Cryptocat chiffre vos transferts, l'EFF recommande ses outils alternatifs

Cryptocat chiffre vos transferts, l’EFF recommande ses outils alternatifs

Quand PRISM mène au tout chiffré

Avatar de l'auteur
David Legrand

Publié dans

Logiciel

11/06/2013 3 minutes
71

Cryptocat chiffre vos transferts, l'EFF recommande ses outils alternatifs

Cryptocat, l'outil de conversation chiffré et simplifié, vient de se mettre à jour. Il passe ainsi à la version 2.1, arbore un nouveau look et permet surtout d'échanger certains fichiers de manière directe. Un premier pas vers un fonctionnement plus complet, qui pourrait bien être complété par l'arrivée de l'audio et de la vidéo à terme. Dans le même temps, l'EFF publie une liste d'alternatives aux outils propriétaires en réaction à l'affaire PRISM.

Cryptocat est un outil qui vous permet de créer simplement un salon de discussion privé et chiffré. Pour cela, rien de plus simple : vous installez l'extension, vous choisissez le nom de la conversation, un pseudo, et vous pouvez rejoindre vos amis.

Cryptocat passe au chiffrement de fichiers et continue son évolution

Son interface vient d'être entièrement retravaillée afin d'être plus claire, mais aussi plus simple à comprendre. On regrettera qu'elle ne s'adapte pas mieux aux grands écrans, mais un coup de zoom permet de régler cela assez rapidement.

 

Cryptocat 2.1

 

Quelques bugs ont été corrigés au passage et le code a été nettoyé. Les bibliothèques OTR ont été mises à jour à la version 0.1.5 alors que c'est désormais jQuery 2.0.2 qui est utilisé. Mais la plus grande nouveauté est sans doute l'arrivée de l'échange de fichier dans les conversations privées. Vous pouvez ainsi transférer un document dans la limite de 5 Mo à une personne sans rien installer et de manière totalement chiffrée.

 

Le tout est encore au stade de bêta et des limitations sont de mise : fichiers zip ou images uniquement, le nom de réception du fichier sera modifié, le tout semble encore connaître quelques ratés... mais les choses avancent dans le bon sens. L'une des prochaines évolutions, en complément de l'arrivée des versions mobiles, pourrait être le support des conversations audio et vidéo via WebRTC

Face à PRISM, l'EFF vous indique des outils alternatifs, sécurisés et libres

Quoi qu'il en soit, de nombreuses autres solutions existent d'ores et déjà pour chiffrer vos échanges de manière plus ou moins aisée. L'affaire PRISM a donné à l'EFF l'envie d'en faire le bilan, disponible au sein de cette page :

D'Enigmail à Bitmessage en passant par Owncloud, Sparkleshare, Diaspora, Retroshare ou encore Jistsi, les principaux y sont. N'hésitez pas à nous faire part au sein de nos commentaires de vos propres solutions en n'oubliant pas deux règles fondamentales pour ce type d'outils : 

  • L'importance du code ouvert et mis à l'épreuve par des experts
  • L'importance de cumuler anonymat et chiffrement des échanges, qui sont deux choses différentes

Cryptocat précise d'ailleurs de son côté les choses concernant les métadonnées qui sont utilisées par le service, et indique qui peut en disposer ou non selon les cas. Le tout est récapitulé dans le tableau suivant :

 

Cryptocat 2.1

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Cryptocat passe au chiffrement de fichiers et continue son évolution

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (71)


Cette outil de conversation est vraiment sécurisé ?


Perso, j’utilise Silc autant que je peux:

http://silcnet.org/ et la doc: https://www.dg-sc.org/silc/doku.php



Sinon, irrsi-OTR, ekiga et SFTP sur mon serveur. GPG pour les mails avec certains de mes amis.


C’est quand même marrant/dramatique…

D’un côté, on écoute et stocke tout “pour rien”, “au cas où ça servirait un jour”.

De l’autre, on se met à tout chiffrer “pour rien”, “au cas où”.



<img data-src=" />








mickey and co a écrit :



Cette outil de conversation est vraiment sécurisé ?





Ils utilisent un chiffrement AES et tu peux mettre en place ton propre serveur si tu leur fait pas confiance, donc oui :)



Sinon, une page et surtout un schéma sympa de l’anonymat offert par HTTPS+Tor selon que l’on se place du côté de l’utilisateur, du FAI, de l’admin du site, du hacker, de la police ou de la NSA. <img data-src=" />

Tor and HTTPS: https://www.eff.org/pages/tor-and-https








fwak a écrit :



C’est quand même marrant/dramatique…

D’un côté, on écoute et stocke tout “pour rien”, “au cas où ça servirait un jour”.

De l’autre, on se met à tout chiffrer “pour rien”, “au cas où”.



