Cryptocat débarque sur Android et iOS le mois prochain

Cryptocat débarque sur Android et iOS le mois prochain

Les messageries sécurisées se multiplient

Avatar de l'auteur
David Legrand

Publié dans

Logiciel

06/11/2013 2 minutes
53

Cryptocat débarque sur Android et iOS le mois prochain

Cryptocat, l'application web qui tente de rendre les conversations chiffrées simples d'utilisation connait actuellement quelques bouleversements. En effet, alors que l'outil continue son évolution, les versions mobiles sont attendues pour le mois prochain. Dans le même temps, un graphique d'usage a été mis en ligne.

Cryptocat Network Monitor

 

Combien de personnes utilisent Cryptocat dans le monde ? C'est à cette question que tente de répondre le Cryptocat Network Monitor, un outil mis en ligne il y a quelques jours par l'équipe. Celui-ci prend la forme d'un simple graphique mis à jour toutes les cinq minutes et qui indique le nombre d'utilisateurs de l'application. Dommage que l'on ne puisse pas remonter à plus de 8h dans le temps pour le moment, ou avoir des statistiques par semaine ou par mois par exemple. 

 

Dans le même temps, on apprend que les versions Android et iOS, attendues de longue date, arriveront finalement au mois de décembre. De premières captures ont été mises en ligne sur Twitter et l'on ne sait pas encore ce qu'il sera possible de faire avec les premières moutures. Rien n'a été dit concernant celles destinées à Firefox OS ou Windows Phone qui étaient au départ attendues pour la fin de l'année. Il faudra certainement patienter là aussi quelques mois de plus. Pour rappel, la version 2.1.15 a été déployée sur les différents navigateurs et store. Elle apporte quelques améliorations après la grosse mise à jour de septembre.

 

Et pour ceux qui voudraient en savoir plus sur la façon de voir les choses du créateur de Cryptocat, Nadim Kobeissi, voici sa présentation effectuée lors de la TEDx Montreal fin septembre. Il avait aussi participé en juin dernier à un workshop sur la sécurité et la vie privée à destination des journalistes. 

 

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Fermer

Commentaires (53)


corsebou
Le 06/11/2013 à 07h 50

Mouais, il y a plusieurs manières de voir le problème:





  1. On utilise ces outils, encrypte les conversations et espère que la NSA ou autre(s) ne les déchiffrent pas. Sachant que les données seront quand même capturées, et que cela sera “suspect”, et qu’au final, il sera possible que cela deviendra la “norme”, donc ils adapteront leurs outils pour cela.



    Ou:



  2. On conserve l’utilisation actuelle, mais on remplie a chaque messages les mots-clés qui les embetent: terroriste, bombe, attentat, actions, shares, etc… Comme cela c’est un flood massif, ils n’arriveront plus rien a filtrer, et deviendront casi inefficace



    Bref… J’ai choisit mon camp…

    <img data-src=" />

    terroriste, bombe, attentat, actions, shares…


Pr. Thibault
Le 06/11/2013 à 07h 54

Etant donné l’étendue de l’emprise de la NSA sur Internet, la surface d’attaque de ce type de service grand public est tellement large qu’il est difficile d’y fonder une quelconque confiance…



La NSA pourrait s’introduire sur les serveurs du service, pourrait récupérer les données cryptées lorsqu’elles circulent sur le réseau et les décrypter grâce aux clés privées qu’elle aurait pu récupérer notamment auprès des autorités de certification (ce qu’elle fait déjà pour le SSL), on peut même se demander ce qui nous garantie que le créateur de ce logiciel ne travaille pas en collaboration avec la NSA… à part sa parole, rien… Le plus simple pour la NSA, pour avoir accès aux communications privées, reste sans doute de créer son propre logiciel de communication “sécurisé” et le distribuer par le biais d’un tiers qui crierait sur tous les toits “utilisez tous mon système, il est sécurisé et crypté”…


Danytime
Le 06/11/2013 à 07h 57







corsebou a écrit :



Mouais, il y a plusieurs manières de voir le problème:





  1. On utilise ces outils, encrypte les conversations et espère que la NSA ou autre(s) ne les déchiffrent pas. Sachant que les données seront quand même capturées, et que cela sera “suspect”, et qu’au final, il sera possible que cela deviendra la “norme”, donc ils adapteront leurs outils pour cela.



