Gemalto cambriolé par la NSA et le GCHQ, des millions de cartes SIM en danger

Gemalto cambriolé par la NSA et le GCHQ, des millions de cartes SIM en danger

Sim fast

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

20/02/2015 8 minutes
113

Gemalto cambriolé par la NSA et le GCHQ, des millions de cartes SIM en danger

Selon des documents dérobés par Edward Snowden et révélés par The Intercept, le constructeur Gemalto a été attaqué conjointement par la NSA et le GCHQ. Les deux agences de renseignement ont ainsi pu dérober des millions de clés servant au chiffrement des communications mobiles. Cette information pourrait d’ailleurs constituer le chaînon manquant dans les interrogations liées à l’obtention des données par les programmes de surveillance.

L’union anglo-américaine pour pirater les cartes SIM

Comment la NSA, le GCHQ (son équivalent anglais) et les autres agences de renseignement dans le monde peuvent obtenir si « aisément » des communications émises par les smartphones ? L’espionnage direct du téléphone de chancelière Angela Merkel par les États-Unis avait fait scandale en Allemagne, posant la question de savoir comment la NSA pouvait parvenir à ce résultat si efficacement. Si l’on en croit les nouvelles informations publiées par The Intercept sur la base des documents dérobés à la NSA par Edward Snowden, la réponse pourrait résider en partie dans un véritable braquage orchestré contre Gemalto.

Cette grande entreprise, basée aux Pays-Bas, est l’un des leaders mondiaux dans le domaine des puces électroniques d’identification, de télécommunications et de sécurité. Gemalto écoule ainsi environ deux milliards de cartes SIM par an et fournit une grande partie des opérateurs de téléphonie dans le monde. Or, les documents montrent que la NSA et le GCHQ ont uni leurs forces pour former une équipe spéciale, nommée MHET (pour Mobile Handset Exploitation Team), qui est parvenue à s’infiltrer dans le réseau de Gemalto en avril 2010.

Surveiller les employés en quête de faiblesses

Selon The Intercept, les agents du GCHQ ont pour cela surveillé de près certains employés de l’entreprise, jusque dans les réseaux sociaux, à la recherche d’une étourderie qui aurait permis de s’infiltrer. Ce qui a fini par se produire. C’est le cas notamment d’un ingénieur situé à Taïwan, remarqué parce qu’il expédiait des emails contenant des pièces jointes chiffrées via PGP. Dans ce contexte, l’agence estimait que si elle souhaitait réussir dans ses opérations sur Gemalto, « il serait certainement un bon endroit où commencer ».

gemaltogemalto

De ce point de départ, la MHET a bâti un réseau de surveillance, notamment sur des employés français ou étant venus travailler en France. Jusqu'à faire une étonnante découverte : une partie des clés de chiffrement des cartes SIM était envoyée aux opérateurs via des transmissions manquant singulièrement de sécurité, comme de simples emails ou des accès FTP. Toutefois, l'équipe anglo-américaine notait déjà il y a cinq ans que les solutions de chiffrement lourd (comme PGP) étaient de plus en plus utilisées pour transférer justement les clés, ce qui n'a rien de « trop tôt ».

En 2011, la NSA et le GCHQ prévoyaient ainsi de s'en prendre à plusieurs usines de Gemalto, situées en Allemagne, au Mexique, au Brésil, au Canada, en Chine, en Inde, en Italie, en Russie, en Suède, en Espagne, au Japon et à Singapour. Malheureusement, il n'existe pas de document plus récent pour indiquer si ces opérations ont eu lieu, et avec quel degré de réussite.

De faux relais pour espionner toutes les conversations, appels comme SMS/MMS

Les clés dérobées sont en tout cas cruciales. Chaque carte SIM en possède une, qui va lui permettre non seulement de négocier la connexion au réseau pour lequel l'abonné paye un droit d'accès, mais également de chiffrer les communications par la voix, les SMS/MMS, etc. Cependant, tous les réseaux ne sont pas égaux sur la question du chiffrement puisqu'il existe de nombreux protocoles. On peut voir d'ailleurs sur la carte de GSMMap.org que le cas de la France n'est pas particulièrement reluisant.

Que faire alors de ces clés ? Un pirate disposant des ressources nécessaires peut construire sa propre antenne relais et utiliser les précieux sésames pour espionner toutes les conversations, voix et texte. Selon The Intercept, il pourrait en fait s’agir du chaînon manquant expliquant comment la NSA (notamment) a pu constituer si rapidement certaines banques de données mobiles. Et la méthode est d’autant plus efficace que la clé de chiffrement est « gravée » dans la carte SIM et que, toujours selon The Intercept, la technique est passive et peut être délicate à détecter.

gemalto

Cependant, posséder les clés ne garantit pas forcément l'accès aux communications. D'autres facteurs entrent en jeu, notamment la manière dont les téléphones communiquent avec les relais et négocient les droits. Durant cette étape, les deux points s'échangent leurs clés pour les comparer, et ce transfert manque souvent d'une protection adéquate. Cette hausse progressive de la sécurité a pu être observée par le GCHQ en 2010 lors des premiers essais actifs de récupération. L’Iran, l’Afghanistan, le Yémen, l’Inde, la Serbie, l’Islande et le Tadjikistan faisaient ainsi partie des premières cibles. La liste comprenait également le Pakistan, dont l’agence possédait les clés de deux opérateurs, Mobilink et Telenor, sans parvenir toutefois à espionner les conversations. Le GCHQ notait alors que ces deux opérateurs avaient probablement revu les mécanismes de négociation et d’échanges de clés entre les téléphones et les relais. 

Des progrès constants réalisés dans la récupération des clés et leur exploitation

Comme on peut le voir sur la diapositive ci-dessous, extraite de la documentation d’Edward Snowden, le GCHQ affirme dans tous les cas que l’opération contre Gemalto est un succès : l’agence estime avoir atteint l’intégralité du réseau de l’entreprise. Serveurs de facturation, clés de chiffrement, informations sur la clientèle, plan du réseau et autres ont ainsi été absorbés. L’agence anglaise s’est même infiltrée dans les serveurs d’authentification.

gemalto

Toujours d’après les informations récupérées par The Intercept, il semble cependant que Gemalto n’était pas, en tant que tel, la cible « désignée » d’office par les agences. La MHET se serait ainsi interrogée sur la manière d’atteindre le plus grand nombre de cartes SIM au plus vite, et le nom de Gemalto se serait alors imposé. De fait, d’autres entreprises ont été visées de la même manière, mais elles ne sont pas identifiées (à l'exception de Giesecke and Devrient, une entreprise allemande qui figurait dans les plans d'actions des agences). Aucun document ne permet toutefois, là encore, de savoir si une opération a bien été lancée.

La dangerosité de la situation actuelle tient en fait à plusieurs facteurs. D’une part, la NSA estimait déjà en 2009 que l’amélioration de ses routines de récupération pourraient permettre l’obtention de 12 à 22 millions de clés par seconde et que ce chiffre grimperait jusqu’à 50 millions si nécessaire. D’autre part, Gemalto fournit des cartes SIM à un très grand nombre d’opérateurs, notamment Orange et SFR ou les quatre principaux aux États-Unis. Enfin, le périmètre exact du problème de sécurité est inconnu, car il manque des informations : le nombre total de clés étant réellement exploitées, les autres entreprises touchées, et le fait que Gemalto produise également d’autres puces, notamment pour les cartes bancaires.

Gemalto n’a trouvé aucune trace de l’intrusion pour l’instant

Il s’agit dans tous les cas d’un camouflet pour Gemalto, qui se présente sur son site officiel comme le « leader mondial de la sécurité numérique ». Interrogé par The Intercept, le vice-président Paul Beverly ne cache pas son embarras : « Je suis assez inquiet que ça ait pu arriver. Le plus important pour moi est de comprendre comment tout ceci a été fait, afin que nous puissions prendre toutes les mesures pour que ça ne se reproduise plus jamais, et pour que cela n’ait pas d’impact sur les opérateurs télécom que nous servons depuis des années avec une profonde relation de confiance. Ce que je veux comprendre, c’est quelles sortes de ramifications il y a, ou pourrait y avoir, sur nos clients. » Il a nié par ailleurs avoir eu la connaissance préalable d’une opération de ce type, propos répété dans le communiqué de presse de Gemalto.

Le vice-président a également indiqué qu’après avoir été averti par The Intercept mercredi, l’équipe interne de sécurité avait immédiatement démarré un audit afin de comprendre comment les systèmes avaient pu être piratés. Et il semble bien que la NSA et le GCHQ aient été particulièrement prudents puisque les ingénieurs n’ont pour le moment trouvé aucune trace de cette intrusion.