<img data-src=" />





Oui enfin quand tu vois tout ce qui transite en clair par mail, parfois, tu as envie de te tirer une balle… (sans parler des IM et autres trucs du genre) <img data-src=" />









eXa a écrit :



Ils utilisent un chiffrement AES et tu peux mettre en place ton propre serveur si tu leur fait pas confiance, donc oui :)







Ensuite, il peut toujours y avoir une vilaine faille cachée dans le code de Cryptocat. Enfin je suppose que c’est un point particulièrement suivi par ceux qui participent aux dév du truc <img data-src=" />



Heu…; C’est normal que mon post #2 soit affiché chez un autre INpactien (#1) ?<img data-src=" />








fwak a écrit :



C’est quand même marrant/dramatique…

D’un côté, on écoute et stocke tout “pour rien”, “au cas où ça servirait un jour”.

De l’autre, on se met à tout chiffrer “pour rien”, “au cas où”.



<img data-src=" />





+1









Ricard a écrit :



Heu…; C’est normal que mon post #2 soit affiché chez un autre INpactien (#1) ?<img data-src=" />







C’est anonymisé <img data-src=" />









eXa a écrit :



Ils utilisent un chiffrement AES et tu peux mettre en place ton propre serveur si tu leur fait pas confiance, donc oui :)





Comment se passe l’échange de clé?



C’est toujours le point critique.









John Shaft a écrit :



C’est anonymisé <img data-src=" />





<img data-src=" /><img data-src=" /><img data-src=" /> Trop fort PCI.









eXa a écrit :



Ils utilisent un chiffrement AES et tu peux mettre en place ton propre serveur si tu leur fait pas confiance, donc oui :)





<img data-src=" />









David_L a écrit :



Oui enfin quand tu vois tout ce qui transite en clair par mail, parfois, tu as envie de te tirer une balle… (sans parler des IM et autres trucs du genre) <img data-src=" />







Je ne comprends pas ta réponse.









Ricard a écrit :



<img data-src=" /><img data-src=" /><img data-src=" /> Trop fort PCI.







Oué, sauf que tu viens de griller le truc <img data-src=" />



<img data-src=" /><img data-src=" /><img data-src=" />



Et moi, les clefs publiques/privées fournies par un tiers “de confiance”, ben, je ne leur fais plus confiance non plus, depuis PRISM <img data-src=" />


Ah les outils sécurisés… Le plus dur, c’est pas de les utiliser, c’est de faire prendre conscience à son entourage leur nécessité et qu’ils s’affranchissent des moyens faciles à utiliser et sans prise de tête qu’ils ont l’habitude d’user au quotidien.

J’essaye depuis un moment de me tourner vers le libre et le respect de la vie privée mais en ce qui concerne la famille et les amis, c’est un combat dur à mener, même auprès de personnes qui baignent dans l’informatique - développeurs, spécialistes réseaux, etc.


Comme tout, système centralisé = menace sur la confidentialité.



Diaspora est un outil de messagerie instantanée en P2P il me semble, si quelqu’un peut compléter…


Au fait, il est où le code source de Cryptocat ?<img data-src=" />








fwak a écrit :



Je ne comprends pas ta réponse.





Je pense qu’il veut dire que ça serait pas un mal de chiffrer un peu les communications parce que des gens envoient en clair des trucs assez perso parfois.



Une fois j’ai quand même reçu une empreinte de carte bleue et le petit code derrière “par erreur”. J’ai été sympa je lui ai immédiatement répondu qu’elle s’était trompé d’adresse. Mais avec un système de chiffrage digne de ce nom elle aurait été à l’abri.









Ricard a écrit :



Au fait, il est où le code source de Cryptocat ?<img data-src=" />





https://github.com/cryptocat/cryptocat









Khalev a écrit :



Comment se passe l’échange de clé?



C’est toujours le point critique.







http://fr.wikipedia.org/wiki/Cryptocat



Cryptocat utilise AES pour le chiffrement, l’échange de clés Diffie-Hellman avec une clef de 4096 bits pour l’accord de clef, SHA-2 pour le hachage (servant pour l’authentification) et HMAC pour vérifier l’intégrité des messages. Depuis que Cryptocat génère une nouvelle paire de clefs pour chaque chat, il implémente une sorte de confidentialité persistante. Cryptocat fournit également un site pour les appareils mobiles tels que les téléphones Android et peut être utilisé de concert avec Tor pour anonymiser les détails de la connexion client vue par le serveur.









Ricard a écrit :



Au fait, il est où le code source de Cryptocat ?<img data-src=" />





DTC

















Dans ton chat <img data-src=" />









fwak a écrit :



C’est quand même marrant/dramatique…

D’un côté, on écoute et stocke tout “pour rien”, “au cas où ça servirait un jour”.

De l’autre, on se met à tout chiffrer “pour rien”, “au cas où”.



<img data-src=" />





Ça se discute pour les particuliers mais pour les pros, en revanche, je crois que PRISM a servi de piqure de rappel.