    Ou:



  2. On conserve l’utilisation actuelle, mais on remplie a chaque messages les mots-clés qui les embetent: terroriste, bombe, attentat, actions, shares, etc… Comme cela c’est un flood massif, ils n’arriveront plus rien a filtrer, et deviendront casi inefficace



    Bref… J’ai choisit mon camp…

    <img data-src=" />

    terroriste, bombe, attentat, actions, shares…



    Il me semble que le NSA ne fait pas de tri. Ils prennent tout ce qu’il y a, ils analysent et voilà. Ils s’en foutent des mot-clés.

    Je pense que les mot-clés c’est pour faire genre il y a une limite à ne pas dépassé.



David_L Abonné
Le 06/11/2013 à 08h 00







Pr. Thibault a écrit :



Etant donné l’étendue de l’emprise de la NSA sur Internet, la surface d’attaque de ce type de service grand public est tellement large qu’il est difficile d’y fonder une quelconque confiance…



La NSA pourrait s’introduire sur les serveurs du service, pourrait récupérer les données cryptées lorsqu’elles circulent sur le réseau et les décrypter grâce aux clés privées qu’elle aurait pu récupérer notamment auprès des autorités de certification (ce qu’elle fait déjà pour le SSL), on peut même se demander ce qui nous garantie que le créateur de ce logiciel ne travaille pas en collaboration avec la NSA… à part sa parole, rien… Le plus simple pour la NSA, pour avoir accès aux communications privées, reste sans doute de créer son propre logiciel de communication “sécurisé” et le distribuer par le biais d’un tiers qui crierait sur tous les toits “utilisez tous mon système, il est sécurisé et crypté”…





Tu sembles oublier deux choses : CC est open source, il exploite le protocole OTR et du symétrique pour son chiffrement. Après tout ce que tu dis vaut 100x plus pour n’importe quel autre système de messagerie. Ton analyse de fond est donc : il ne faut plus communiquer ? Je veux bien qu’on fasse dans la parano totale sans discernement à chaque actu de ce genre, mais faudrait tout de même apprendre à nuancer un minimum les choses.



corsebou
Le 06/11/2013 à 08h 16







Danytime a écrit :



Il me semble que le NSA ne fait pas de tri. Ils prennent tout ce qu’il y a, ils analysent et voilà. Ils s’en foutent des mot-clés.

Je pense que les mot-clés c’est pour faire genre il y a une limite à ne pas dépassé.





Zut mon message s’est effacé…



Je disais que le filtrage est justement peut-être le point faible de leur campagne de collecte de données.

Dans le cas du tout crypté, ils collectent tout quand même et devront juste casser la crypto.

Dans le cas actuel si tout le monde floode avec des mot-clés susceptibles de les interesser, tu les rends innefficace… Comment vont ils filtrer et analyser tout cela??



Par exemple en supprimant tout les “bombes” des emails, ils supprimeront potentiellement les vrais “mails terroristes” (si cela existe).

En regardant tout les “bombes” ils vont avoir du sacré travail…

<img data-src=" />






corsebou
Le 06/11/2013 à 08h 20







Danytime a écrit :



Il me semble que le NSA ne fait pas de tri. Ils prennent tout ce qu’il y a, ils analysent et voilà. Ils s’en foutent des mot-clés.

Je pense que les mot-clés c’est pour faire genre il y a une limite à ne pas dépassé.





Oui, correct-

Mais c’est justement la la différence:



Dans le cas de la crypto, ils captureront tout quand même-

Et une fois la clé cassée c’est foutu-



Par contre, dans le cas ou les données sont filtrées, tu peux bien les pourrir, tout simplement parceque c’est justement filtré grâce a une liste de mots clés.



En gros, si ils suppriment “bombe” de tout les emails, ils se retrouveront a supprimer les vrais emails de terroristes (c’est bien sur simplifée, hein?).

Donc ils doivent quand même analyser les mails grâce a des mots cles, donc si tu les floode de tout et n’importe quoi, ils auront un mal fou a identifier un email important/interessant….








Les deux stores vont refusée l’appli s’il n’y a pas de portes dérobées pour les autorités… c’est dans les conditions générales pour respecter la loi US <img data-src=" />


mattox37
Le 06/11/2013 à 08h 35







corsebou a écrit :



Mouais, il y a plusieurs manières de voir le problème:





  1. On utilise ces outils, encrypte les conversations et espère que la NSA ou autre(s) ne les déchiffrent pas. Sachant que les données seront quand même capturées, et que cela sera “suspect”, et qu’au final, il sera possible que cela deviendra la “norme”, donc ils adapteront leurs outils pour cela.