Nous avons également contacté Gemalto, Orange et SFR afin d'obtenir de plus amples informations et attendons actuellement leur retour.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

L’union anglo-américaine pour pirater les cartes SIM

Surveiller les employés en quête de faiblesses

De faux relais pour espionner toutes les conversations, appels comme SMS/MMS

Des progrès constants réalisés dans la récupération des clés et leur exploitation

Gemalto n’a trouvé aucune trace de l’intrusion pour l’instant

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (113)


Pas mal… Ça faisait longtemps qu’on n’avait pas eu de nouveau « nouveau » sur ce dossier NSA.



« non non on ne fait pas d’espionnage industriel » qu’ils disaient.



 


Un organisme d’État qui pirate une entreprise de sécurité et vole ses données, afin d’atteindre à la vie privée des gens.



NORMAL.


Un article intéressant et explicatif <img data-src=" />

Par contre, le titre racoleur, mouais :/…….


Il a raison Obama : Internet est à eux, et les européens font leurs chochottes avec ces histoires de vie privée parce qu’ils sont jaloux de Microsoft, Apple, Google… <img data-src=" />


Article impec

Puis Intercept parle de Gemalto car leader donc ça marque attire le lecteur, mais tous les autres fournisseurs sont surement touché

Puis dans les doc NSA peu être que Gemalto car le plus hard à pirater


On va tous mourir <img data-src=" />&nbsp; <img data-src=" />




Enfin, le périmètre exact du problème de sécurité est inconnu, car il manque des informations : le nombre total de clés étant réellement exploitées, les autres entreprises touchées, et le fait que Gemalto produise également d’autres puces, notamment pour les cartes bancaires.





on se rapproche de plus en plus des films de sf ou big brother peut même modifier tes comptes et “effacer” ta vie. Merci qui? <img data-src=" />


Bim -7% pour gemalto.



Cette histoire ne serait pas si importante si le trafic était chiffré. Je sais pas pour les gens d’il y a 20 ans, mais pour moi c’est ubuesque de transmettre en clair.


“Supress SMS billing” Wtf?



Ils ont fait en sus réduit leurs factures ?


«Gemplus international1 était une entreprise française de fabrication de carte à puce. Elle a fusionné avec Axalto le 2 juin 2006 pour former le groupe Gemalto. »



« En août 2002, alors que les plans sociaux se succèdent et qu’une guerre entre les actionnaires historiques et TPG a lieu depuis plusieurs mois, le conseil d’administration de Gemplus international nomme à sa tête Alex J. Mandl (en), administrateur de In-Q-Tel, le fonds de capital-risque créé par la CIA, confirmant la volonté de l’agence américaine de contrôler la cryptologie (brevets, transfert de technologie) mise en œuvre dans les cartes à puces7.



Le 19 décembre 2002, Marc Lassus, ancien président fondateur de Gemplus, démissionne du conseil d’administration, de même que son allié Ziad Takieddine. Cette annonce intervient juste avant un vote de l’assemblée générale extraordinaire du groupe. La direction demandait la révocation des deux administrateurs, accusant Marc Lassus de ne pouvoir rembourser un prêt de 78 millions d’euros de stock-options accordé par la société lors de sa mise en bourse, et reprochant à Takieddine d’avoir critiqué des décisions prises au sein du conseil. Ces démissions sont en fait une manœuvre d’In-Q-Tel pour que les Américains soient seuls maîtres à bord.



Le 2 juin 2006, Gemplus international fusionne avec Axalto pour former le groupe Gemalto9.



En 2009, l’État français rachète 8 % de Gemalto via le Fonds stratégique d’investissement, devenant l’actionnaire principal du groupe. Mais il est alors trop tard pour empêcher les Américains d’obtenir les technologies de cryptologie de la carte à puce, comme en témoigne le fait que TPG a revendu ses actions l’année suivante. »



https://fr.wikipedia.org/wiki/Gemplus_international








Reznor26 a écrit :



On va tous mourir <img data-src=" />&nbsp; <img data-src=" />



Mais non, on est déjà tous mort : l’apocalypse a eu lieu mais suite a une cuite généralisée, personne ne s’en est aperçu ! <img data-src=" />



Les ptits français si soucieux et attachés à leurs libertés devraient ouvrir leurs yeux. Nos réseaux sont aussi sécurisés qu’Hollande quand il se promène en scooter. Tout est sous contrôle on vous dit !


Oui mais non.



Nous on est sauvé,&nbsp; Babar veille sur nous!


Heureusement que les cyber guerre n’ont aucune espèce d’importance ! “C’est pas bien ce que tu as fait ! Vilain !“Sinon la 3ème guerre mondiale aurait péter depuis longtemps&nbsp;&nbsp;Vive la zone de non droit !


Pour ceux qui doutaient que le Royaume-Uni est devenu un cheval de Troie des USA en Europe… Ne leur reste plus qu’à en devenir un nouvel État fédéré, au moins ça aura le mérite d’être clair. <img data-src=" />


En tout cas Greenwald est content. Il a du taf pour toute sa vie avec les documents de snowden. C’est le seul gagnant de toute cette histoire


“selon des documents dérobés par Edward Snowden”&nbsp;Il est quand même fort ce Snowden: ca fait maintenant plusieurs années qu’il ne travaille plus à la NSA et il est encore capable d’y dérober des documents classifiés?&nbsp;(NB:OK, &nbsp;je déconne mais j’aimerai bien qu’on m’explique quand même).&nbsp;


C’est pas pour rien que le Général a posé son véto 2 fois&nbsp;<img data-src=" />


J’hésite sur la note à donner au sous-titre


Ben il en a des tonnes; et pour amplifier l’effet des annonces, il les donne un par un à la presse.


Et les citoyens ne sont pas gagnants de savoir ce qui est en place?


c’est simple, comme les chaines d’informations, comme en politique etc. Tu donnes tes informations au compte goutte. Donc non il n’a plus de nouvelle info, mais il en a pour durer xx années. De quoi assurer pleins d’édition spéciales et faire bouger tout plein de petits curseurs d’audience.&nbsp;


It’s not a theft, it’s a feature.



© NSA



&nbsp;








js2082 a écrit :



It’s not a theft, it’s a feature.



© NSA



&nbsp;





LOL





On peut voir d’ailleurs sur la carte de GSMMap.org&nbsp;que le cas de la France n’est pas particulièrement reluisant.





C’est certainement l’information qui fait le plus peur dans l’article: Télécoms, réseaux bancaires, …. ont tous ce qualificatif en commun: “Guère reluisant”.


il a leaké quelque chose comme 1,5 millions de documents à Greenwald et Poitras. Les publications sont là-dessus depuis bientôt 2 ans.


On me dit que les russes sont des très méchants et les américains des très gentils…

Les russes ont-il espionné 1% de ce que les américain ont fait chez nous?

On a de drôles d’amis quand même…








marba a écrit :



«Gemplus international1 était une entreprise française de fabrication de carte à puce. Elle a fusionné avec Axalto le 2 juin 2006 pour former le groupe Gemalto. »



« En août 2002, alors que les plans sociaux se succèdent et qu’une guerre entre les actionnaires historiques et TPG a lieu depuis plusieurs mois, le conseil d’administration de Gemplus international nomme à sa tête Alex J. Mandl (en), administrateur de In-Q-Tel, le fonds de capital-risque créé par la CIA, confirmant la volonté de l’agence américaine de contrôler la cryptologie (brevets, transfert de technologie) mise en œuvre dans les cartes à puces7.



Le 19 décembre 2002, Marc Lassus, ancien président fondateur de Gemplus, démissionne du conseil d’administration, de même que son allié Ziad Takieddine. Cette annonce intervient juste avant un vote de l’assemblée générale extraordinaire du groupe. La direction demandait la révocation des deux administrateurs, accusant Marc Lassus de ne pouvoir rembourser un prêt de 78 millions d’euros de stock-options accordé par la société lors de sa mise en bourse, et reprochant à Takieddine d’avoir critiqué des décisions prises au sein du conseil. Ces démissions sont en fait une manœuvre d’In-Q-Tel pour que les Américains soient seuls maîtres à bord.



Le 2 juin 2006, Gemplus international fusionne avec Axalto pour former le groupe Gemalto9.



En 2009, l’État français rachète 8 % de Gemalto via le Fonds stratégique d’investissement, devenant l’actionnaire principal du groupe. Mais il est alors trop tard pour empêcher les Américains d’obtenir les technologies de cryptologie de la carte à puce, comme en témoigne le fait que TPG a revendu ses actions l’année suivante. »



https://fr.wikipedia.org/wiki/Gemplus_international







Pas mal cette petite histoire.



On aime bien “donner” nos technologies aux étranger.





Nous avons également contacté Gemalto, Orange et SFR afin d’obtenir de plus amples informations et attendons actuellement leur retour.

Orange et SFR vont sûrement répondre qu’il n’y a pas d’intrusion et qu’il n’y en aura jamais, parce que blablabla en france, blabla, le cambriolage s’arrête à la frontière, blabla, comme pour le nuage de tchernobyl, blabla.