Mon passe-temps du moment : retrouver la liste de tous les guignols qui se foutaient de la DGSE quand ils ont interdit à Sarko de conserver son Blackberry une fois élu.









fwak a écrit :



Et moi, les clefs publiques/privées fournies par un tiers “de confiance”, ben, je ne leur fais plus confiance non plus, depuis PRISM <img data-src=" />







Commentaire qui n’avance à rien du tout …



TOUT le code est disponible sur le github du projet et donc accessible librement. Ensuite les développeurs liés au projet sont des gens de confiance qui militent dans des projets pour le respect de la vie privée.



Selon moi Cryptocat est aujourd’hui le moyen de communication le plus adapté au grand publique qui veut juste chiffrer ses communications.









Exosta a écrit :



Ah les outils sécurisés… Le plus dur, c’est pas de les utiliser, c’est de faire prendre conscience à son entourage leur nécessité et qu’ils s’affranchissent des moyens faciles à utiliser et sans prise de tête qu’ils ont l’habitude d’user au quotidien.

J’essaye depuis un moment de me tourner vers le libre et le respect de la vie privée mais en ce qui concerne la famille et les amis, c’est un combat dur à mener, même auprès de personnes qui baignent dans l’informatique - développeurs, spécialistes réseaux, etc.





Pourquoi un outil sécurisé ne pourrait pas être facile a utiliser ^^ ? Actuellement c’est souvent complique car c’est fait par des geek pour les geek , mais rien n’empêche de faciliter l’utilisation de tels outils.



Pour ceux qui utilisent Pidgin-OTR, utilisez-vous une clé par ressource (par exemple une pour la maison et une pour le boulot) ou une clé pour toutes les ressources du même compte?



Lorsqu’on utilise des clés différentes, c’est assez chaotique (au moins une des deux ressources ne pourront plus le déchiffrer).

D’un autre côté, à part copier manuellement ~/.purple/otr.private_keys, rien n’est fait pour utiliser la même clé à plusieurs endroits… est-ce une bonne pratique pour OTR?








Commentaire_supprime a écrit :



Comme tout, système centralisé = menace sur la confidentialité.



Diaspora est un outil de messagerie instantanée en P2P il me semble, si quelqu’un peut compléter…





En quoi le fait qu’un système soit centralisé ait une incidence sur la confidentialité ? Le P2P, sans Tor, permet d’identifier tout le monde sur le réseau par exemple. Un système centralisé avec des protocoles de chiffrement peut très bien répondre au besoin de la vie privée.



Cette histoire est suspect . Le gus qui a fait la révélation de PRISM était payé 122 000 €/an par la NSA .Il a été assez stupide pour foutre sa vie en l’air en étant aussi bien payé ?

De plus c’est un secret de polichinelle le fait que google entre autre soit surveillé .








seb2411 a écrit :



Pourquoi un outil sécurisé ne pourrait pas être facile a utiliser ^^ ? Actuellement c’est souvent complique car c’est fait par des geek pour les geek , mais rien n’empêche de faciliter l’utilisation de tels outils.





Oui, t’as raison (encore que les services des plus grosses entreprises sont généralement centralisés et permettent d’utiliser plusieurs services avec un seul outil : le navigateur web) mais ce que je voulais dire, c’est qu’il faut se lever tôt pour qu’ils changent d’habitude et prennent le temps de s’intéresser au fonctionnement des autres logiciels/









Exosta a écrit :



En quoi le fait qu’un système soit centralisé ait une incidence sur la confidentialité ? Le P2P, sans Tor, permet d’identifier tout le monde sur le réseau par exemple. Un système centralisé avec des protocoles de chiffrement peut très bien répondre au besoin de la vie privée.







Si tu as accès au point central et que tu contournes toutes les sécurité pour avoir toutes les données en clair, je te laisse deviner la suite…









Glyphe a écrit :



Commentaire qui n’avance à rien du tout …



TOUT le code est disponible sur le github du projet et donc accessible librement. Ensuite les développeurs liés au projet sont des gens de confiance qui militent dans des projets pour le respect de la vie privée.



Selon moi Cryptocat est aujourd’hui le moyen de communication le plus adapté au grand publique qui veut juste chiffrer ses communications.





Je ne parle pas de Cryptocat dont je ne connais pas le fonctionnement, je pensais à PGP.

Le code mis à dispo ne garantit pas que les experts en mesure d’analyse le code l’ont fait, et ont remonté/corrigé les failles. Ca, c’est un truc, ça m’a toujours amusé comme argument.









farny a écrit :



Cette histoire est suspect . Le gus qui a fait la révélation de PRISM était payé 122 000 €/an par la NSA .Il a été assez stupide pour foutre sa vie en l’air en étant aussi bien payé ?

De plus c’est un secret de polichinelle le fait que google entre autre soit surveillé .





N’oublie pas que ces 122k\( deviennent 100k€ après parité de pouvoir d'achat et que cette somme n'inclue pas tes dépenses d'éducation (de 10k\) à 100k\( par an et par gamin), de retraite ou de santé (avec des prix beaucoup plus élevés qu'en France - pour l'anecdote, car c'était hors-normes, un ami s'est vu demander 5k\) pour une consultation de nuit sur NY). Compare ça avec un dév expérimenté ayant grimpé les échelons en France.









