Surveillance des communications: dans le libre on s'en fout ..

Vu · Le 09/09/2013, à 16:07

Bonjour,

Ok le titre est provocateur mais je viens de regarder les bugtrackers autour d'OTR et autres techniques de chiffrement (à ne pas confondre avec le cryptage).
Petit rappel pour ceux qui étaient en vacances, la NSA essayer de tous savoir sur tout le monde dès que vous touchez à un truc informatique.

Je vous invite à lire cette article pour savoir comment limiter les dégâts en espérant que nos politiques fassent preuves d'un plus que de l'indignation...
Pour le chiffrement de bout en bout il existe OTR et GPG. Ce dernier peux être utiliser avec Thunderbird. Pour la messagerie instantané il existe OTR. Pour les appels audio vidéo c'est ZRTP (pour ce dernier pas sur que l'on puisse parler de chiffrement de bout en bout).

Et si on regarde les implémentations de ces techniques de sécurité dans les outils proposés par défaut, on s'aperçoit qu'Ubuntu en est fort dépourvu et que la demande des utilisateurs ne date pas de l'affaire SNOWDEN:
Empathy needs to support OTR encryption (2008) qui dépendant de Bug 16891 - (OTR) Telepathy should support OTR encryption
Please include support for RFC6189 (ZRTP) (2011)

Résultat, il manque quelques logiciels installés par défaut dans les distributions dans cette liste: http://cyphercat.eu/logiciels.php (Kopete de KDE est l'exception). Ce qui tend à prouver que la confidentialité des échanges n'est pas une priorité dans les logiciels libres. Ce n'est pas le but premier des logiciels libres. Mais on pouvait penser que comme beaucoup d'utilisateurs y sont attachés cela se refléteraient dans les logiciels et les distributions.

Résultat pour la messagerie instantanée, les appels audio/vidéo utilisez plutôt Jitsi qui va arriver dans Debian: http://packages.qa.debian.org/j/jitsi/n … 0009Z.html (peut-être dans Ubuntu 13.10 ??) ou WebRTC qui est dans Firefox et Chromium/Chrome

J5012 · Le 09/09/2013, à 19:00

pour l'integration de telle fonctionalite ou autre, c'est toujours le meme probleme : y-a-t-il des volontaires ? non, bon c donc pas urgentissime ...

ssdg · Le 09/09/2013, à 19:40

Sans dec, je ne comprends toujours pas pourquoi avoir remplacé pidgin par telepathy. (parceque pidgin, lui, avait un plugin OTR)

J5012 · Le 09/09/2013, à 20:01

pour cause d'integration , c'est toujours ceux(celles) qui votent le plus fort, donc faut etre present ... et puis faut argumenter techno parlant , pas juste dire : et pkoi pas pidgin ?

ssdg · Le 09/09/2013, à 21:21

Parceque pidgin faisait très bien le boulot et qu'il protège la vie privée. m'enfin bon, moi ce que j'en dis...

Vu · Le 09/09/2013, à 22:48

Pidgin est en fin de vie. Cela va faire 2 ans qu'ils n'ont pas sorti de version majeur. Windows n'a pas un embryon de prise en charge de la voie et de l'audio. Actuellement il ne font que la maintenance de sécurité.

Haleth · Le 10/09/2013, à 08:47

Ouais c'est un projet mature, qui atteint la perfection

Nasman · Le 10/09/2013, à 09:01

Je pense qu'il ne faut pas trop se leurrer : la nsa a les moyens pour déchiffrer la quasi totalité des échanges chiffrés avec les techniques courantes. Si on veut s'en affranchir, l'utilisation de techniques de surchiffrement plus exotiques est conseillé.
Si les moyens informatiques de la nsa sont très importants et permettrent l'usage de la force brute, je pense que les moyens humains sont plus limités et que le défaut de cette machine résidera dans la reconnaissance du "chiffre" utilisé.

Nota : il existe des modes de chiffrement incassables (technique du masque jetable par exemple) mais qui sont peu adaptés aux échanges électroniques dans le sens où il faut échanger les clés de manière totalement sécurisée au préalable.

ssdg · Le 10/09/2013, à 13:25

Pour la capacité à craquer, il semblerait que ce soit surtout du à des portes dérobées dans un ensemble de logiciels, par exemple au niveau de la génération des clefs. Du coup, ça réduit quand même la portée du truc. (surtout qu'on peut vérifier les sources et se compiler sa propre lib.)

Edit: Ah, ouais, si pidgin est en train de dépérire, c'est un bon argument.