C’est surtout que les américain sont de sacré voleur et magouilleur… ils’ont fait un coup du genre à PSA ou renault : on prends 5% d’action chez le constructeur, 5% qui interdisent à la boite de vendre des voiture en iran (embargo à la con) et ensuite, c’est qui qui vas faire des voiture en iran à la place des francais? ben oui le même oncle sam qui nous interdisait de les vendre….


Ou plus simplement, Snowden a récupéré des gigaoctets d’informations à la NSA et il faut du temps pour étudier, compiler et faire des enquêtes complémentaires si possibles avant d’écrire un papier. De plus les journalistes travaillant sur le sujet ne doivent pas être très nombreux et/ou ne doivent pas pouvoir s’y consacrer à temps plein.


Ce qui me surprend dans ces histoires, ce n’est pas la capacité d’espionnage de la NSA, ni la collaboration des anglais. C’est surtout la capacité des victimes (nous, nos gouvernants) à ne pas s’émouvoir plus que ça. Et je ne parle même pas de prendre des mesures.



En Allemagne, ça fait un peu plus de bruit, mais concrètement, il ne font rien non plus.


Nos oligarques avaient vu juste : “Internet est une zone de non droit” <img data-src=" />



Article 12 de la déclaration universelle des droits de l’Homme: “Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance” <img data-src=" />








bobdu87 a écrit :



C’est surtout que les américain sont de sacré voleur et magouilleur… ils’ont fait un coup du genre à PSA ou renault : on prends 5% d’action chez le constructeur, 5% qui interdisent à la boite de vendre des voiture en iran (embargo à la con) et ensuite, c’est qui qui vas faire des voiture en iran à la place des francais? ben oui le même oncle sam qui nous interdisait de les vendre….







En même temps quelle idée de respecter les embargos américains. Faut vraiment être con.









Cartmaninpact a écrit :



Nos oligarques avaient vu juste : “Internet est une zone de non droit” <img data-src=" />



Article 12 de la déclaration universelle des droits de l’Homme: “Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance” <img data-src=" />





C’est pas arbitraire puisqu’on est tous des terroristes. Ils cherchent juste les preuves pour le prouver. Mais ça n’a rien d’arbitraire!



Ben ça dépend. Je bosse pour une PME qui fait partie d’un groupe américain, on s’est pris une très jolie amende du gouvernement US, parce qu’on a pas respecté certaines règles liés à l’export d’informations vers des pays sensibles. Depuis, quand tu te logues sur un poste, t’as un bazar d’avertissement dans tous les sens qui te dit ce que tu dois faire, et surtout ne pas faire.



Et quand je dis une très jolie amende : quand on regarde les courbes comptables des dix dernières années, on sait en quelle année on a pris “cher”.








patos a écrit :



C’est certainement l’information qui fait le plus peur dans l’article: Télécoms, réseaux bancaires, …. ont tous ce qualificatif en commun: “Guère reluisant”.





Sur la carte la France est plutôt “au-dessus de la moyenne” (?)



Cons ou certains de ne jamais se retrouver devant un tribunal pour avoir encaissé l’argent imprimé par les USA pour trahir leur entreprise <img data-src=" />


Les traités ou les amérindiens ? <img data-src=" />


Ne serait-il pas plus simple de commencer par les moyens de communications&nbsp; que la NSA ne peut pas espionner ?



&nbsp;ha !? on me dit dans l’oreillette qu’il n’y en a pas … elle chope les logiciels cryptés ou non, le harware protégé ou non, et même si on utilise pas les ordis ils arrivent à nous écouter, que dire ? à part la fermer aucun moyen qu’ils ne sachent ce qu’il se passe….



Selon snowden le blackphone et truecrypte poserait problème mais tout le monde sait qu’avec le temps ça tombe plus ou moins vite…

&nbsp;


LOL



Faut avouer qu’en relisant la phrase c’est pas si clair <img data-src=" />


Bon, j’avoue, je n’ai pas tout lu ayant déjà vu le sujet traité par ArsTechnica. Je passe juste signaler que, comme cela a été dit dans les commentaires sur AT, le chiffrement utilisé était DES pendant longtemps. Ce n’est pas comme si ces clefs apportaient beaucoup de sécurité de base…


De toute façon, avec l’augmentation de la puissance de calcul, tout finira par être déchiffrable… même ce qui ne l’est pas aujourd’hui doit être stocké bien au chaud en attendant de l’être demain…


Tiens, j’aimerais bien savoir qui est le fabricant des carte SIM chez Free Mobile.



<img data-src=" />



<img data-src=" />








DetunizedGravity a écrit :



Bon, j’avoue, je n’ai pas tout lu ayant déjà vu le sujet traité par ArsTechnica. Je passe juste signaler que, comme cela a été dit dans les commentaires sur AT, le chiffrement utilisé était DES pendant longtemps. Ce n’est pas comme si ces clefs apportaient beaucoup de sécurité de base…





Ouai enfin DES n’est pas le seul algo supporté non plus. Ça monte jusqu’à de l’AES avec des clés de 32 octets.

Certes il est inclus dans certaines (trop de) cartes, mais de là à être utilisé sur les réseaux clients…



Bon par contre l’industrie est loin d’être parfaite. Si vous voulez un exemple regardez du côté des travaux de Karsten Nohl et son équipe (on peut retrouver ses conférences et slides sur le net).









matroska a écrit :



Tiens, j’aimerais bien savoir qui est le fabricant des carte SIM chez Free Mobile.



<img data-src=" />



<img data-src=" />





En principe un opérateur a plusieurs fournisseurs de cartes SIM, toutes les cartes ne sont pas fournies par un seul fabricant.









jb07 a écrit :



Ben ça dépend. Je bosse pour une PME qui fait partie d’un groupe américain, on s’est pris une très jolie amende du gouvernement US, parce qu’on a pas respecté certaines règles liés à l’export d’informations vers des pays sensibles. Depuis, quand tu te logues sur un poste, t’as un bazar d’avertissement dans tous les sens qui te dit ce que tu dois faire, et surtout ne pas faire.



Et quand je dis une très jolie amende : quand on regarde les courbes comptables des dix dernières années, on sait en quelle année on a pris “cher”.







Je suis naïf mais il se passe quoi si tu paye pas l’amande ? :p



Ouais bon entre une PME et une multinationale les moyens ne sont pas les même. Surtout qu’a ce niveau là la politique devrais y foutre son grain de sel.



Car quand tu vois les ricains faire des blocus sur le roquefort pour faire chier les français car ils sont pas content d’une loi française… Des fois je me dit qu’on devrais penser a diversifier notre international.



Amande : fruit à coque

Amende : sanction pécuniaire



Sinon pour l’amende US, c’est simple : pas payée, plus de vente aux USA.

Donc soir ta boîte coule, soit tu payes et tu te plies aux règles US, même si tu sais que tu te fais avoir.


Plutôt que de négocier un traite transatlantique, on ferait mieux de faire un traite Europe-Asie et de niquer les États-uniens.



C’est ce qui est en train de se passer coté pacifique. Les Coréens du Sud préfèrent l’arrogance des Chinois (traite FTAAP) plutôt que celles des Américains (traite TPP, équivalent de ACTA ), il faut croire qu’il en ont assez bouffé pendant l’occupation.



http://www.leparisien.fr/flash-actualite-economie/la-chine-soutient-un-traite-de…


Toutes les actions de la NSA ont un cadre légal.



LOL








linkin623 a écrit :



Amande : fruit à coque

Amende : sanction pécuniaire



Sinon pour l’amende US, c’est simple : pas payée, plus de vente aux USA.

Donc soir ta boîte coule, soit tu payes et tu te plies aux règles US, même si tu sais que tu te fais avoir.







Oui amendes.

J’avais la flemme de rectifier.



Ca doit faire drôle de se faire enculer comme ça. oO







nigol a écrit :



Plutôt que de négocier un traite transatlantique, on ferait mieux de faire un traite Europe-Asie et de niquer les États-uniens.



C’est ce qui est en train de se passer coté pacifique. Les Coréens du Sud préfèrent l’arrogance des Chinois (traite FTAAP) plutôt que celles des Américains (traite TPP, équivalent de ACTA ), il faut croire qu’il en ont assez bouffé pendant l’occupation.



http://www.leparisien.fr/flash-actualite-economie/la-chine-soutient-un-traite-de…







Ne pas oublier les autres pays (il n’y a pas que la chine). L’amérique du sud aussi.

De toute façon, plus on est diversifié, plus on est en sécurité.



C’est comme pour tout. On dépend du gaz de russie. On a pas l’air con pour négocier.



OTR et GPG s’en sortent très bien, merci pour eux, tout comme le SSL/TLS bien configuré (merci PFS).


En attente de la prochaine fournée de Snowden ? et puis cela n’évite pas les méthodes d’accès par le hardware…


J’ai eu peur, je pensais que c’était des pirates.

Là je ne vois pas où est le danger, les renseignements sont les gentils, ceux qui nous protègent quoi !!








quegorosoit a écrit :



J’ai eu peur, je pensais que c’était des pirates.