Commentaire_supprime a écrit :



Si tu as accès au point central et que tu contournes toutes les sécurité pour avoir toutes les données en clair, je te laisse deviner la suite…









Si tu regardes le tableau en bas tu verras que le server de cryptocat n’a aucunement accès au contenu des conversations qui sont chiffrées et que si on utilise Tor, l’adresse IP ne posera pas non plus de problème. Au final ce genre de solution a été pensé pour garder le moins de données possible.









Crysalide a écrit :



Sinon, une page et surtout un schéma sympa de l’anonymat offert par HTTPS+Tor selon que l’on se place du côté de l’utilisateur, du FAI, de l’admin du site, du hacker, de la police ou de la NSA. <img data-src=" />

Tor and HTTPS: https://www.eff.org/pages/tor-and-https







Je suis un peu inquiet au sujet de Tor ces temps-ci.



N’oubliez pas qu’une surveillance globale du traffic internet met à mal le mécanisme de Tor (je l’expliquais ici:http://koolfy.be/2011/03/13/some-people-just-want-to-see-the-world-tor/ )



Cette capture du document leaké semble indiquer des points d’interception sur les liaisons intercontinentales



https://image.guim.co.uk/sys-images/Guardian/Pix/pictures/2013/6/8/1370711209084…



On se rapproche rapidement d’un scénario de surveillance globale passive (GPA), qui échappe à ce contre quoi Tor peut défendre.



On n’y est pas, mais c’est une nouvelle preuve du fait qu’on ne peut pas éternellement ignorer ce que le monde politique et les agences gouvernementales font dans notre dos. Les outils de cryptographie et anonymat sont une rustine destinée à nous rendre un peu de vie privée et de sécurité dans un monde imparfait.



La solution n’est pas d’accepter d’être surveillé en chiffrant tout (jusqu’au jour où nos outils sont mis en échec), la solution est de mettre fin à ces politiques illégales et malsaines.

(et continuer de chiffrer, au cas où.)







John Shaft a écrit :



Ensuite, il peut toujours y avoir une vilaine faille cachée dans le code de Cryptocat. Enfin je suppose que c’est un point particulièrement suivi par ceux qui participent aux dév du truc <img data-src=" />





On fait de notre mieux, mais j’en profite pour rappeller qu’on est peu à participer au projet, qu’il n’y a (malheureusement) pas foule d’experts et de cryptocat pour relire chaque version publiée, et que le transfert de fichier est encore dans une phase de “beta”.



Mon conseil reste de demeurer prudent dans son utilisation de Cryptocat. Sa sécurité n’est ni nulle ni réputée inviolable.

C’est un outil pour améliorer votre vie privée par rapport à un Facebook Chat où chaque message est enregistré. Cryptocat n’a pas été créé pour être la solution qui mettra en échec une NSA en pleine puissance.







Khalev a écrit :



Comment se passe l’échange de clé?



C’est toujours le point critique.







Je t’invite à aller voir la documentation du protocole :https://github.com/cryptocat/cryptocat/wiki/Multiparty-Protocol-Specification

(j’ai pas encore fini de re-travailler cette page mais elle devrait être suffisamment conforme pour répondre à tes questions :) )





Cryptocat relies on an Elliptic Curve 25519 key agreement scheme.



Du Diffie-Hellman sur base de courbes élliptiques, donc ;)







fwak a écrit :



Et moi, les clefs publiques/privées fournies par un tiers “de confiance”, ben, je ne leur fais plus confiance non plus, depuis PRISM <img data-src=" />





Le principe des systèmes à cryptographie publique (clés privées/publiques) est justement prévu pour ne pas avoir à faire confiance à un “tiers” ;)

Dans tous les cas, peu importe la cryptographie ou la sécurisation, tu dois au minimum avoir confiance en toi et en ton interlocuteur.



Ce qu’on sécurise, c’est tout ce qu’il y a entre les deux.



D’ailleurs petit rappel: dès qu’on parle de cryptographie publique, que ça soit Cryptocat, OTR, PGP etc, si vous ne vérifiez pas la “fingerprint” affichée consciencieusement et systématiquement, vous n’êtes même pas sur de parler au bon interlocuteur :p (ce qui brise le schéma de confiance !)



Je suis implacable là dessus <img data-src=" />









Commentaire_supprime a écrit :



Comme tout, système centralisé = menace sur la confidentialité.



Diaspora est un outil de messagerie instantanée en P2P il me semble, si quelqu’un peut compléter…







oui ,c’ est un réseau social où un lieu d’ un serveur unique comme facebook ,tu as une miriade de serveurs facon p2p et la possibilité d’ auto-heberger ton instance… le projet a été repris par la communauté il y a quelque temps après avoir été laché par ses fondateurs



Personnellement ,je convoite plus movim ,bien que beaucoup moins avancé ( il me semble qu’ il n’ y a plus qu’ un développeur dessus ^^’ ) ,il est basé sur xmpp dans ses fondements









Commentaire_supprime a écrit :



Si tu as accès au point central et que tu contournes toutes les sécurité pour avoir toutes les données en clair, je te laisse deviner la suite…





On est d’accord mais tu pars du principe qu’il y a des failles de sécurité et logiquement le libre tend à maximiser la fiabilité grâce au code ouvert.









