fsebugoutzone.org:9999

       Post AsFZAxvk4XzMHemK3M by breizh@pleroma.breizh.pm
 (DIR) More posts by breizh@pleroma.breizh.pm
 (DIR) Post #AsFZAsetfkXjvxrIbQ by defakator@mastodon.top
       2025-03-20T11:01:57Z
       
       0 likes, 0 repeats
       
       Dans le cadre de la loi NarcoTrafic, Article 8 ter, Bruno Retailleau veut que les services de communications chiffrées (Signal, Whatsapp…) donnent aux forces de l’ordre un accès aux conversations. À ceux qui objectent que c&#39;est la fin du chiffrement, il déploie ici un argumentaire fallacieux. [1/5]
       
 (DIR) Post #AsFZAtsl7hE3jFLsqe by defakator@mastodon.top
       2025-03-20T11:02:34Z
       
       0 likes, 0 repeats
       
       Le principe de la techno du chiffrement de bout-en-bout (end-to-end encryption, E2EE) est précisément de résister à toute tentative de falsification : la clé de déchiffrement n’est accessible qu’aux personnes incluses dans la conversation. Les messages chiffrés sont indéchiffrables par un tiers. [2/5]
       
 (DIR) Post #AsFZAuiW1GcsJlZDWK by defakator@mastodon.top
       2025-03-20T11:03:53Z
       
       0 likes, 0 repeats
       
       Ce que propose l&#39;article, c’est d’introduire un tiers dans la conversation, sans que les participants en soient notifiés, et à qui le logiciel donnerait aussi les clés. Cela revient à créer une porte dérobée (« backdoor »). Le Ministre rejette le terme pour tenter de contourner cette objection.[3/5]
       
 (DIR) Post #AsFZAvKRkEy2DPJVdw by defakator@mastodon.top
       2025-03-20T11:04:37Z
       
       0 likes, 0 repeats
       
       Cela correspond à ce que l’Internet Society appelle la proposition du fantôme. Elle crée une vulnérabilité dans le E2EE, potentiellement exploitable par un tiers malveillant, ou un usage autoritaire, et remet en question le principe même du chiffrement. [4/5]https://www.internetsociety.org/fr/resources/doc/2020/la-proposition-du-fantome/
       
 (DIR) Post #AsFZAvoZwD4PirPZbs by defakator@mastodon.top
       2025-03-20T11:04:48Z
       
       0 likes, 0 repeats
       
       Ici la présentation joue juste sur les mots : l&#39;appeler frontdoor et pas backdoor, ou répéter qu’il n’y a pas de faille n’invalide en rien le fait que cela introduit une vulnérabilité systémique et qu&#39;il n’y a plus dès lors aucune garantie de confidentialité. [5/5] https://www.lemonde.fr/pixels/article/2025/03/04/casser-le-chiffrement-de-whatsapp-ou-signal-un-serpent-de-mer-politique-dangereux_6195665_4408997.html
       
 (DIR) Post #AsFZAwU3S0FNnUohG4 by breizh@pleroma.breizh.pm
       2025-03-20T14:14:12.324999Z
       
       0 likes, 0 repeats
       
       @defakator Ça me fait chier de faire l’avocat du diable, mais je suis pas d’accord : ce qu’il propose, c’est du côté de l’expéditeur, de chiffrer non seulement avec la clef du destinataire, mais aussi la clef des autorités. Ce qui est faisable et ne casserais pas particulièrement la sécurité. En fait, si c’est bien fait, le fournisseur et les tiers n’auraient pas plus accès aux données, seulement les autorités, tant qu’elles ne font pas fuiter leur clef privée¹ (et ne la transmettent donc pas aux sociétés, seulement la publique).Quant à comment injecter la clef publique des autorités, ça peut être fait au niveau de l’application utilisateur, tout simplement (et donc facile à remarquer par un audit, de l’ingénierie inverse, ou simplement en lisant le code si c’est libre).Techniquement, ça peut être fait proprement. Je n’en veux pas pour autant, et ça reste un problème, mais ça peut être fait sans créer de faille à proprement parler (un tiers malveillant aurait du mal à insérer sa propre clef publique dans le système, ou à récupérer la clef privées des autorités¹).¹ : par contre si ça arrive, ça serait assez catastrophique…
       
 (DIR) Post #AsFZAxFCchxe9isLkO by yanncphoto@piaille.fr
       2025-03-20T14:18:39Z
       
       0 likes, 0 repeats
       
       @breizh @defakator La dernière ligne détruit en fait presque tout le reste : la clé &quot;autorités&quot; qui fuite est une immense backdoor potentielle
       