Là je ne vois pas où est le danger, les renseignements sont les gentils, ceux qui nous protègent quoi !!





Bah oui, ils nous protègent de nous mêmes et des moutons noirs dans notre propre entourage, je ne comprends vraiment pas pourquoi vous ironisez là dessus.

Ils evitent le délitement de la société de l’intérieur, on ne fait pas d’omelette sans casser des oeufs aussi.



vous vous souvenez de l’époque ou un président des états unis avait été obligé de démissionner parce que la cia avait mis des micros dans l’hôtel utilisé par un parti d’opposition sous la seule dénonciation de la presse?

<img data-src=" />&nbsp;



la démocratie a fait du chemin depuis… 6 pieds sous terre

encore merci Ben Laden d’avoir pu libérer ainsi toutes ces agences d’espionnage soit disant d’état qui fonctionnent surtout pour leur gueule. peut il y avoir encore un controle de la NSA and co? j’en doute malheureusement…








A-snowboard a écrit :



Je suis naïf mais il se passe quoi si tu paye pas l’amande ? :p



[…]





Ben la direction du groupe est aux États-Unis, donc y’a qu’à déplacer un fourgon… Une partie des entreprises qui forment le groupe aussi, et c’est un marché majeur de la boîte.



Je crois que la question ne s’est même pas posée <img data-src=" />



Petite rectification pour l’article, Gemalto n’a de néerlandais que son siège (pour des raisons fiscales). C’est une entreprise 99% française dont tout se décide à Meudon. De plus, des milliards de cartes SIM sont potentiellement attaquables.








kernel1337 a écrit :



Petite rectification pour l’article, Gemalto n’a de néerlandais que son siège (pour des raisons fiscales). C’est une entreprise 99% française dont tout se décide à Meudon.





Cool merci.

Je me disais bien, aussi…



Quoi ?!!

(poings sur les hanches, yeux écarquillés)



La NSA écoute des conversations téléphoniques ???

(monté dans les aigus sur la dernière syllabe)



Et pour y arriver, ils ont piraté des codes ????

(yeux écarquillés, air surpris)



Mais c’est dingue, non !??!

(mains sur la tête, yeux aux ciel)



<img data-src=" />








Drepanocytose a écrit :



Bah oui, ils nous protègent de nous mêmes et des moutons noirs dans notre propre entourage, je ne comprends vraiment pas pourquoi vous ironisez là dessus.

Ils evitent le délitement de la société de l’intérieur, on ne fait pas d’omelette sans casser des oeufs aussi.







Ironie ? C’est ma façon de parler qui fait ça ?









kernel1337 a écrit :



Petite rectification pour l’article, Gemalto n’a de néerlandais que son siège (pour des raisons fiscales). C’est une entreprise 99% française dont tout se décide à Meudon. De plus, des milliards de cartes SIM sont potentiellement attaquables.







Lol









fred131 a écrit :



Ne serait-il pas plus simple de commencer par les moyens de communications&nbsp; que la NSA ne peut pas espionner ?



&nbsp;ha !? on me dit dans l’oreillette qu’il n’y en a pas … elle chope les logiciels cryptés ou non, le harware protégé ou non, et même si on utilise pas les ordis ils arrivent à nous écouter, que dire ? à part la fermer aucun moyen qu’ils ne sachent ce qu’il se passe….



Selon snowden le blackphone et truecrypte poserait problème mais tout le monde sait qu’avec le temps ça tombe plus ou moins vite…

&nbsp;





Il faut réinventer le concurrent de l’informatique :)









quegorosoit a écrit :



Lol





?????



99% francais peut être pas, mais effectivement le global headquarters est à Meudon, et il me semblait qu’il restait encore beaucoup de Gemplus dans “l’esprit” de Gemalto…

C’est pas comme ca ?



Ou tu veux dire que le truc est tellement devenu une multinationale que ca n’a plus de sens, ce que je pourrais comprendre ?









moggbomber a écrit :



vous vous souvenez de l’époque ou un président des états unis avait été obligé de démissionner parce que la cia avait mis des micros dans l’hôtel utilisé par un parti d’opposition sous la seule dénonciation de la presse?

<img data-src=" />



la démocratie a fait du chemin depuis… 6 pieds sous terre

(…)





Le Président US était personnellement impliqué, s’agissant de l’espionnage du parti démocrate adverse. Il s’agissait surtout d’une trahison républicaine et d’un mensonge d’Etat dans le but d’une réélection à la Présidence US



En tout cas, je partage ton inquiétude vis-à-vis des entorses aux règles démocratiques



jveux pas plomber l’ambiance mais…



trop tard, la newsw date de 8’ du mat, vous etes doublés par le monde et l’express, qui sont too ‘general public’


Ils pourront se trouver un autre slogan, “Slogan&nbsp;

: la sécurité pour être libre”&nbsp; <img data-src=" />


Heureusement que notre grand Parti Libéral Socialiste vient de muscler la loi contre le piratage informatique, les chefs des organisations NSA & GCHQ vont pouvoir passer 10 ans dans nos belles prisons, comme prévu pour “intrusion dans un système informatique en bande organisé” <img data-src=" />



&nbsp;


J’ai été surpris en lisant ça sur lemonde.fr ce midi <img data-src=" />








jb07 a écrit :



Ce qui me surprend dans ces histoires, ce n’est pas la capacité d’espionnage de la NSA, ni la collaboration des anglais. C’est surtout la capacité des victimes (nous, nos gouvernants) à ne pas s’émouvoir plus que ça. Et je ne parle même pas de prendre des mesures.



En Allemagne, ça fait un peu plus de bruit, mais concrètement, il ne font rien non plus.





C’est parce qu’on est aussi “pute” qu’eux.

Sérieusement, les Services de Renseignements Français n’ont strictement rien à envier à la NSA sur les méthodes (à part son budget et ce qui en découle, mais c’est lié au PIB donc relatif).









trekker92 a écrit :



jveux pas plomber l’ambiance mais…



trop tard, la newsw date de 8’ du mat, vous etes doublés par le monde et l’express, qui sont too ‘general public’







Aussi détaillé qu’ici ? (je ne suis pas allé voir)



Après bon le public n’est pas le même. Je m’en cogne un peu d’avoir 5h de retard sur l’actu d’une article.

Surtout que bon vu la news, ce n’est pas à deux heures près.



Je commence à en avoir assez de lire autant d’inepties sur le monde de la cryptographie, relayées par des journalistes informés par de prétendus experts qui ont tous été formatés par des académiques eux-mêmes sortant des rangs de la NSA, CIA et autre US Navy Cybercommand.




Depuis plus de 40 ans, les instances de surveillance américaines se sont plus que largement impliqués dans tous les domaines touchant aux communications, aux méthodes de cryptage (et surtout de décryptage), aux backdoors implantées dans les logiciels (de majorité américaine) et dans les matériels (là encore de conception majoritairement américaine).      






Cela fait maintenant plus de 20 ans que les 5 eyes ont fait signer "l'arrangement" (le mot est joli) de Wassenaar à plus de 40 pays dits "alliés" dont la France qui donne aux 5 eyes tous les moyens pseudo "légaux" d'intercepter nos telcos.      






Les documents distilés par Edward Snowden (qui devrait être élu prix nobel de la paix) ne font que confirmer ce que certains "bien informés" savent depuis très longtemps, lorsqu'ils n'y participent pas activement.      






Alors que tous les algos actuels de cryptage soient aujourd'hui cassables (dont certains carrément en temps réel) est une évidence, même si la NSA refuse d'admettre qu'elle utilise des ordinateurs quantiques de plus en plus puissants depuis plus de 30 ans et qu'elle a activement participé à l'introduction de backdoors lui permettant "d'écouter" (et d'enregistrer) quoi que ce soit des telcos du monde entier.      






Et tous les signataire de "l'arrangement" en sont des complices actifs et utilisent volontairement le brevet de 2005 de générateur de nombres aléatoires imposé par la NSA comme standard aux NIST (dont openSSL) pour contaminer le plus de monde possible, y compris et surtout les soit disant "vendeurs" de sécurité.      






Référence : 2005 patent of Dual\_EC\_DRGB :&nbsp;https://projectbullrun.org/dual-ec/patent.html  






Ce qui me chagrine le plus est qu'il existe effectivement des modèles mathématiques prouvés comme étant inviolables, quelque soient les temps et puissances de calculs utilisés pour essayer de déchiffrer les flux de données cryptés par ces modèles.      






Et ce qui est le plus frappant est que ces modèles ont été conçus il y a plus de 60 ans, et que l'un d'entre eux a même été utilisé pendant toute la guerre froide pour protéger la fameuse ligne des téléphones rouges reliant Washington à Moscou (le système one-time pad).      






Les mathématiciens en questions sont dans l'ordre&nbsp;John Von Neumann (1903-1957) et surtout Claude Shannon(1916 - 2001), ce dernier ayant justement démontré mathématiquement l'inviolabilité du système one-time pad.     