®om a écrit :



Pour ceux qui utilisent Pidgin-OTR, utilisez-vous une clé par ressource (par exemple une pour la maison et une pour le boulot) ou une clé pour toutes les ressources du même compte?



Lorsqu’on utilise des clés différentes, c’est assez chaotique (au moins une des deux ressources ne pourront plus le déchiffrer).

D’un autre côté, à part copier manuellement ~/.purple/otr.private_keys, rien n’est fait pour utiliser la même clé à plusieurs endroits… est-ce une bonne pratique pour OTR?





Je me réponds à moi-même.



Depuis la version 4, il est possible de choisir à quelle session écrire.



Sur wheezy, c’est encore la 3.2.1… Je vais essayer ça…

apt-get install -t sid pidgin-otr









koolfy a écrit :



On fait de notre mieux, mais j’en profite pour rappeller qu’on est peu à participer au projet, qu’il n’y a (malheureusement) pas foule d’experts et de cryptocat pour relire chaque version publiée, et que le transfert de fichier est encore dans une phase de “beta”.







C’est ballot, j’ai un membre de ma famille spécialisé dans un domaine proche de la cryptographie (factorisation des grands entiers) mais il n’aide personne <img data-src=" />









Exosta a écrit :



On est d’accord mais tu pars du principe qu’il y a des failles de sécurité et logiquement le libre tend à maximiser la fiabilité grâce au code ouvert.







Je pars du principe que la sécurité absolue est impossible.



Et que tout point de convergence de données facilite leur exploitation malveillante, open source ou pas, code audité ou pas.



Avec un système décentralisé, on ne peut accéder qu’à une infime partie des données que l’on convoite si on attaque un noeud du réseau. Pour les avoir toutes, il faut attaque tous les noeuds du réseau, ce qui est humainement impossible avec un système de P2P.



Avec un point de passage obligé dans une architecture centralisée, cette sécurité disparait, et c’est là le problème…









HarmattanBlow a écrit :



N’oublie pas que ces 122k\( deviennent 100k€ après parité de pouvoir d'achat et que cette somme n'inclue pas tes dépenses d'éducation (de 10k\) à 100k\( par an et par gamin), de retraite ou de santé (avec des prix beaucoup plus élevés qu'en France - pour l'anecdote, car c'était hors-normes, un ami s'est vu demander 5k\) pour une consultation de nuit sur NY). Compare ça avec un dév expérimenté ayant grimpé les échelons en France.







Il travaillait pour une agence gouvernementale donc avait des avantages comparé au privé .

Pour la santé déjà , je pense que le bien etre des employés est une priorité .

( Peut être que je me fais des idées aussi ) .









®om a écrit :



Pour ceux qui utilisent Pidgin-OTR, utilisez-vous une clé par ressource (par exemple une pour la maison et une pour le boulot) ou une clé pour toutes les ressources du même compte?



Lorsqu’on utilise des clés différentes, c’est assez chaotique (au moins une des deux ressources ne pourront plus le déchiffrer).

D’un autre côté, à part copier manuellement ~/.purple/otr.private_keys, rien n’est fait pour utiliser la même clé à plusieurs endroits… est-ce une bonne pratique pour OTR?





La bonne méthode c’est d’utiliser une clé par ressource, surtout si tu as un PC au boulot.



Conserver des clés privés sur un PC au boulot, à moins d’être sûr de la sécurité de ton boulot, c’est la pire chose à faire.



Ou alors une clé USB chiffrée qui contient ta clé privée.



Après je ne suis pas pro de Pidgin/XMPP, mais il n’y a pas moyen de faire communiquer 2 ressources via des clés? Ainsi ta ressource travail décode les message qui lui arrive et les rechiffre pour la ressource Maison via la clé publique maison. Après en local tu gère le fait de remplacer les messages chiffrée venant du serveur mais qui étaient pour boulot par ceux que boulot t’as adressé qu’il a déchiffré et rechiffré avec ta clé.



Sauf erreur de ma part, dans le cas de PKI, tu as un organisme de certification auquel tu fais confiance. Qui est peut-être mal placée. Mais bon, je ne suis pas spécialiste.


Et si les américains utilisent un d-wave à la place du système classique pour traiter les données :



http://www.futura-sciences.com/fr/news/t/informatique/d/google-se-lance-dans-les…



Vous pensez qu’en cryptant vos données vous passerez à travers les mailles du filet ?

( Désolé j’ai un peu de mal à croire à cette affaire ) .








fwak a écrit :



Sauf erreur de ma part, dans le cas de PKI, tu as un organisme de certification auquel tu fais confiance. Qui est peut-être mal placée. Mais bon, je ne suis pas spécialiste.