Dernière modification par ssdg (Le 10/09/2013, à 13:25)

Smon · Le 10/09/2013, à 15:59

Haleth a écrit :

Ouais c'est un projet mature, qui atteint la perfection

Vu · Le 10/09/2013, à 21:27

Haleth a écrit :

Ouais c'est un projet mature, qui atteint la perfection

Dans le texte peut-être mais au niveau de la vidéo et de l'audio, les windowsiens attendent toujours ..

Haleth · Le 10/09/2013, à 21:28

Les windo-quoi ? J'vois pas de quoi tu parles.

Sinon, pour arrêter l'afflux de baratin, je n'ai jamais utilisé pidgin
Je souligne juste le fait que l'absence de mise à jour de contenu d'un soft est loin d'être une raison suffisante quant à l'abandon dudit soft.

Vu · Le 10/09/2013, à 21:33

Quand on propose une fonctionnalité majeure (conservation audio et vidéo) pour un OS (Linux) sans le proposer à un autre (windows) moi je dis que le travail n'est pas fini. Et depuis 2 ans n'a pas progresser, bref c'est en fin de vie.

kiino55 · Le 11/09/2013, à 15:29

En effet mais pour revenir au sujet les déclaration sur l'affaire NSA sont récente le libre va certainement réagir mais n'oublions pas un soft ne se développe pas en 1 nuit, pour faire avancer les chose il serait plus intéressant de fais l'inventaire de ce qui est possible avec nos outils actuelle,

- Auto hébergement,
- Chiffrement dans le cloud (encfs),
- Chiffrement des e mail,
- Navigateur non participatif (Firefox),
- Tuto sur comment utiliser les clef GPG (pour les nouveau venu dans le monde de GNU/Linux).

Je trouve que juste dire tel programme n'avance pas n'est pas productif pourquoi dire qui ne fait pas sont boulot quand on peut dire qui fait son boulot et expliqué clairement au nouveau venu ce qu'ils doivent faire.

Récemment je me suis poser une question dont personne n'a la réponse, comment se sécuriser quand tous nos contact se foute de la surveillance, celui qui trouve la réponse a ça aura définitivement le moyen de protection efficace.

Au lieu de se quereller pour savoir qui a la plus grosse .... encryptions autant se quereller sur les moyens de se protégé et réellement faire avancé le débat "Surveillance des communications".

Encore aujourd'hui j'ai tenter de convertir des personnes au Thunderbird et Clef GPG la seul réponse que j'ai eu de ma propre famille c'est " tu m’emmerde avec ta NSA".

Le libre ne s'en fous pas, c'est les utilisateurs qui s'en foute, il faut avant tous penser a soit et au lieu de dire machin supporte pas bidule c'est naze il faut changer la manière de penser des gens et de leur argument tous près "il se fiche de toi" (NSA) ou "je n'ai rien a caché" (ce qui est un gros mensonge on a tous quelque chose a caché).

Donc au lieu de lancé un Topic inutile, je pense qu'il serait 20 fois plus interessant de lancé la question suivante "Comment se protéger malgré les contacts qui se fiche de leur sécurité ?" ceci serait un débat 50 fois plus intéressant que "Bidule n'est pas a jour" ou "machin a pas d'otr".

Dernière modification par kiino55 (Le 11/09/2013, à 16:09)

J5012 · Le 11/09/2013, à 19:53

en effet le truc important dont il faut prendre conscience :

ce n'est pas le fait qu'on n'a rien a cacher, c'est que l'autre partie qui espionne ne suit pas les regles, aucune regles ; elle utilisera tout avantage pour plier et presser dans le sens qui l'arrange, et ce que nous n'avons rien a cacher sera sans nul doute utilise contre nous ...

dans le besoin de tout un chacun a la vie (etc) , il est logique de fournir le moins de "munitions possibles" et donc d'avoir des "secrets" ... meme s'ils n'en sont pas a notre niveau.

dragao13 · Le 11/09/2013, à 21:13

Vu a écrit :

Pidgin est en fin de vie. Cela va faire 2 ans qu'ils n'ont pas sorti de version majeur. Windows n'a pas un embryon de prise en charge de la voie et de l'audio. Actuellement il ne font que la maintenance de sécurité.

Désolé si je dis une connerie n'étant pas un expert du monde libre mais la majorité du travail sur libpurple n'est elle pas faite par l'équipe de Pidgin ?