 (DIR) Post #AsFZAxvk4XzMHemK3M by breizh@pleroma.breizh.pm
       2025-03-20T14:21:19.563356Z
       
       0 likes, 0 repeats
       
       @yanncphoto @defakator Faut voir comment c’est géré. Mais du coup c’est pas une faille dans le protocole, quoi. C’est du chiffrement normal, juste que tu chiffres pour un destinataire de plus.Après j’ai pas suivi s’ils veulent le mettre partout (c’est à dire systématiquement tout fournir), ou juste dire « tout ce que dit cette personne sous surveillance doit pouvoir être lu par les autorités, ajoutez notre clef dans ses échanges ».Dans le second cas, tu changes régulièrement la clef et utilise une clef par personne, ça limite les risques de fuite.
       
 (DIR) Post #AsFZAyl8zR6ar4pNAm by zgou@diaspodon.fr
       2025-03-20T14:35:13Z
       
       0 likes, 0 repeats
       
       @breizh @defakator @yanncphoto Sauf que vérifier l&#39;identité d&#39;un destinataire est un des challenges principaux des systèmes E2EE ?Là, il y a un ajout sans vérification et sans information d&#39;un certificat. C&#39;est bien une faille qui est introduite. On ne peut pas certifier que seul &quot;les gentils&quot; puissent s&#39;ajouter dans une conv.
       
 (DIR) Post #AsFZAzkpI6RfwNgdJg by zgou@diaspodon.fr
       2025-03-20T14:37:57Z
       
       0 likes, 0 repeats
       
       @breizh @defakator @yanncphoto Surtout que cette solution est très facile à contourner avec une appli open source (comme Signal), et permet facilement de savoir si on est sous écoutehttps://diaspodon.fr/@zgou/114195191404428565
       
 (DIR) Post #AsFZB0t158ahS4Wgim by breizh@pleroma.breizh.pm
       2025-03-20T14:45:41.800582Z
       
       1 likes, 0 repeats
       
       @zgou @defakator @yanncphoto Tout à fait, mais Signal apprécie pas les applis tierces. En fait la politique de Signal sur les applis compatibles et les forks fait qu’il est particulièrement facile de mettre en place une telle fonctionnalité sur leur système…Mais oui, quelqu’un d’un peu compétent pourrait contourner (ou au moins être au courant). Mais combien de personnes visées par les autorités s’emmerdent à faire attention à ce genre de chose ?En pratique ceux qui pourraient éviter ce genre de chose font déjà le nécessaire et ne sont déjà pas concernés. Ce n’est pas eux qui sont visés.Après, là on discute que de la technique, le fait que ce soit techniquement faisable ne veut pas dire que ce soit politiquement souhaitable.Mais je déteste quand on lutte contre une décision politique avec des approximations techniques ou des mensonges, parce qu’il suffit à l’adversaire de prouver qu’on a tort pour qu’il marque des points…
       
 (DIR) Post #AsFZB7WwNc5k3dFeme by breizh@pleroma.breizh.pm
       2025-03-20T14:25:50.132358Z
       
       0 likes, 0 repeats
       
       @yanncphoto @defakator Mais dans tous les cas c’est pas du MITM ni une faille dans le chiffrement. Ça reste inaccessible pour un tiers qui ne pourra pas utiliser une backdoor pour casser le chiffrement, il lui faudra nécessairement une clef de déchiffrement. En ça c’est assez différent de ce qui a pu être proposé par le passé, et ça ne correspond pas au schéma présenté au début de ce fil.
       
 (DIR) Post #AsFZB8Vuiurf6jmLp2 by breizh@pleroma.breizh.pm
       2025-03-20T14:48:44.200225Z
       
       0 likes, 0 repeats
       
       @zgou @defakator @yanncphoto D’ailleurs le post que tu rappelles est plus juste techniquement : il s’agit effectivement d’ajouter des bouts (un destinataire en plus). Ce qui pose problème, mais pas du tout les même que de briser le chiffrement au milieu.
       
 (DIR) Post #AsFZLfZMg6csWXPpMO by breizh@pleroma.breizh.pm
       2025-03-20T15:11:07.421767Z
       
       1 likes, 0 repeats
       
       @capslock @defakator Je pense qu’il est question d’infiltrer le téléphone justement. Ce qui est facile à faire avec les applis mobiles et les app store… (et facile à contourner aussi, pour une personne compétente, mais ce ne sont pas celles visées).