Nous, agence fédérale des États-Unis d’Amérique, certifions que cette implémentation contient une porte dérobée nous permettant de lutter contre le terrorisme.

<img data-src=" />









koolfy a écrit :



Je t’invite à aller voir la documentation du protocole :https://github.com/cryptocat/cryptocat/wiki/Multiparty-Protocol-Specification

(j’ai pas encore fini de re-travailler cette page mais elle devrait être suffisamment conforme pour répondre à tes questions :) )





Du Diffie-Hellman sur base de courbes élliptiques, donc ;)





Yeah!!! Merci!! Je regarderai le détail ça ce soir.









eXa a écrit :



http://fr.wikipedia.org/wiki/Cryptocat









Oulà oulà, c’est pas à jour tout ça :p







®om a écrit :



Pour ceux qui utilisent Pidgin-OTR, utilisez-vous une clé par ressource (par exemple une pour la maison et une pour le boulot) ou une clé pour toutes les ressources du même compte?



Lorsqu’on utilise des clés différentes, c’est assez chaotique (au moins une des deux ressources ne pourront plus le déchiffrer).

D’un autre côté, à part copier manuellement ~/.purple/otr.private_keys, rien n’est fait pour utiliser la même clé à plusieurs endroits… est-ce une bonne pratique pour OTR?







Garde une clé privée par station/appareil, et n’oublie pas de faire la vérification mutuelle de fingerprint pour chacune ;)



Comme ça si une machine est compromise, tu peux changer de machine et continuer tes conversations !







fwak a écrit :



Je ne parle pas de Cryptocat dont je ne connais pas le fonctionnement, je pensais à PGP.

Le code mis à dispo ne garantit pas que les experts en mesure d’analyse le code l’ont fait, et ont remonté/corrigé les failles. Ca, c’est un truc, ça m’a toujours amusé comme argument.







C’est un très très gros problème, plus que les gens ne le réalisent.

Il y a trop peu de gens qui relisent réellement le code et la spécification des protocoles des outils de sécurisation récents.



PGP, AES, Tor ont été scrutés de font en comble et sont aussi solides que les fondements mathématiques sur lesquels ils reposent (modulo la probabilité de LA faille qui aurait échappé à tout le monde, qu’on tente de faire tendre vers 0)



OTR est dans une catégorie intermédiaire. Assez scruté mais encore jeune, en comparison.



Cryptocat est encore en train de poser ses fondements et de concevoir/améliorer/corriger son protocole, c’est un nouveau né.

Il a besoin de murir et de BEAUCOUP PLUS de relectures pour être mis sur le même pied de fiabilité que PGP et Tor.



Il y a quelques projets intéressants destinés à améliorer, rendre plus facile et automatisé la relecture des projets récents/en mouvement par une communauté compétente, mais ces projets n’ont pas encore abouti :(







John Shaft a écrit :



C’est ballot, j’ai un membre de ma famille spécialisé dans un domaine proche de la cryptographie (factorisation des grands entiers) mais il n’aide personne <img data-src=" />





Montre-lui le projet, si ça le passionne il relira peut-être ça comme du p0rn et verra l’erreur que tout le monde a raté ?



C’est comme ça que je suis tombé dedans, moi :p




https://fr.wikipedia.org/wiki/Cryptocat#Faiblesses





La version web de Cryptocat, bien qu’utilisée via HTTPS, est toujours sensible à une modification du code côté serveur en cas de compromission du serveur. Cela est toutefois limité en cas d’utilisation de l’application Chrome, qui fait tourner le code localement de façon analogue à OTR. Cryptocat peut également hériter de vulnérabilités qui affectent son navigateur web.





Hahaha, ce passage est complètement périmé depuis la refonte de cryptocat 2 !





Comme quoi, on ne peut pas toujours compter sur la communauté de wikipedia pour tenir les pages à jour ;)

Mort de Michael Jackson &gt; Cryptocat corrige ses faiblesses








koolfy a écrit :



C’est un très très gros problème, plus que les gens ne le réalisent.

Il y a trop peu de gens qui relisent réellement le code et la spécification des protocoles des outils de sécurisation récents.





C’est tout le problème de l’open-source. Le bonne sécurité du logiciel est sensé être garanti par le fait que tout le monde puisse le lire. Mais déjà peu de monde sait lire du code facilement (on peut savoir programmer, mais être incapable de lire le code d’un autre) mais en plus dans certains domaines on rajoute une surcouche avec les concepts mathématiques sous-jacent qui demandent de bonnes bases pour être compris.



D’où l’intérêt d’apprendre la programmation, même en restant basique aux enfants et ado, comme on leur apprend les mathématiques, la chimie, la littérature, etc…



P.S: dans mon boulot je m’amuse à insérer volontairement des erreurs énormes dans mes drafts pour voir qui relit vraiment ou pas, pour l’instant aucune n’a été remontée, depuis 2 ans <img data-src=" /> Par contre les remarques sur la taille des marges et la police, ça j’en ai à la pelle.