Et on retrouve libpurple dans Adium, Empathy et d'autres ... Pour un projet en fin de vie ... il est pas mal en forme non ?

Et le fait qu'il ne soit pas opérationnel sous windows ne définit rien quant à son évolution, Adium n'est disponible que sous Os X mais il n'y a pas mieux sous l'OS à la pomme et combien de logiciels sous windows ne sont pas portés sur d'autres OS ?

Je comprends pas bien tes arguments ... on s'en fout de windows ... le libre n'a pas à se plier à la nécessité de se porter sous windows ... au contraire même, ils ont plutôt intérêt à sortir les meilleurs produits possible sous linux et androïd que le grand public adoptera en faisant la nique à windows ...

Dernière modification par dragao13 (Le 11/09/2013, à 21:17)

seb24 · Le 11/09/2013, à 22:16

Bah en même temps Pidgin c'est qu'un exemple... Empathy c'est pareil le projet n'évolue plus. Le plus ironique, c'est que lorsque qu'Empathy est arrivé il a remplacé Pidgin dans pas mal de distributions, il promettaient plein de choses super bien et au final ça à un peu tué Pidgin dans son élan et Empathy n'a rien donné d’intéressant.

Vu · Le 11/09/2013, à 22:16

Si j'ai bien compris, Libpurple est la bibliothèque qui permet à PIdgin de faire des échanges textes et elle même dans Thunderbird je crois. Mais elle ne gère pas les flux audio et vidéos.

Dire d'un logiciel qui doit permettre de communiquer que l'on veux pas d'un OS qui fait une bonne part du marché c'est être sectaire .. Pourquoi penses-tu que Skype est sous Linux ?? Pour occuper le terrain et profité de l'effet réseau (et au pour permettre à MS de passer du logiciel au service).

@ kiino55: le problème du chiffrement et que les personnes pensent que comme seules une minorité comprend l'informatique, elles sont protégées. Personnellement l'affaire SNOWDEN m'a mis une bonne claque sur la portée des métadata.

Haleth · Le 11/09/2013, à 22:32

Dire d'un logiciel qui doit permettre de communiquer que l'on veux pas d'un OS qui fait une bonne part du marché c'est être sectaire ..

Les masochistes peuvent faire le boulot eux même .. si personne le fait, c'est normal que le truc ne soit pas présent, non ?

Pourquoi penses-tu que Skype est sous Linux ?? Pour occuper le terrain et profité de l'effet réseau (et au pour permettre à MS de passer du logiciel au service).

Parcque la version Linux existe depuis avant que m$ achete la boite ?
D'ailleurs, ladite version n'évolue pas beaucoup, si j'en crois les rumeurs ..

Vu · Le 12/09/2013, à 07:36

Haleth a écrit :

Les masochistes peuvent faire le boulot eux même .. si personne le fait, c'est normal que le truc ne soit pas présent, non ?

Tu te rends que beaucoup de personnes sont sur windows par ignorance et tu les laisse dans la merde pour ça ??

Haleth a écrit :

Parce que la version Linux existe depuis avant que m$ achète la boite ?
D'ailleurs, ladite version n'évolue pas beaucoup, si j'en crois les rumeurs ..

Elle surtout beaucoup stagné sous le règne de Skype. Les Maceux et windowsiens qui communiquait avec des linuxien voyait un message indiquant que leur interlocuteur utilisait une version obsolète et qu'il fallait lui demandé de changer. Quand MS a racheté Skype dans les 6 mois - 1 an une nouvelle version est sorti.

seb24 · Le 12/09/2013, à 08:15

Tu te rends que beaucoup de personnes sont sur windows par ignorance et tu les laisse dans la merde pour ça ??

C'est même pas ça. Y'a des gens qui utilisent Windows et d'autres Mac, c'est leur droit et leur choix, certains ici ne comprennent pas que tout le monde ne partage pas les même choix que nous.
Bref si on veut une application pour faire communiquer les gens il faut qu'elle soit le plus multi-plateforme possible. Même les grosses boites l'on compris et aujourd'hui toucher le plus de plateforme est devenu un argument de promotion pour une application. Mais comme trop souvent dans le libre la seul remarque intelligente c'est d'aller dénigrer celui d'en face (bouh windows caca, utilisateur masochiste, Windows, etc.) plutôt que d'essayer de comprendre...

Résultat : Skype fonctionne à merveille.