    Ou:



  2. On conserve l’utilisation actuelle, mais on remplie a chaque messages les mots-clés qui les embetent: terroriste, bombe, attentat, actions, shares, etc… Comme cela c’est un flood massif, ils n’arriveront plus rien a filtrer, et deviendront casi inefficace



    Bref… J’ai choisit mon camp…

    <img data-src=" />

    terroriste, bombe, attentat, actions, shares…







    oui enfin il faut se leurrer, si la NSA surveille un maximum de conversation sous couvert de leur loi anti-terroriste c’est pour les utiliser à d’autres fins (espionnages d’entreprises, de mouvements révolutionnaires, .. . enfin pour contrôler un maximum de choses quoi)



    pour moi le tout crypté est la solution



Tornado_OLO
Le 06/11/2013 à 08h 38







manu0086 a écrit :



Les deux stores vont refusée l’appli s’il n’y a pas de portes dérobées pour les autorités… c’est dans les conditions générales pour respecter la loi US <img data-src=" />





Tant que ça se retrouve sur F-Droid, ça me va <img data-src=" />



J’ai jamais compris pourquoi ils mettent tant de temps à sortir leur outil en version application mobile.

C’est bien plus pratique à utiliser de la sorte que via une extension dans le navigateur web…

vivement que ça sorte, ça fait fait plus d’un an que je l’attend.



corsebou
Le 06/11/2013 à 08h 39







mattox37 a écrit :



oui enfin il faut se leurrer, si la NSA surveille un maximum de conversation sous couvert de leur loi anti-terroriste c’est pour les utiliser à d’autres fins (espionnages d’entreprises, de mouvements révolutionnaires, .. . enfin pour contrôler un maximum de choses quoi)



pour moi le tout crypté est la solution





Oui ils veulent controller mais comment arriveront il a filtrer/récuperer des données interessantes, si chaque emails contiennent les même mots-clés qu’ils recherchent???



maestro321
Le 06/11/2013 à 08h 58







corsebou a écrit :



Oui ils veulent controller mais comment arriveront il a filtrer/récuperer des données interessantes, si chaque emails contiennent les même mots-clés qu’ils recherchent???





Inutile d’aller plus loin, ils ne cherchent pas des terroristes (ou rarement), ils espionnent pour faire de l’espionnage industriel / politique / économique / millitaire.

Ils n’en on rien à péter de ton mail avec “Bombe” ou “attentat”.



kyrios123
Le 06/11/2013 à 09h 02

@corsebou : mettre des mots-clés susceptibles d’être interceptés ne servira qu’à augmenter les chances que tes conversations soient analysées… et encore, ils ont certainement plain d’algo +/- bien fichu qui arrivent à cibler le contexte pour éliminer la plupart des faux positifs…



Parser du texte est une opération simple et peu coûteuse en ressources.



Déchiffrer des messages est quelque chose de très gourmand en ressources, ce qui rend impossible une surveillance de masse, ce qui oblige un ciblage des individus à espionner.



Entre des millions d’individus qui spamment leurs messages de mot-clés à la con et des millions d’individus qui chiffrent leurs échanges, ce n’est certainement pas la première solution qui emmerdera le plus les agences de renseignements.



De plus, la méthode que tu préconise, ne te protège en rien des menaces des sociétés commerciales qui voudraient te profiler, ni des “piratins” contrairement au chiffrement qui malgré les doutes et ses faiblesse reste LA meilleure solution à ce jour!


corsebou
Le 06/11/2013 à 09h 07







maestro321 a écrit :



Inutile d’aller plus loin, ils ne cherchent pas des terroristes (ou rarement), ils espionnent pour faire de l’espionnage industriel / politique / économique / millitaire.

Ils n’en on rien à péter de ton mail avec “Bombe” ou “attentat”.





Donc remplace “bombe” par IBM, shares, sell, technology x ou y…etc…



Justement le principe c’est d’avoir une liste complète de tout ce qui pourrait les interesser….




le podoclaste
Le 06/11/2013 à 09h 07







corsebou a écrit :



Oui, correct-

Mais c’est justement la la différence:



Dans le cas de la crypto, ils captureront tout quand même-

Et une fois la clé cassée c’est foutu-







Même la NSA n’a pas de ressource infinie, et un bon chiffrage avec une bonne clé, ça reste très long à casser. Dès aujourd’hui, la quantité de données chiffrées qui transite doit être hors de leur portée de calcul.