Mais il existe aussi d’autres modèles mathématiquement prouvés comme incassables plus récents (et surtout bien plus simple à mettre en place), dont un a été conçu, développé et mis au point par une société d’origine française.&nbsp;

&nbsp;

&nbsp;Ses travaux ont été proposés en 2009 à la DRM (Direction de la Recherche Militaire) française qui s’est cassée les dents dessus, tout comme l’ont fait de nombreux autres “experts” étrangers dont en particuliers les vrais spécialistes de la cryptographie du Mossad.



La DRM avait accepté d’utiliser ce modèle à condition que les sources de ce long , lourd et très couteux développement lui soient “offertes” gracieusement par ses géniteurs (à savoir sans les payer).



&nbsp;La société en question ayant alors refusé de se soumettre à un tel dictat et de voir son investissement réduit à néant à alors fermé ses portes en France et s’est exilée en Suisse.



Aujourd’hui, TWD Industries AG propose soit des licences d’exploitation de sa technologie (Trustleap crypto), soit des services cloud (Global-WAN) véritablement impénétrables et indéchiffrables basés non seulement sur leur modèle mathématique mais aussi sur l’exploitation de leur propre serveur d’application web (G-WAN) développé en interne depuis 2009 qui n’a rien à voir avec les pseudos standards bourrés de failles de sécurité volontaires tels Apache, Cherokee, Lighttpd ou même Nginx, tous “sous contrôle” de la NSA et de ses affiliés.



A titre perso, j’utilise le freeware G-WAN depuis plus de 4 ans (qui est entièrement gratuit tant pour un usage privé que commercial mais qui est vivement décrié par les geeks car pas “open source”, juste histoire de faire cadeau des développements de plusieurs années/hommes aux petits copains incapables de rivaliser en performance, scalabilité multi cores, sécurité et versatilité) et contrairement à tous ses confrères cités précédemment que je connais aussi très bien, je n’ai jamais vu une seule faille de sécurité à ce produit depuis que je l’ai installé, malgré de très nombreuses tentatives d’attaques de type DoS de mes serveurs (attaques loguées dont l’analyse des plages d’IP sont plus qu’intéressantes pour déterminer leurs provenances).



&nbsp;Quelques liens pour info :





  • http://twdi.ch

  • http://trustleap.com

  • http://gwan.ch



    Alors si la véritable sécurité (et non pas celle des incapables ponsifs de l’ANSSI) vous concerne quelque peu (que se soit à titre privé, ou d’entreprise ou même d’instances officielles), allez donc faire un petit tour dans “The Suiss Data Haven” pour vous faire une idée un peu plus concrète de ce qu’il est possible de faire aujourd’hui pour protéger tous les flux de données (téléphone, télécopie, courriel, échange de fichier, vidéo conférence, etc.), tout en respectant scrupuleusement les standards “imposés” par les lois fédérales US ou de celles de ses alliés de “l’arrangement de Wassenaar”, mais en faisant en sorte que même en utilisant leurs algos imposés et pourris (AES, SSL, IPSec, SSH ou encore RC4), il ne soit pas possible (non pas de vous écouter et de vous enregistrer - merci les telcos le font déjà pour vous au bénéfice des officines de barbouzeries) mais de vous déchiffrer.



    A titre d’exemple, TWD Industries AG a même poussé le vice jusqu’à lancer un chalenge officiel sur la toile de tenter de trouver une phrase secrète insérée dans un texte crypté par son modèle et dont elle fournit le texte original en clair et le cypher (le texte crypté contenant la phrase secrète à trouver qui n’est pas dans le texte en clair).

    &nbsp;N’importe quel “expert” devrait alors y arriver, surtout vu la taille du texte en clair !Alors, si vous voulez vous amuser, il y a 1.000,00 USD à gagner au premier qui trouvera la solution.



    C’est ici :&nbsp;http://5.196.173.185&nbsp;

    Bonne chance.

    Fnux.


Bon, l’éditeur de texte est bien bugué dès que l’on met un texte long !



Désolé pour la mise en page “n’importe quoi” du post précédent dans lequel s’est introduit nombre de lignes vides, de lignes de codes non désirées, et qui a “pété” les sauts de lignes des paragraphes.



Et le plus beau, impossible de le modifier !!! <img data-src=" />





Quand ça veut, c’est beau l’informatique !!!&nbsp;<img data-src=" />








Fnux a écrit :



Bon, l’éditeur de texte est bien bugué dès que l’on met un texte long !





C’est la NSA qui a piraté ton post, pour le rendre degueu à lire et decrédibiliser ton message <img data-src=" />



“Gemalto cambriolé par la NSA et le GCHQ, des millions de cartes SIM en danger”



Dire qu’il y a des gens pour me montrer du doigt en me disant que je fais dans l’antiaméricanisme primaire… <img data-src=" />

Vivement qu’on les ramène à l’âge de pierre ; ils n’emmerderont plus personne quelques temps. <img data-src=" />








Fnux a écrit :



Cela fait maintenant plus de 20 ans que les 5 eyes ont fait signer “l’arrangement” (le mot est joli) de Wassenaar à plus de 40 pays dits “alliés” dont la France qui donne aux 5 eyes tous les moyens pseudo “légaux” d’intercepter nos telcos.





J’ai toujours dit que les Ricains et leurs “alliés” étaient des FdeP.

Nous a-ton demandé notre avis quand nos”élites”, bien achetées, nous ont forcés à rejoindre ces salopards ?

Et vu ce que nous coûtent l’OTAN, le Machin et autres ingérences pour s’approprier des richesses au doux nom de la “démocratie” !

Oui, cela nous coûte… des attentas !

J’suis pas prêt de voter pour quelqu’enflure que ce soit.

&nbsp;









Drepanocytose a écrit :



Bah oui, ils nous protègent de nous mêmes et des moutons noirs dans notre propre entourage, je ne comprends vraiment pas pourquoi vous ironisez là dessus.

Ils evitent le délitement de la société de l’intérieur, on ne fait pas d’omelette sans casser des oeufs aussi.





Quand on constate que même d’une ville de Haute Loire il y a des convertis qui partent faire le kamikaze en Irak pour l’EI, on se dit en effet qu’on est bien noyauté. Jusqu’au fort de Rosny ou un pote de Coulibaly entrait comme chez lui car avec sa copine gendarmette, convertie là aussi.



Maintenant, c’est taillé pour pister ces gens là mais on ne s’attaque pas à la source, surtout ceux qui financent alors que même le nouveau pharaon Sissi en Egypte pointe les responsabilités, commençant sans doute a entrevoir les limites de ne taper que sur les conséquences du problème et leur chair à explosifs, même avec ses méthodes expéditives.&nbsp;



Nos amis américains…

Quelle vaste blague.


Les U.S. ont plusieurs chevaux de Troie en Europe.

Pour le renseignement, il y a l’U.K., pour le commerce, il y a l’Allemagne et la plupart des anciens pays de l’Est.



Apparemment, on a choisit notre camp, celui de ceux qui se font mettre par “the land of freedom”, et qui en plus ferment leurs gueules.

Et quand Tafta passera, ça sera la fin des haricots pour les quelques industries vaillantes qui nous restent.



Il devient de plus en plus difficile de voir les U.S.A. comme un allié, de plus en plus facile de les voir en ennemis, et le pire, c’est que c’est justifié…








Konrad a écrit :



Un organisme d’État qui pirate une entreprise de sécurité et vole ses données, afin d’atteindre à la vie privée des gens.



NORMAL.







ils ne doivent pas dormir la nuit par peur de louper ce que fait le voisin



Quand je chercherai un exemple de FUD, j’essaierai de me souvenir de ton message.


Avec des alliés comme ça plus besoin d’ennemis.


En quoi c’est du FUD ? Je n’ai pas été vérifier ses dires mais ils me semblent cohérents.








tiny_naxos a écrit :



Sur la carte la France est plutôt “au-dessus de la moyenne” (?)





La France déploie de bons réseaux, mais en se contentant du strict minimum.

D’un point de vue sécurité informatique, on ne peut pas se contenter “du dessus de la moyenne”. On devrait faire du mieux qu’on peut, voire au pire, du mieux que la norme le prévoit.



Je ne vais pas perdre mon temps à défaire un message aussi long, alors je me contenterais de ça :

“Alors que tous les algos actuels de cryptage soient aujourd’hui cassables (dont certains carrément en temps réel) est une évidence”

Genre ça fait 15 ans que la cryptanalyse se casse les dents sur AES, mais il est “évident” que c’est cassable…


Bonjour,



Et surtout merci à l’admin TN de ce site d’avoir pris le temps de corriger la mise en page buguées de mon post (#73) pour le rendre lisible et voir les liens fournis à titre d’info utilisables.<img data-src=" />



Bravo pour la rapidité de réaction et encore merci.<img data-src=" />

Fnux.