Khalev a écrit :



C’est tout le problème de l’open-source. Le bonne sécurité du logiciel est sensé être garanti par le fait que tout le monde puisse le lire.







Ce n’est que la première étape…

Comme toute première étape, elle ne suffit pas, mais son absence élimine toutes les suivantes.





Mais déjà peu de monde sait lire du code facilement (on peut savoir programmer, mais être incapable de lire le code d’un autre)





D’où l’importance de maintenir des pages de spécification du protocole claires et détaillées. Ca permet aux gens familiers avec le sujet de “relire” les principes d’une application sans forcément épelucher le code source éparpillé dans 30 fichiers, et probablement dans un langage qu’ils maitrisent mal.



…si la spécification représente fidèlement ce que le code fait ;)





mais en plus dans certains domaines on rajoute une surcouche avec les concepts mathématiques sous-jacent qui demandent de bonnes bases pour être compris.





C’est sur que les experts sont rares dans tous les domaines, et leur temps précieux.

D’où l’idée de leur rendre la tâche aussi facile et assistée que possible !





P.S: dans mon boulot je m’amuse à insérer volontairement des erreurs énormes dans mes drafts pour voir qui relit vraiment ou pas, pour l’instant aucune n’a été remontée, depuis 2 ans <img data-src=" /> Par contre les remarques sur la taille des marges et la police, ça j’en ai à la pelle.





ça ne m’étonne même pas :)









koolfy a écrit :



Montre-lui le projet, si ça le passionne il relira peut-être ça comme du p0rn et verra l’erreur que tout le monde a raté ?







Sachant que son pr0n, c’est (ou c’était) aligner du code assembleur à la main pour gagner 1µs sur une routine appelée genre 10 fois par heure <img data-src=" />



Enfin, sait on jamais : la prochaine fois que je le vois je lui en parle <img data-src=" />









John Shaft a écrit :



Sachant que son pr0n, c’est (ou c’était) aligner du code assembleur à la main pour gagner 1µs sur une routine appelée genre 10 fois par heure





C’est une maladie plus répandue qu’on ne le croit. <img data-src=" />









HarmattanBlow a écrit :



C’est une maladie plus répandue qu’on ne le croit. <img data-src=" />







Hmmm, tu le vois mon gros NOP <img data-src=" />



<img data-src=" />









Exosta a écrit :



Ah les outils sécurisés… Le plus dur, c’est pas de les utiliser, c’est de faire prendre conscience à son entourage leur nécessité et qu’ils s’affranchissent des moyens faciles à utiliser et sans prise de tête qu’ils ont l’habitude d’user au quotidien. […]







C’est un combat perdu d’avance… La plupart des gens ne s’intéressent qu’à l’utilité et l’enthousiasme que procurent un outil informatique (Facebook, Skype, …) ; s’il est sécurisé et soucieux de la vie privée, c’est un petit plus pour eux mais s’il ne l’est pas, tant pis. Et avec toutes les raisons qu’ils invoquent pour ne pas changer leurs habitudes, les choses resteront telles qu’elles sont ou empireront….









John Shaft a écrit :



Hmmm, tu le vois mon gros NOP





“Nan mais je sais que ça sert à rien, que c’est une perte de temps, que ça pourrit le code, le rend illisible et introduit des bogues et des failles de sécurité là où il n’y avait aucun problème de performances. Mais pense à la planète ! 10 x 10microsecondes par heure, c’est 136 millionième d’énergie économisée. La planète, bordel, la planète !”



Commit 2784 by G.Opti. “Super optimisation, noobz.” 17 files, +12546lines.

Commit 2785 by Boss. Reverted commit 2784.

<img data-src=" />









Ricard a écrit :



Heu…; C’est normal que mon post #2 soit affiché chez un autre INpactien (#1) ?<img data-src=" />







Double compte spotted <img data-src=" />









David_L a écrit :



https://github.com/cryptocat/cryptocat





<img data-src=" /> Mici









Exosta a écrit :



En quoi le fait qu’un système soit centralisé ait une incidence sur la confidentialité ? Le P2P, sans Tor, permet d’identifier tout le monde sur le réseau par exemple. Un système centralisé avec des protocoles de chiffrement peut très bien répondre au besoin de la vie privée.







Malheuresement non: meme en considerant que le code est depourvue de faille de securite.

Bonjour nous c’est la CIA/FBI/NSA/whatever: on veut ca, ca et ca, si vous refusez on vous inculpe pour entrave a une enquete anti terroriste. Merci et aurevoir.



Quelqun a poste un lien rigolos sur TOR et HTTPS. Le probleme, c’est que HTTPS ne protege pas d’un MITM organise par un gouvernement. Je n’ai aucun doute sur le fait que si une agence gouvernementale importante demande a Verisign: “Faites nous un certificat issue de votre root CA pour tel DN (site)” eh bah ils l’obtiennent leur certif, et MITM c’est parti.









Commentaire_supprime a écrit :



Je pars du principe que la sécurité absolue est impossible.