De plus, comme d’habitude, s’ils doivent consacrés du temps de traitement (ou d’ingénierie sociale) à décrypter des message, la priorité sera portée à ceux d’hommes d’état, industriels, diplomates, etc. plutôt qu’à ceux de Mme Michu ou John Q. Public.



V_E_B Abonné
Le 06/11/2013 à 09h 10

Cryptage et floodage de mots clef ne sont pas incompatible. Quitte à faire ch*, autant le faire à fond <img data-src=" />


Holly Brius
Le 06/11/2013 à 09h 16







corsebou a écrit :



Zut mon message s’est effacé…



Je disais que le filtrage est justement peut-être le point faible de leur campagne de collecte de données.

Dans le cas du tout crypté, ils collectent tout quand même et devront juste casser la crypto.

Dans le cas actuel si tout le monde floode avec des mot-clés susceptibles de les interesser, tu les rends innefficace… Comment vont ils filtrer et analyser tout cela??



Par exemple en supprimant tout les “bombes” des emails, ils supprimeront potentiellement les vrais “mails terroristes” (si cela existe).

En regardant tout les “bombes” ils vont avoir du sacré travail…

<img data-src=" />





Les mecs, la recherche de mot clés dans les mails ça date des années 2000, on est en 2013…



maestro321
Le 06/11/2013 à 09h 17







corsebou a écrit :



Donc remplace “bombe” par IBM, shares, sell, technology x ou y…etc…



Justement le principe c’est d’avoir une liste complète de tout ce qui pourrait les interesser….





Comme dit plus haut c’est un ensemble.

Il ne vont pas se faire chier à analyser les mails qui sortent du fin fond du Cantal.

Par contre les mails qui sortent de la Défense doivent bien plus les intéresser.



Ils ont des outils d’ingénierie sociale (merci google et consor) qui vont placer en deux temps trois mouvement tes mails à la poubelle quand ils verront qu’il ne s’agit que de mots clefs hasardeux.



Enfin perso j’y croit très peu à cette solution.

Beaucoup d’efforts (pour arriver à faire des mails convainquants) et des résultats difficilement estimables….



Chiffrer l’ensemble des communications les ferra autrement plus chier, et est applicable à grande échelle pour le grand public (contrairement à ton histoire de mots clef).



corsebou
Le 06/11/2013 à 09h 17







kyrios123 a écrit :





  1. @corsebou : mettre des mots-clés susceptibles d’être interceptés ne servira qu’à augmenter les chances que tes conversations soient analysées… et encore, ils ont certainement plain d’algo +/- bien fichu qui arrivent à cibler le contexte pour éliminer la plupart des faux positifs…





    1. Parser du texte est une opération simple et peu coûteuse en ressources.



    2. Déchiffrer des messages est quelque chose de très gourmand en ressources, ce qui rend impossible une surveillance de masse, ce qui oblige un ciblage des individus à espionner.



    3. Entre des millions d’individus qui spamment leurs messages de mot-clés à la con et des millions d’individus qui chiffrent leurs échanges, ce n’est certainement pas la première solution qui emmerdera le plus les agences de renseignements.



    4. De plus, la méthode que tu préconise, ne te protège en rien des menaces des sociétés commerciales qui voudraient te profiler, ni des “piratins” contrairement au chiffrement qui malgré les doutes et ses faiblesse reste LA meilleure solution à ce jour!







    5. Oui justement, chances d’êtres analysés, mais justement, il faut voir comment ils filtrent analysent… Je ne suis pas sur qu’ils y a un script “standard” qui filtrerait exactement l’information importante, mais en faisans plusieurs versions, et des expressions régulières, exclusions, mots clés, etc…



    6. Oui- maintenant il faut voir comment c’est analysé- une masse de donnée inbuvable ne les aideras pas non plus et ils ne peuvent pas processer manuellement.



    7. Oui, seulement il suffit qu’ils cassent la clé et c’est fini-Ou bien qu’ils s’introduisent dans le server principal, comme il a été dit auparavant. Si cela se trouve il leur sera possible d’intercepter les données avant chiffrement, ou récupérer les clées, etc…



    8. Tout dépends de leur capacité de filtrage, d’analyse.

      Maintenant, avec les super processeurs de nos jours et vu le coût relativement faible, ils ont les capacitées pour déchiffrer tellement rapidement que c’est anecdotique.