Et alors? On peut prouver qu’un algo de cryptage est faillible, mais on ne pourra jamais prouver qu’un algo est sûr.

Des fois la théorie est bien jolie, mais dans la pratique l’algorithme est mal implémenté ou mal utilisé. Les problèmes de générateurs pas assez aléatoire, ou bien les messages envoyés sont trop similaires sans que la clé soit jamais changée, ce qui ouvre la voie à la cryptanalyse différentielle.

Et puis les nouvelles méthodologies de cryptanalyse ne sont jamais dévoilées dans un whitepaper de petit thésard… C’est gardé comme de lOr ( d’ailleurs les US se gardent le droit de poser un brevet sur ces méthodes sans bien sûr les publier. Le plus dégueulasse c’est que la période de validité du brevet commencera à partir du moment où l’invention aura été (ré)découverte par un autre individu, même si c’est 20 ans plus tard).



Sur wiki, je lis :

Une attaque par clé apparentée casse 9 tours de AES-256. Une attaque par texte clair choisi casse 8 tours de AES-192 et 256, ou 7 tours de AES-128 (Ferguson et al, 2000).



Ca m’étonnerait pas que l’AES puisse être cracké en temps réaliste quand on en a les moyens (plateforme FPGA…ou ASiC pourquoi pas).



Faut être réaliste : jamais un gouvernement (le NIST est un organisme américain) ne publierait un système de cryptage qui pourrait être utiliser par tous les gouvernements adverses pour sécuriser leurs informations. Faudrait être franchement con si la NSA disait : “Hé, les Russes, Libyens, Syriens , Coréens et habitants de l’axe du Mal, je vous conseille l’AES, c’est tellement solide que ça va faire bien chier la CIA!”








nigol a écrit :



Sur wiki, je lis :

Une attaque par clé apparentée casse 9 tours de AES-256. Une attaque par texte clair choisi casse 8 tours de AES-192 et 256, ou 7 tours de AES-128 (Ferguson et al, 2000).



Ca m’étonnerait pas que l’AES puisse être cracké en temps réaliste quand on en a les moyens (plateforme FPGA…ou ASiC pourquoi pas).





Et il y a même des attaques sur la version complète. Mais une attaque ne veut pas dire pour autant que l’algo soit “cassé”.

En cryptographie, une attaque signifie simplement qu’on a trouvé un moyen pour réduire le temps requis pour une attaque par force brute. Même si ce temps a seulement été divisé par 2 et qu’il faille encore plusieurs millions d’années, c’est quand même qualifié d’“attaque”.







nigol a écrit :



Faut être réaliste : jamais un gouvernement (le NIST est un organisme américain) ne publierait un système de cryptage qui pourrait être utiliser par tous les gouvernements adverses pour sécuriser leurs informations.





Faut être réaliste : jamais un organisme gouvernemental ne validerait un algo de chiffrement s’il présentait dès le départ une vulnérabilité permettant le déchiffrement des données, parce que cette vulnérabilité serait trouvée et publiée tôt ou tard.



Pourtant, il est vrai aussi que ça ne les a pas empêché de choisir, parmi les 3 finalistes de l’AES, l’algo ayant la plus faible marge de sécurité. Mais à cette époque, on était aussi plus optimiste au sujet des lois de Moore…

On peut aussi remarquer que si on utilise l’attaque découverte en 2009, alors c’est la version 256 bits d’AES qui devient celle pouvant être “cassée” le plus rapidement (même si ce n’est pas faisable dans la pratique).



En tout cas, j’ai plus confiance dans les articles de Bruce Schneier que dans un gars qui balance ici que tous les algos actuels peuvent être cassés.

D’ailleurs, si la NSA avait ce genre de possibilité, Snowden en aurait déjà parlé depuis longtemps. Or pour l’instant, cette agence en est toujours à récupérer des clés de cartes SIM pour espionner les communications. Pourquoi s’emmerder à faire ça si elle a déjà la possibilité de casser n’importe quel algo de chiffrement ?



Salut vampire7

&nbsp;







vampire7 a écrit :



Quand je chercherai un exemple de FUD, j’essaierai de me souvenir de ton message.





Avant de parler de FUD, vas lire toi même les liens que j’ai posté ainsi aussi que tous ceux proposés dans ces liens dont en particulier ceux de The Economist pas particulièrement connus pour être anti américains.



Ne parle que seulement ensuite, et tu seras alors peut-être un peu plus crédible dans tes pseudo analyses.



Et oui, aujourd’hui tous les algos classiques basés sur les recommandations de la NSA sont cassables pour la seule et unique raison qu’ils ont été conçus comme ça, justement pour permettre à la NSA qui a des moyens hors du commun de pouvoir les casser et tous les signataires de l’arragement de Wassenaar peuvent bénéficier de l’aide de la NSA en cas de besoin.



N’en sont exclus que les algos des méthodes mathématiquement prouvées comme inviolables avec entre autre et en plus la possibilité de suppression des clefs des flux de données.



Et là, quelque soit les méthodes de cryptanalyse utilisées, on reste “sec”.



Alors renseignes toi un peu plus avant de jouer les ponsifs, car même en France, la DRM admet (à mots couverts et en privé) pouvoir déchiffrer de l’AES en temps réel (et ils n’ont pas les super calculateurs de la NSA) !



Quand au fait de “pirater” les clefs des cartes SIM, en effet c’est encore plus rapide. D’où le pourquoi du comment.



Vu tes commentaires, tu es surement du genre de ceux qui préconisent le réseau TOR !<img data-src=" />



Et puisque tu es manifestement un expert en la matière, relève donc le défit lancé par TWD Industries AG :http://twd-industries.com/challenge.html



Allez- bon week-en et sans rancune.<img data-src=" />









Fnux a écrit :



Avant de parler de FUD, vas lire toi même les liens que j’ai posté ainsi aussi que tous ceux proposés dans ces liens dont en particulier ceux de The Economist pas particulièrement connus pour être anti américains.



Ne parle que seulement ensuite, et tu seras alors peut-être un peu plus crédible dans tes pseudo analyses.





Je parle quand je veux. <img data-src=" />

Bon, pour te faire plaisir, j’ai été voir, et je n’ai trouvé que des boîtes qui ont des trucs à vendre. Dommage…







Fnux a écrit :



Et là, quelque soit les méthodes de cryptanalyse utilisées, on reste “sec”.





Pareil avec AES, Twofish et Serpent.







Fnux a écrit :



Alors renseignes toi un peu plus avant de jouer les ponsifs, car même en France, la DRM admet (à mots couverts et en privé) pouvoir déchiffrer de l’AES en temps réel (et ils n’ont pas les super calculateurs de la NSA) !





Ca fait des années que je me renseigne, étant l’auteur d’une application de crypto open-source.







Fnux a écrit :



Quand au fait de “pirater” les clefs des cartes SIM, en effet c’est encore plus rapide.





Ce qui ne répond pas à la question : pourquoi auraient-ils besoin de voler ces clés s’ils peuvent déjà tout déchiffrer ?



C’est vrai que les infos Snowden risquent de nous parvenir encore pendant plusieurs années…

Mais le pire dans tout cela c’est que les équipes stratégiques de nos plus grandes entreprises françaises ne s’équipent pas en masse d’outils de chiffrement des communications téléphoniques qui les rendraient moins vulnérables aux écoutes sur réseaux publics. Ils sont encore au stade de la réflexion et testent depuis des années des systèmes sans stratégie d’équipement immédiat.

J’en sais quelque chose puisque je travaille chez Discretio.

Quand nos grands groupes réagiront ils?








Fnux a écrit :



Je commence à en avoir assez de lire autant d’inepties sur le monde de la cryptographie, relayées par des journalistes informés par de prétendus experts qui ont tous été formatés par des académiques eux-mêmes sortant des rangs de la NSA, CIA et autre US Navy Cybercommand.




Depuis plus de 40 ans, les instances de surveillance américaines se sont plus que largement impliqués dans tous les domaines touchant aux communications, aux méthodes de cryptage (et surtout de décryptage), aux backdoors implantées dans les logiciels (de majorité américaine) et dans les matériels (là encore de conception majoritairement américaine).      






Cela fait maintenant plus de 20 ans que les 5 eyes ont fait signer "l'arrangement" (le mot est joli) de Wassenaar à plus de 40 pays dits "alliés" dont la France qui donne aux 5 eyes tous les moyens pseudo "légaux" d'intercepter nos telcos.      






Les documents distilés par Edward Snowden (qui devrait être élu prix nobel de la paix) ne font que confirmer ce que certains "bien informés" savent depuis très longtemps, lorsqu'ils n'y participent pas activement.      






Alors que tous les algos actuels de cryptage soient aujourd'hui cassables (dont certains carrément en temps réel) est une évidence, même si la NSA refuse d'admettre qu'elle utilise des ordinateurs quantiques de plus en plus puissants depuis plus de 30 ans et qu'elle a activement participé à l'introduction de backdoors lui permettant "d'écouter" (et d'enregistrer) quoi que ce soit des telcos du monde entier.      