Dernière modification par seb24 (Le 12/09/2013, à 08:15)

Foromus · Le 12/09/2013, à 08:26

Bonjour,

Cette conversation me fait réagir, tant des arguments pertinents sont avancés.
La sacro-sainte formule "je n'ai rien à cacher" me révolte carrément. Je n'éprouve pas le besoin de montrer mes parties mêmes honnêtes de ma personne, je ne suis pas exhibitionniste !
J'ai retenu plusieurs choses dans ce que je viens de lire, par exemple, un bon tuto sur l'utilisation de PGP dans Thunderbird. D'aucuns me diront que des tutos existent, effectivement, j'en ai lu quelques-uns, il n'empêche, je n'ai jamais été capable d'envoyer un message crypté (ou chiffré, je ne fais pas trop la différence). Après, pour les Pidgin ou autre Empathy, je n'en ai aucun besoin, je n'ai donc pas approfondi. Par le passé, j'ai utilisé Shype un moment, mais je pense que je devais encore être sous Win.
Néanmoins, la sécurité informatique et la protection de sa vie privée sont des impératifs qu'il faut étudier avec soin, et y réfléchir très sérieusement. Certains disent que tout cryptage peut être cassé : c'est probablement vrai. Maintenant, imaginons des milliards de fichiers chiffrés et qui devraient être cassés, simplement parce qu'ils sont chiffrés, cela conduirait, non seulement à utiliser des machines super-puissantes (qui existent), mais aussi à un temps passé absolument démesuré, car il faudra quand même un humain au final pour en appréhender la teneur. Je ne crois pas que la NSA ou autre s'amuse systématiquement à casser tout ce qui est chiffré, ou à écouter toute les conversations téléphoniques, ce serait une activité vraiment trop dantesque, même si la logique des états n'est pas spécialement raisonnable... A mon sens, et comme pour les impôts, cela relève, d'abord, d'un prélèvement aléatoire - malheur sur qui ça tombe - ensuite, il y a des personnes qui sont vite repérées, à tort ou à raison, et sur qui on va se pencher.
Suite à ce raisonnement, je me dis que la première des choses c'est d'abord d'être prudent. Par exemple, ici, même si j'écris sous un pseudo, il est très facile de retrouver mon identité réelle, en conséquence, et si j'avais des informations importantes à exposer, je ne le ferais pas ici, beaucoup ne se rendent pas compte des informations personnelles qu'ils balancent dans les forums, qui montrent, dans leurs quête d'aide, un nombre très important de leur façon de vivre, d'utiliser l'informatique, du matériel dont il disposent et autres renseignements à première vue anodins. Il faut bien se rendre compte que tout ça mis bout à bout donne déjà une image assez précise du scripteur. Et pour reprendre une réflexion ci-dessus, dès que vous parlez de sécurité à un proche, vous vous faites régulièrement envoyer sur les roses, ils ne sont pas concernés. Maintes personnes m'ont dit qu'elles pensaient que leurs mails étaient parfaitement secrets et n'imaginaient pas un seul instant que d'autres que le destinataire pouvaient en prendre connaissance. Il m'a suffi que je les assure du contraire pour me voir gratifié d'un regard plus que désapprobateur...
Ma conclusion sera simple : prudence....
Un jour j'ai lu, à propos de la sécurité et des difficultés, la phrase suivante :
"Bien souvent, le problème se trouve entre le siège et le clavier"....

Nasman · Le 12/09/2013, à 08:43

Foromus a écrit :

je n'ai jamais été capable d'envoyer un message crypté (ou chiffré, je ne fais pas trop la différence).

Chiffrement : rendre illisible un texte au moyen d'une clé de chiffrement

Déchiffrement : opération consistant à rendre lisible un texte chiffré au moyen d'une clé (ce peut être la clé ayant servi au chiffrement dans le cas de chiffrement symétrique)

Décrypter : opération consistant à retrouver le texte en clair à partir du texte chiffré sans disposer de la clé. C'est une opération bien plus dure que pour le déchiffrement.

Nota: Je pense que la NSA a les moyens pour décrypter ("casser" le code) mais a aussi les moyens de récupérer les clés de chiffrement via les failles de logiciels et collaboration de Google, Apple, Microsoft & Co...
Idem en ce qui concerne les organismes de "certification".

kiino55 · Le 12/09/2013, à 14:48

Nasman a écrit :

Nota: Je pense que la NSA a les moyens pour décrypter ("casser" le code) mais a aussi les moyens de récupérer les clés de chiffrement via les failles de logiciels et collaboration de Google, Apple, Microsoft & Co...
Idem en ce qui concerne les organismes de "certification".