    9. Ma “méthode” ou plutôt suggestion, peut être aussi combinée avec du chiffrement ou autre- C’est plutôt le concept de les flooder et de leur fournir un nombre massifs de données difficiles a filtrer VS faire confiance a un algorithme d’encryption qui sera forcément cassé…

      Une sorte de roseau VS le tronc d’arbre! Au bout d’un moment, d’un point de vue technologique, ils inventeront forcément la tronconneuse…




kyrios123
Le 06/11/2013 à 09h 18







V_E_B a écrit :



Cryptage et floodage de mots clef ne sont pas incompatible. Quitte à faire ch*, autant le faire à fond <img data-src=" />



Euuuhh si tes mots-clés sont chiffrés, ils ne les verront qu’après avoir déchiffré le message donc niveau floodage c’est loupé ! <img data-src=" />



corsebou
Le 06/11/2013 à 09h 18







Holly Brius a écrit :



Les mecs, la recherche de mot clés dans les mails ça date des années 2000, on est en 2013…





Explique alors comment ils extraient des données importantes des emails?

Comment ils les trient, les analyses?



Jesuisserieux
Le 06/11/2013 à 09h 18







corsebou a écrit :



Oui, correct-

Mais c’est justement la la différence:



Dans le cas de la crypto, ils captureront tout quand même-

Et une fois la clé cassée c’est foutu-



Par contre, dans le cas ou les données sont filtrées, tu peux bien les pourrir, tout simplement parceque c’est justement filtré grâce a une liste de mots clés.



En gros, si ils suppriment “bombe” de tout les emails, ils se retrouveront a supprimer les vrais emails de terroristes (c’est bien sur simplifée, hein?).

Donc ils doivent quand même analyser les mails grâce a des mots cles, donc si tu les floode de tout et n’importe quoi, ils auront un mal fou a identifier un email important/interessant….







(Gentillement) Tu as trop vu de films de terroristes des années 80^^ (les meilleurs à mon gout) pour croire que les terro (Go go go !!) avec un GSM vont dire Terro à leur interlocuteur afin de pouvoir attendre tranquillement le missile lancé par le drone leur tomber dessus. Ils sont pas betes les terro et changent les mots par exemple (Source le Terro pour les Nuls) les terro ne disent pas bombe mais couscoussière (cf Les SOus doués:http://www.youtube.com/watch?v=lsPUYLw930o)



Voila, culture, toussa



corsebou
Le 06/11/2013 à 09h 20







kyrios123 a écrit :



Euuuhh si tes mots-clés sont chiffrés, ils ne les verront qu’après avoir déchiffré le message donc niveau floodage c’est loupé ! <img data-src=" />





Bien non parceque une fois décrypté en masse, ils seront aussi processé (analysé) en masse…

Ils liront pas les emails un a un, hein?



Holly Brius
Le 06/11/2013 à 09h 21







mattox37 a écrit :



pour moi le tout crypté est la solution





Et devenir suspect à cause de l’entropie des échanges réseaux qui en résulte….

En espérant trouver un solution de cryptage non vérolé…

Et dans ce cas, y a toujours ton OS potentiellement et ton hardware sur lesquels tu n’as au final quasiment aucune prise…



Holly Brius
Le 06/11/2013 à 09h 25







corsebou a écrit :



Explique alors comment ils extraient des données importantes des emails?

Comment ils les trient, les analyses?





Toi tu devrais matter les cours de science po sur le big data et les démos des softs disponibles pour les états…

Les technos sont dispos… cherche dans les publications scientifiques… pour le howto…



caesar
Le 06/11/2013 à 09h 26







corsebou a écrit :



Zut mon message s’est effacé…



Je disais que le filtrage est justement peut-être le point faible de leur campagne de collecte de données.

Dans le cas du tout crypté, ils collectent tout quand même et devront juste casser la crypto.

Dans le cas actuel si tout le monde floode avec des mot-clés susceptibles de les interesser, tu les rends innefficace… Comment vont ils filtrer et analyser tout cela??



Par exemple en supprimant tout les “bombes” des emails, ils supprimeront potentiellement les vrais “mails terroristes” (si cela existe).