Et tous les signataire de "l'arrangement" en sont des complices actifs et utilisent volontairement le brevet de 2005 de générateur de nombres aléatoires imposé par la NSA comme standard aux NIST (dont openSSL) pour contaminer le plus de monde possible, y compris et surtout les soit disant "vendeurs" de sécurité.      






Référence : 2005 patent of Dual\_EC\_DRGB : https://projectbullrun.org/dual-ec/patent.html  






Ce qui me chagrine le plus est qu'il existe effectivement des modèles mathématiques prouvés comme étant inviolables, quelque soient les temps et puissances de calculs utilisés pour essayer de déchiffrer les flux de données cryptés par ces modèles.      






Et ce qui est le plus frappant est que ces modèles ont été conçus il y a plus de 60 ans, et que l'un d'entre eux a même été utilisé pendant toute la guerre froide pour protéger la fameuse ligne des téléphones rouges reliant Washington à Moscou (le système one-time pad).      






Les mathématiciens en questions sont dans l'ordre John Von Neumann (1903-1957) et surtout Claude Shannon(1916 - 2001), ce dernier ayant justement démontré mathématiquement l'inviolabilité du système one-time pad.     





Mais il existe aussi d’autres modèles mathématiquement prouvés comme incassables plus récents (et surtout bien plus simple à mettre en place), dont un a été conçu, développé et mis au point par une société d’origine française. 

 

 Ses travaux ont été proposés en 2009 à la DRM (Direction de la Recherche Militaire) française qui s’est cassée les dents dessus, tout comme l’ont fait de nombreux autres “experts” étrangers dont en particuliers les vrais spécialistes de la cryptographie du Mossad.



La DRM avait accepté d’utiliser ce modèle à condition que les sources de ce long , lourd et très couteux développement lui soient “offertes” gracieusement par ses géniteurs (à savoir sans les payer).



 La société en question ayant alors refusé de se soumettre à un tel dictat et de voir son investissement réduit à néant à alors fermé ses portes en France et s’est exilée en Suisse.



Aujourd’hui, TWD Industries AG propose soit des licences d’exploitation de sa technologie (Trustleap crypto), soit des services cloud (Global-WAN) véritablement impénétrables et indéchiffrables basés non seulement sur leur modèle mathématique mais aussi sur l’exploitation de leur propre serveur d’application web (G-WAN) développé en interne depuis 2009 qui n’a rien à voir avec les pseudos standards bourrés de failles de sécurité volontaires tels Apache, Cherokee, Lighttpd ou même Nginx, tous “sous contrôle” de la NSA et de ses affiliés.



A titre perso, j’utilise le freeware G-WAN depuis plus de 4 ans (qui est entièrement gratuit tant pour un usage privé que commercial mais qui est vivement décrié par les geeks car pas “open source”, juste histoire de faire cadeau des développements de plusieurs années/hommes aux petits copains incapables de rivaliser en performance, scalabilité multi cores, sécurité et versatilité) et contrairement à tous ses confrères cités précédemment que je connais aussi très bien, je n’ai jamais vu une seule faille de sécurité à ce produit depuis que je l’ai installé, malgré de très nombreuses tentatives d’attaques de type DoS de mes serveurs (attaques loguées dont l’analyse des plages d’IP sont plus qu’intéressantes pour déterminer leurs provenances).



 Quelques liens pour info :





  • http://twdi.ch

  • http://trustleap.com

  • http://gwan.ch



    Alors si la véritable sécurité (et non pas celle des incapables ponsifs de l’ANSSI) vous concerne quelque peu (que se soit à titre privé, ou d’entreprise ou même d’instances officielles), allez donc faire un petit tour dans “The Suiss Data Haven” pour vous faire une idée un peu plus concrète de ce qu’il est possible de faire aujourd’hui pour protéger tous les flux de données (téléphone, télécopie, courriel, échange de fichier, vidéo conférence, etc.), tout en respectant scrupuleusement les standards “imposés” par les lois fédérales US ou de celles de ses alliés de “l’arrangement de Wassenaar”, mais en faisant en sorte que même en utilisant leurs algos imposés et pourris (AES, SSL, IPSec, SSH ou encore RC4), il ne soit pas possible (non pas de vous écouter et de vous enregistrer - merci les telcos le font déjà pour vous au bénéfice des officines de barbouzeries) mais de vous déchiffrer.



    A titre d’exemple, TWD Industries AG a même poussé le vice jusqu’à lancer un chalenge officiel sur la toile de tenter de trouver une phrase secrète insérée dans un texte crypté par son modèle et dont elle fournit le texte original en clair et le cypher (le texte crypté contenant la phrase secrète à trouver qui n’est pas dans le texte en clair).

     N’importe quel “expert” devrait alors y arriver, surtout vu la taille du texte en clair !Alors, si vous voulez vous amuser, il y a 1.000,00 USD à gagner au premier qui trouvera la solution.



    C’est ici : http://5.196.173.185

    Bonne chance.

    Fnux.





    Mon dieu ! <img data-src=" />









vampire7 a écrit :



Je parle quand je veux. <img data-src=" />

Bon, pour te faire plaisir, j’ai été voir, et je n’ai trouvé que des boîtes qui ont des trucs à vendre. Dommage…



Ca fait des années que je me renseigne, étant l’auteur d’une application de crypto open-source.



Ce qui ne répond pas à la question : pourquoi auraient-ils besoin de voler ces clés s’ils peuvent déjà tout déchiffrer ?





Bien entendu, tu peux parler quand et autant que tu le veux. Nous sommes encore dans une démocratie (pour combien de temps est un autre problème).



Les gens qui n’ont pas de trucs à vendre (comme tu le dis si bien) sont soit des personnes payées par de grandes entreprises pour le faire (genre IBM) ou des fondations qui sont financées indirectement par nos impôts (déduction des charges de personnel ou des “dons” des résultats des donateurs), soit des geeks qui en fait n’ont rien à vendre.



Quand à l’open source, libre à toi d’en faire un passe temps mais si cela était un gage de ne pas trouver de faille de sécurité, voir de backdoors, cela se saurait depuis très longtemps.



Enfin pour répondre à ta question : pourquoi pirater les clefs ? 1- par ce que cela leur a été (malheureusement) possible et 2- par ce que leur traitement demande bien moins de ressources et de temps que de faire de la crypto analyse.



Au fait, comment s’appelle ta solution open source de crypto et où la trouve t-on ?

&nbsp;

Bon dimanche.<img data-src=" />



Les pays-bas/Gemalto ont-t-ils la possibilité de porter painte ? Par exemple devant la CJUE puisque le GCHQ c’est britannique.


Justement c’est le bon moment d’utiliser le principe de “l’expropriation indirecte” cher aux US (ils veulent le mettre dans le traité transatlantique, avec des tribunaux arbitraux privés) qui aimeraient que les entreprises puissent demander dédommagements aux gouvernements dont la politique nuit à leurs bénéfices présents ou futurs.



C’est peut être déjà possible à une éventuelle filiale américaine de Gemalto de porter plainte contre le gouvernement fédéral.



Pour répondre à une question précédente, on peut imaginer que craquer l’AES nécessite non seulement des ressources conséquentes, mais aussi une quantité suffisante de cypher (données cryptées avec la clé attaquée). Si tu obtiens la clé par d’autre moyen, tu t’epargnes bien des soucis.



C’est comme le courant électrique, il faut toujours passer par le chemin qui offre le moins de résistance :)


Ce n’est plus de l’espionnage industriel : c’est un acte de guerre contre des dizaines de nations, y compris de soi-disant “alliés” ou “partenaire commerciaux”. Nous devons suspendre les relations diplomatiques avec les USA et la GB. Ces pays nous sont visiblement hostiles d’une manière massive. Ils sont dangereux pour la sécurité des autres nations de cette planète.

Et si nous déposions tous un pré-plainte en ligne contre la NSA et le GCHQ ?

https://www.pre-plainte-en-ligne.gouv.fr/ (le s de https me fait presque rire quand on a lu cet article et d’autres comme hier :http://www.nextinpact.com/news/93126-un-adware-livre-avec-machines-lenovo-pose-s…

En attendant, JE LANCE UN APPEL MONDIAL AU BOYCOTT DE PRODUITS AMÉRICAINS !








ungars a écrit :



En attendant, JE LANCE UN APPEL MONDIAL AU BOYCOTT DE PRODUITS AMÉRICAINS !





Rappelle toi simplement que l’appel au boycott est illégal en France.

On peut le faire plus subtilement, cependant….



Jamais une plainte n’arrivera devant un tribunal pour ça, sinon la France comme tous les pays du monde y serait illico pour les mêmes raisons.



&nbsp;Un diplomate a assuré que les conversations de Bush (fils) atterrissaient sur le bureau du quai d’Orsay tous les jours. Frenchelon a beau être plus petit, il a les oreilles longues. D’ailleurs en ce moment “babar” fait du bruit au Canada.