Oui mais cela m’étonnerais grandement que le libre collabore
et puis si tous le monde chiffrais il leur faudrait des million de machine pour craqué tous les codes, sans ajouter les petits malin (donc je fais partie) qui passe leur temps a ajouter des faux fichier dans mon cloud avec un chiffrement différent par dossier en toute transparence grâce a gestionnaire gnome encfs et différents outils qui permette au propriétaire d'accédé au fichier facilement car s'auto mount au démarrage, si tous faisait pareille la nsa abandonnerais vite car beaucoup trop compliqué a exploser

Évidement je parle d'espionnage de masse car si il venais a me visé moi personnellement mes chiffrement serait vite mort

@Vu : en effet mais on ne sais rien faire pour les meta data, ce n'est pas une raison pour leur laisser accès a tous, pour ca va au centre de la nsa et donne leur directement tes codes alors (je troll hein ^^) non mais j'entend beaucoup de de toute facon on les arretera pas etc ... et c'est en laissant passer que devine "bah la politique ne dit rien" si tous le monde se révoltais comme de par hasard notre cher hollandouille (hollande) ferais quelque chose (ou pas étant le caniche de obama) enfin sa bougerais la en ce moment personne dit rien alors on nous matraque avec la sirie et mission réussi personne ne parle plus de la nsa et snowden la pillule est avalée, et on pigeonner la pluspars des gens

Dernière modification par kiino55 (Le 12/09/2013, à 15:08)

Haleth · Le 12/09/2013, à 15:31

Évidement je parle d'espionnage de masse car si il venais a me visé moi personnellement mes chiffrement serait vite mort smile

Ne sous-estime pas le pouvoir de protection d'AES

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 09/09/2013, à 16:07

Surveillance des communications: dans le libre on s'en fout ..

#2 Le 09/09/2013, à 19:00

Re : Surveillance des communications: dans le libre on s'en fout ..

#3 Le 09/09/2013, à 19:40

Re : Surveillance des communications: dans le libre on s'en fout ..

#4 Le 09/09/2013, à 20:01

Re : Surveillance des communications: dans le libre on s'en fout ..

#5 Le 09/09/2013, à 21:21

Re : Surveillance des communications: dans le libre on s'en fout ..

#6 Le 09/09/2013, à 22:48

Re : Surveillance des communications: dans le libre on s'en fout ..

#7 Le 10/09/2013, à 08:47

Re : Surveillance des communications: dans le libre on s'en fout ..

#8 Le 10/09/2013, à 09:01

Re : Surveillance des communications: dans le libre on s'en fout ..

#9 Le 10/09/2013, à 13:25

Re : Surveillance des communications: dans le libre on s'en fout ..

#10 Le 10/09/2013, à 15:59

Re : Surveillance des communications: dans le libre on s'en fout ..

#11 Le 10/09/2013, à 21:27

Re : Surveillance des communications: dans le libre on s'en fout ..

#12 Le 10/09/2013, à 21:28

Re : Surveillance des communications: dans le libre on s'en fout ..

#13 Le 10/09/2013, à 21:33

Re : Surveillance des communications: dans le libre on s'en fout ..

#14 Le 11/09/2013, à 15:29

Re : Surveillance des communications: dans le libre on s'en fout ..

#15 Le 11/09/2013, à 19:53

Re : Surveillance des communications: dans le libre on s'en fout ..

#16 Le 11/09/2013, à 21:13

Re : Surveillance des communications: dans le libre on s'en fout ..

#17 Le 11/09/2013, à 22:16

Re : Surveillance des communications: dans le libre on s'en fout ..

#18 Le 11/09/2013, à 22:16

Re : Surveillance des communications: dans le libre on s'en fout ..

#19 Le 11/09/2013, à 22:32

Re : Surveillance des communications: dans le libre on s'en fout ..

#20 Le 12/09/2013, à 07:36

Re : Surveillance des communications: dans le libre on s'en fout ..

#21 Le 12/09/2013, à 08:15

Re : Surveillance des communications: dans le libre on s'en fout ..

#22 Le 12/09/2013, à 08:26

Re : Surveillance des communications: dans le libre on s'en fout ..

#23 Le 12/09/2013, à 08:43

Re : Surveillance des communications: dans le libre on s'en fout ..

#24 Le 12/09/2013, à 14:48

Re : Surveillance des communications: dans le libre on s'en fout ..

#25 Le 12/09/2013, à 15:31

Re : Surveillance des communications: dans le libre on s'en fout ..

Pied de page des forums