En regardant tout les “bombes” ils vont avoir du sacré travail…

<img data-src=" />







Ça fait longtemps que la nsa a dépassé le système de mot clé… verification de cohérence et d’intention… <img data-src=" />



Ça fait longtemps que la GOOGLE a dépassé le système de mot clé… verification de cohérence et d’intention… alors la nsa elle s’en torche de tes mots clé puissance mille (- pour ce qui est du terrorisme -) <img data-src=" />




corsebou
Le 06/11/2013 à 09h 26







maestro321 a écrit :



Chiffrer l’ensemble des communications les ferra autrement plus chier, et est applicable à grande échelle pour le grand public (contrairement à ton histoire de mots clef).







Tu parles, si le chiffrement massif devient la norme, la plupart des échanges seront chiffrés, donc ils seront parfaitement OU est l’information.



Ils ont déja les moyens et des supercalculateurs, donc finalement ce n’est que les inciter a casser les chiffrements et s’introduire dans les maillons faibles de cette “soit-disant” chaine de sécurité…




maestro321
Le 06/11/2013 à 09h 32







corsebou a écrit :



Ils ont déja les moyens et des supercalculateurs





Le temps perdu à déchiffrer est du temps perdu à analyser.







corsebou a écrit :



donc finalement ce n’est que les inciter a casser les chiffrements et s’introduire dans les maillons faibles de cette “soit-disant” chaine de sécurité…





Ils chercherons à s’y introduire de toute façon, c’est leur métier.



hellmut Abonné
Le 06/11/2013 à 09h 33







Pr. Thibault a écrit :



Etant donné l’étendue de l’emprise de la NSA sur Internet, la surface d’attaque de ce type de service grand public est tellement large qu’il est difficile d’y fonder une quelconque confiance…



La NSA pourrait s’introduire sur les serveurs du service, pourrait récupérer les données cryptées lorsqu’elles circulent sur le réseau et les décrypter grâce aux clés privées qu’elle aurait pu récupérer notamment auprès des autorités de certification (ce qu’elle fait déjà pour le SSL), on peut même se demander ce qui nous garantie que le créateur de ce logiciel ne travaille pas en collaboration avec la NSA… à part sa parole, rien… Le plus simple pour la NSA, pour avoir accès aux communications privées, reste sans doute de créer son propre logiciel de communication “sécurisé” et le distribuer par le biais d’un tiers qui crierait sur tous les toits “utilisez tous mon système, il est sécurisé et crypté”…





oui enfin le plus simple c’est quand même de coller une backdoor ou un keylogger dans l’OS, et non d’essayer de capter et décrypter des échanges chiffrés.

la faille de sécu dans le cas d’une appli android ou iOS c’est bien android ou iOS, pas l’appli potentiellement licenciée CC et réellement sécurisée. surtout iOS d’ailleurs, dont les sources sont fermées. Android a aussi des sources fermées, en particulier les applis Google, massivement utilisées.



la NSA ils sont forts, mais pas assez pour bruteforcer toutes les coms chiffrées mondiales quand même.<img data-src=" />



hellmut Abonné
Le 06/11/2013 à 09h 35







maestro321 a écrit :



Le temps perdu à déchiffrer est du temps perdu à analyser.





Ils chercherons à s’y introduire de toute façon, c’est leur métier.





+10.

avant de chercher à déchiffrer ils essaieront d’abord de bypasser le chiffrement en captant les données avant qu’elles soient chiffrées. c’est largement moins coûteux.



kyrios123
Le 06/11/2013 à 09h 35







corsebou a écrit :



Bien non parceque une fois décrypté en masse, ils seront aussi processé (analysé) en masse…

Ils liront pas les emails un a un, hein?



Déchiffrer en masse <img data-src=" />

Malgré ses moyens, même la NSA à ses limites !



bord
Le 06/11/2013 à 09h 35







manu0086 a écrit :



Les deux stores vont refusée l’appli s’il n’y a pas de portes dérobées pour les autorités… c’est dans les conditions générales pour respecter la loi US <img data-src=" />







Tout comme AD away … pourtant il est facile de se le procurer…



le podoclaste
Le 06/11/2013 à 09h 36







corsebou a écrit :



Bien non parceque une fois décrypté en masse, ils seront aussi processé (analysé) en masse…

Ils liront pas les emails un a un, hein?







Déjà, décrypter en masse, ça veut pas dire grand chose. Si chaque donnée chiffrée à sa propre clé, alors chacune devra avoir son traitement individualisée pour être cassée.