<img data-src=" />&nbsp;&nbsp; <img data-src=" />



Plus sérieusement, l’Etat et les services secrets sont maître du jeu, des règles du jeu, des joueurs, de la carte, et des dés… difficile de lutter et chaque fois qu’on se rapprochera d’un plus grand respect des droits de l’homme (art12 de 1948) ils trouveront un moyen de changer/flouter/exceptionnaliser les règles du jeu pour continuer.



&nbsp;On le voit bien avec la nouvelle coqueluche des 90 % des terroristes sont des internautes ! (166 familles sur 700 ou 3000 selon les chiffres de la police ou des services secrets) et ils sont tous des hordes d’étrangers pour venir nous tuer (ha bah non les trois derniers étaient français et nés en France)… Bref nouvelle vague de “protection” d’internet à venir et qui est contre sera considéré comme soutien moral aux terroristes au minimum…


Babar, ça serait pas plutôt le surnom de Hollande? <img data-src=" />








Fnux a écrit :



Quand à l’open source, libre à toi d’en faire un passe temps mais si cela était un gage de ne pas trouver de faille de sécurité, voir de backdoors, cela se saurait depuis très longtemps.





C’est grâce à ce genre d’imprécision qu’on crée du FUD.

Un système d’exploitation représente évidemment bien trop de code pour être analysé par un seul gars.

En revanche, pour un utilitaire de chiffrement de quelques dizaines de Ko, c’est tout-à-fait possible, et même un audit complet ne prendrait que quelques jours.







Fnux a écrit :



Au fait, comment s’appelle ta solution open source de crypto et où la trouve t-on ?





Il est impopulaire et je tiens à ce qu’il le reste. <img data-src=" />



Au fait, tu ne serais pas un commercial de chez TWD industries ? :harou:



Non, celui dont je parle fait parti de titi et gros minet <img data-src=" />


Salut vampire7,

&nbsp;







vampire7 a écrit :



C’est grâce à ce genre d’imprécision qu’on crée du FUD.

Un système d’exploitation représente évidemment bien trop de code pour être analysé par un seul gars.

En revanche, pour un utilitaire de chiffrement de quelques dizaines de Ko, c’est tout-à-fait possible, et même un audit complet ne prendrait que quelques jours.



Il est impopulaire et je tiens à ce qu’il le reste. <img data-src=" />



Au fait, tu ne serais pas un commercial de chez TWD industries ? :harou:





Ce n’est pas de l’imprécision et quand on voit SSL examiné par de multiples experts pendant des années et avoir une faille de sécurité majeure non trouvée (ou plutôt non rendue publique) pendant plus de 10 ans, alors je ne pense pas que dire que l’open source ne garantit en rien l’absence de faille de sécurité et de bug soit du FUD mais une simple constatation générale malheureusement trop souvent vérifiée.



Que veux-tu dire par impopulaire ? Qu’il est critiqué par des vilains compétiteurs ou juste peu connu ? J’aimerai bien l’essayer, et même l’adopter s’il est bon. Sinon, pourquoi faire de l’open source (gratuit ou payant d’ailleurs).



Et ben non, je n’ai pas d’autre relation avec TWD Industries que celle d’être un simple utilisateur appréciant tout spécialement leur serveur d’application web depuis 4 ans.



Et je n’ai aucune envie d’être leur commercial ou quoi que ce soit car j’ai déjà beaucoup trop de boulot avec ma propre activité aux US et en France.



Bon dimanche.<img data-src=" />



franchement les anglo-saxons font chier avec leurs surveillances illégales généralisés et après ils prétendent être nos alliés ça me fait bien rire.


edit: my bad








Fnux a écrit :



Ce n’est pas de l’imprécision et quand on voit SSL examiné par de multiples experts pendant des années et avoir une faille de sécurité majeure non trouvée (ou plutôt non rendue publique) pendant plus de 10 ans, alors je ne pense pas que dire que l’open source ne garantit en rien l’absence de faille de sécurité et de bug soit du FUD mais une simple constatation générale malheureusement trop souvent vérifiée.







Aucune personne sérieuse ne pourrait affirmer qu’il y a davantage ou moins de failles dans tel ou tel code (fut-il Open ou Closed Source), surtout quand le code en question compte plusieurs millions de code. Dire que l’Open Source garantit l’absence de faille, c’est évidemment mensonger.



Par ailleurs, faut-il le rappeler, les failles ne sont pas découvertes en lisant le code source (comme on le lit trop souvent). Donc sur ce point précis, ça ne changera rien que le code soit Open Source : ça ne rendra pas la découverte de failles plus facile. Donc dire que le code est «lu par plusieurs experts pendant des années», ce n’est pas du tout pertinent quand on parle de découvrir des failles.



En revanche, il y a autre chose qui se vérifie aussi très facilement : le fait que le code soit Open Source fait qu’il sera patché beaucoup plus rapidement qu’un code Closed Source, en moyenne. Et ça, c’est un argument en faveur de la sécurité.



Oui, MOI PAREIL !

































































envoyé depuis mon iPad


Salut Konrad,



Très globalement je suis 100 pour 100 d’accord avec toi, y compris mais avec quelques petites réserves (dues à la politique et à ses dérives aussi bien techniques que économiques, du bon vouloir à respecter certains engagements peu recommandables du genre accointances avec la NSA, la CIA, le FBI, l’US Navy Cybercommand, le DOD, etc.) avec le passage suivant :

&nbsp;







Konrad a écrit :



En revanche, il y a autre chose qui se vérifie aussi très facilement : le fait que le code soit Open Source fait qu’il sera patché beaucoup plus rapidement qu’un code Closed Source, en moyenne. Et ça, c’est un argument en faveur de la sécurité.





Si une boite (privée ou fondation) produit du code (open-source ou non) et qu’une faille de sécurité (ou un bug) lui est reporté(e) dans son code, sauf remarque précédente (valant pour l’acceptation d’une backdoor qui dans le plus grand cas est rémunérée d’une manière ou d’une autre par les accointances citées précédemment)&nbsp; il est de son intérêt (réputation, part de marché, etc) et de ses clients (ou utilisateurs) de corriger le problème le plus rapidement possible.



Merci de ton point de vue très objectif vis à vis du code, open-source ou non.



Cordialement.

Fnux.<img data-src=" />









Fnux a écrit :



Si une boite (privée ou fondation) produit du code (open-source ou non) et qu’une faille de sécurité (ou un bug) lui est reporté(e) dans son code, sauf remarque précédente (valant pour l’acceptation d’une backdoor qui dans le plus grand cas est rémunérée d’une manière ou d’une autre par les accointances citées précédemment)  il est de son intérêt (réputation, part de marché, etc) et de ses clients (ou utilisateurs) de corriger le problème le plus rapidement possible.







Tout à fait, il est dans l’intérêt de l’éditeur de fournir un patch rapidement, que le code soit Open ou Closed Source. Cela ne veut pas dire que le temps mis pour fournir un patch sera le même dans les deux cas.



Je t’invite à lire par exemple cette thèse, dans laquelle l’auteur a essayé de déterminer quels facteurs influent sur le temps de mise à disposition d’un patch («Time To Patch»), en faisant des statistiques à partir de différentes sources (SecurityFocus, Open Source Vulnerability Database, National Vulnerability Database, Secunia). Parmi ses conclusions : les codes Open Source sont patchés en moyenne 39% plus rapidement que les codes propriétaires.







Analysis of the archival data confirms that software vendors release patches for software vulnerabilities with a medium level of criticality in a shorter response time than software vulnerabilities with low and high levels of criticality once the vendor has been informed of the software vulnerability. Open source vendors release patches for open source software vulnerabilities 39% quicker than proprietary source vendors release patches for proprietary software. Patches for operating system software vulnerabilities are released 8% slower than patches for application software vulnerabilities.







Une autre étude (portant sur les années 2000-2003) montrait déjà que le «Time-to-Patch» est, en moyenne, moins élevé du côté des logiciels Open Source que des logiciels propriétaires (voir notamment le tableau 2).



Bref, comme je le disais il semble qu’en moyenne les éditeurs de logiciel Open Source fournissent plus rapidement des patches lorsqu’ils sont prévenus d’une vulnérabilité que les éditeurs de logiciels propriétaires. <img data-src=" />









nigol a écrit :



Babar, ça serait pas plutôt le surnom de Hollande? <img data-src=" />





Non, c’est mimolette :) Authentique, et c’est assez ancien…peu de gens le savent malgré tout…









Drepanocytose a écrit :



Rappelle toi simplement que l’appel au boycott est illégal en France.

On peut le faire plus subtilement, cependant….





Exact ! Bandes d’enculés D’AMÉRICAINS ET DE CHINOIS…



Quel trio infernal : AMÉRIQUE + CHINE + ISRAËL…


A lire ici le même genre de problème, cela date de 2008 &nbsphttp://www.phreedom.org/research/rogue-ca/