrêter.
Tu n'a pas le droit de blesser pour l'arrêter!
De même, une course poursuite qui entraine le fait qu'il soit blessé/tué (par un accident de la route par exemple); tu peux etre sur que tu auras des emmerdes, et même si tu sera peut être acquitté (je ne suis pas juge, avocat, fdo ou vigile, donc je ne me prononcerais pas )
Le cas où tu peux blesser quelqu'un , c'est la légitime défense.
Elle existe pour arrêter l'execution d'un crime ou d'un délit , et
- la réponse doit être proportionné à la gravité de la menace.
(Attention : la menace varie suivant le contexte. un homme qui vous menace d'un couté suite une effraction de nuit, dans votre domicile vous permet beaucoup plus de chose que la même personne avec le même couteau en pleine rue ou tu peux fuir).
- l'homicide volontaire n'est permis que pour la protection d'une personne, jamais pour la protection des biens
- l'action doit etre volontaire (quelqu'un est chez toi de nuit, par effraction, et te menace d'une arme et tu le tue à l'aide d'un coup de fusil : tu invoques la légitime défense : tu es acquitté. Tu invoque l'accident : tu voulais lui faire peur et tu l'a tué par accident : tu récolte 1 an de prison ferme.)
- elle doit etre effectué uniquement pour arrêter l'execution, et ne pas avoir le choix. Exit donc les coups par dérrière , la fuite puis revenir juste après avec un truc etc…
Si tu as réussi à fuire (donc plus en risque) => appel à la police, pas de "justice soi même".
Petite "astuce" : si vous êtes dans une situation de légitime défense ou vous voulez vous défendre et l'homicide volontaire est une solution (donc une situation déjà très très chaude) : ne pas se la jouer "grand seigneur" " je vais juste le blesser à la main pour l'arrêter".
1°) un mort ne porte pas plainte. Le blessé, même si c'est un tortureur de veille dame qui sévit dans la région et qui a tué votre femme sous vos yeux, portera plainte contre vous pour coups et blessures.
2°) il n'aura aucune humanité et si il peut il vous tuera. Le combat "fair play" c'est dans les films, pas dans la vie.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.