Ensuite, entre le décryptage et l’analyse de mots-clés, le ratio de temps traitement doit être pifométriquement de l’ordre de 1 pour 10^25. Ton astuce revient à peu près à mettre des billets de monopoly avec tes vrais billets dans ton coffre fort, dans l’espoir que celui qui l’a percé se disent “oh, zut, des billets de monopoly, je me suis encore fait avoir”.




Chamaloxxx
Le 06/11/2013 à 10h 05







corsebou a écrit :



Oui ils veulent controller mais comment arriveront il a filtrer/récuperer des données interessantes, si chaque emails contiennent les même mots-clés qu’ils recherchent???







Parce que le neuneu de base (donc la majorité des utilisateurs de ces outils) ne va pas s’emmerder à “personnaliser” ce flood et va copier/coller une liste qu’un blog lui aura assuré “emmerdant pour la NSA”.



Au 25eme message le robot aura appris a filtrer la séquence en entier.



Cette méthode n’est d’ailleurs pas nouvelle, sur Usenet j’avais déjà entendu causer de ça, avec une grosse liste à copier en fin de message.



La puissance de calcul disponible par la NSA est apparemment colossale. Donc j’imagine qu’ils ont des analyseurs sémantiques.



Sans compter que les “vrais” concernés n’utilisent certainement pas des mots aussi basiques dans leurs messages.



Donc à part se la jouer “hackerzzzzz” à la petite semaine ça n’a aucun intérêt.



J’attends avec impatience les messages Facebook “bonjour, nous sommes espionnés par la NSA, donc il faut résister, donc il faut les emmerder, donc il faut saturer leurs analyses, donc il faut recopier cette liste de mots-clés : bombe, attentat, couilles du pape, gaz sarin, patrick sébastien, etc.”.



V_E_B Abonné
Le 06/11/2013 à 10h 21







kyrios123 a écrit :



Euuuhh si tes mots-clés sont chiffrés, ils ne les verront qu’après avoir déchiffré le message donc niveau floodage c’est loupé ! <img data-src=" />





Sauf si tu te rappelle du postulat de départ qui est que “tout le monde chiffre pour pourrir la NSA” et que “la NSA peut casser nos chiffrage”. Ils ne peuvent filtrer par mot clef avant déchiffrage, mais peuvent après.

Après, ma remarque n’était aps à prendre au sérieux, mais plutôt comme “there is no such thing as overkill” <img data-src=" />



dualboot
Le 06/11/2013 à 11h 18







Danytime a écrit :



Il me semble que le NSA ne fait pas de tri. Ils prennent tout ce qu’il y a, ils analysent et voilà. Ils s’en foutent des mot-clés.

Je pense que les mot-clés c’est pour faire genre il y a une limite à ne pas dépassé.





Et quand c’est crypté pas vraiment possible de faire du tri par mot clef.



Glyphe
Le 06/11/2013 à 11h 36

Cryptocat reste l’outil de chat chiffré le plus simple du marché. Et la philosophie du projet est totalement digne de confiance ainsi que son codeur principal.

Les détails et la transparence faite à propos de failles qui concernaient des vieilles versions cet été a bien été la preuve que seul des applications open source peuvent nous apporter la sécurité nécéssaire à nos échanges privés !



Le portage de CC sur Firefox OS devrait être assez simple car la base est déjà en HTML/Javascript.


frikakwa
Le 06/11/2013 à 12h 20







David_L a écrit :



Tu sembles oublier deux choses : CC est open source, il exploite le protocole OTR et du symétrique pour son chiffrement. Après tout ce que tu dis vaut 100x plus pour n’importe quel autre système de messagerie. Ton analyse de fond est donc : il ne faut plus communiquer ? Je veux bien qu’on fasse dans la parano totale sans discernement à chaque actu de ce genre, mais faudrait tout de même apprendre à nuancer un minimum les choses.





+10000. Merci de remettre l’église au milieu du village car en ce moment, quoi qu’on dise, quoi qu’on fasse, on finit par se faire taxer de naïf ou pigeon!



Merci David! <img data-src=" />



Glyphe
Le 06/11/2013 à 12h 27

Pour faire simple, le server Cryptocat auquel les gens se connectent via l’application sert a relayer les messages chiffrés mais il ne possède pas les clés privées, qui elles se trouvent uniquement sur le PC des personnes qui discutent.