Et que tout point de convergence de données facilite leur exploitation malveillante, open source ou pas, code audité ou pas.



Avec un système décentralisé, on ne peut accéder qu’à une infime partie des données que l’on convoite si on attaque un noeud du réseau. Pour les avoir toutes, il faut attaque tous les noeuds du réseau, ce qui est humainement impossible avec un système de P2P.



Avec un point de passage obligé dans une architecture centralisée, cette sécurité disparait, et c’est là le problème…





Tu as raison, sauf sur le premier point : la sécurité absolue est théoriquement possible si on travail au photon prêt. Il y avait eu des tests laboratoire avec des fibre optique, et des photons “leurres” et photons “info” qui permettaient d’exclure tout type de faille réseau sur un réseau P2P.



J’ai envie de dire, pour commencer arrêtez d’utiliser tout ce qui sort des 9 entreprises qui sont dans le système ce sera déjà un commencement.


de toute facon cryptocat = caca

je prefere un vrau bon irc








Kirito a écrit :



de toute facon cryptocat = caca

je prefere un vrau bon irc







Un petit coucou au boulet du jour, qui ne comprend rien au sujet et qui préfère lâcher un commentaire inutile <img data-src=" />









Glyphe a écrit :



Un petit coucou au boulet du jour, qui ne comprend rien au sujet et qui préfère lâcher un commentaire inutile <img data-src=" />







Je ne nie pas avoir lu QUE le titre et balancer mon commentaire a l’aveuglette (mes yeux arrivent a peine a rester ouvert, dernier jour d’etude avant les vacances) <img data-src=" />



<img data-src=" />



Sinon il y a I2P aussi. C’est un réseau un peu à la TOR, sauf qu’eux font une surcouche réseau complète et universelle.



Avantages :




  • Multiplateforme (Java)

  • Chiffré de bout en bout à tout les niveaux et anonyme

  • Extrêmement performant (pour un réseau anonyme)

  • Tunnels bidirectionnels entre les pairs, on peut offrir des vrais services web avec lesquels on peut interagir directement !

  • Universel, c’est une surcouche réseau complète, les applications I2P l’utilisent directement tandis que les applis classiques peuvent éventuellement utiliser un proxy local pour faire le pont, un vrai réseau Internet alternatif !

  • Très simple d’utilisation, installe juste un service commandé par une interface web, se mettant (facultativement) à jour tout seul, et avec de nombreux plugins fournis par défaut pour avoir un mail, Bitorrent, un proxy HTTP(S) et IRC…



    Ça poutre sa maman, mangez-en ! <img data-src=" />






    John Shaft a écrit :

    Ensuite, il peut toujours y avoir une vilaine faille cachée dans le code de Cryptocat. Enfin je suppose que c’est un point particulièrement suivi par ceux qui participent aux dév du truc <img data-src=" />





    Oui, ne t’inquiète pas, le FBI, la NSA et la CIA se sont chargés personnellement de s’occuper du code, et je peut te dire que ce sont de grosses pointures niveau sécurité, tu peut dormir tranquille. <img data-src=" />




    Khalev a écrit :

    P.S: dans mon boulot je m’amuse à insérer volontairement des erreurs énormes dans mes drafts pour voir qui relit vraiment ou pas, pour l’instant aucune n’a été remontée, depuis 2 ans <img data-src=" /> Par contre les remarques sur la taille des marges et la police, ça j’en ai à la pelle.





    C’était donc toi cette histoire de Referer ! Salaud ! <img data-src=" />


Terroristes !








Oungawak a écrit :



Oui, ne t’inquiète pas, le FBI, la NSA et la CIA se sont chargés personnellement de s’occuper du code, et je peut te dire que ce sont de grosses pointures niveau sécurité, tu peut dormir tranquille. <img data-src=" />







Naaaaan, j’aurai plus appelé les mecs de chez Sony <img data-src=" />



<img data-src=" />



Une question que je me pose cher inpactien (et je me la pose vraiment)

Vous cryptez par principe ou parce que vous avez des choses à cacher?








totokro a écrit :



Une question que je me pose cher inpactien (et je me la pose vraiment)

Vous cryptez par principe ou parce que vous avez des choses à cacher?





Tu as des rideaux ou des volets chez toi ?

Si oui, c’est pour le principe ou parce que tu as des choses à cacher ?



Je n’ai pas de rideaux chez moi et je crypte en milieu professionel.



On peut avoir des choses à cacher sans que ce soit répréhensible. Mais je me demande si ceux qui mette cela en place c’est par principe ou parce que la nécessité les y poussent?








totokro a écrit :



Je n’ai pas de rideaux chez moi





Alors tu ne dois pas comprendre les annonces immobilier du style : “pas de vis à vis”, “vue imprenable”, “tranquillité assurée”… des rideaux, c’est le minimum syndical.









Oungawak a écrit :



C’était donc toi cette histoire de Referer ! Salaud ! <img data-src=" />





J’enlève mes erreurs pour la version finale quand même. En théorie <img data-src=" />