Donc même si la NSA compromettait le server, il n’aurait comme information que les adresses IP des gens qui discutent, en aucun cas le contenu de ce qu’elles se disent.



A savoir que sur OS X, Tor a été implémenté directement dans l’application Cryptocat et que donc les paquets peuvent passer par le réseau Tor entre le server et nous. Ce qui rajoute une couche de sécurité non-négligeable ! <img data-src=" />


mattox37
Le 06/11/2013 à 12h 49

ils peuvent le faire étant donné qu’on ne connait ni leurs algorithmes pour rechercher les sujets intéressant à leur yeux ni les sujets qui les intéresse.

et puis je pense aussi qu’ils font du tracking d’information ciblé sur des personnes en fusionnant les infos de facebook, google, etc …

par exemple si ils savent qu’un mec est impliqué dans une affaire intéressante à leur yeux ils ont plus qu’à fouiller dans les destinataires de ses communications internet pour trouver d’autre types …


mattox37
Le 06/11/2013 à 12h 56







Holly Brius a écrit :



Et devenir suspect à cause de l’entropie des échanges réseaux qui en résulte….

En espérant trouver un solution de cryptage non vérolé…

Et dans ce cas, y a toujours ton OS potentiellement et ton hardware sur lesquels tu n’as au final quasiment aucune prise…





Si suffisamment de gens cryptes leurs communications il sera très difficile d’espionner tout le monde.

Je pense que les gens qui ont vraiment des choses à se reprocher utilisent des solutions sures voir fait maison.

Windows est certainement bourré de mouchard c’est vrai ^^

Si tu utilises linux, le code source est lisible, tu peux le recompiler toit même et par conséquent tu peux être certain qu’il n’y aura pas de mouchards.

Dans tous les cas aucune solution n’est à 100% fiables, mais en cryptant à tout va l’espionnage de masse devient très compliqué



Holly Brius
Le 06/11/2013 à 17h 16







mattox37 a écrit :



Si suffisamment de gens cryptes leurs communications il sera très difficile d’espionner tout le monde.

Je pense que les gens qui ont vraiment des choses à se reprocher utilisent des solutions sures voir fait maison.

Windows est certainement bourré de mouchard c’est vrai ^^

Si tu utilises linux, le code source est lisible, tu peux le recompiler toit même et par conséquent tu peux être certain qu’il n’y aura pas de mouchards.

Dans tous les cas aucune solution n’est à 100% fiables, mais en cryptant à tout va l’espionnage de masse devient très compliqué





Encore un qui a oublié vpro d’intel <img data-src=" />

Encore un qui oublie que le moyen le plus simple de casser un cryptage, c’est de pomper les données avant…



Zimt
Le 06/11/2013 à 17h 17

En même tant le grand public ne comprend tellement rien à tout ça …



“C’est crypté alors c’est sécurisé.” <img data-src=" />



M’enfin, CT reste un bon début.







.


Glyphe
Le 06/11/2013 à 17h 55







Holly Brius a écrit :



Encore un qui a oublié vpro d’intel <img data-src=" />

Encore un qui oublie que le moyen le plus simple de casser un cryptage, c’est de pomper les données avant…







C’est toi qui a pas bien compris que si le chiffrement de bout en bout est généralisé sur la plupart des usages, ça oblige à pirater les ordinateurs de tout le monde pour récupérer les clés privées !

Et là on est plus du tout dans le même approche …



Sans parler de l’implémentation de technologies comme le Forward Secrecy qui rend impossible le déchiffrement des communications passées même avec la clé privée dérobée.









bord a écrit :



Tout comme AD away … pourtant il est facile de se le procurer…





Ah mais si vous êtes prêt à installer une application non officielle, ça change tout <img data-src=" />



Mais entre être suceptiblement surveillé par une autorité qui n’en a rien à foutre de vous et avoir à coup sûr son tél vérolé par des inconnus et ses gestes surveillés/enregistrés à coup sûr par les autorités, y’a un choix à faire :français:



C’est comme marcher dans la rue avec une cagoule, tu attires tout de suite le regard des autorités et surtout, tu es facilement identifiable car à un moment donné, tu quittes ta cagoule <img data-src=" />



Glyphe
Le 06/11/2013 à 19h 52







manu0086 a écrit :



Les deux stores vont refusée l’appli s’il n’y a pas de portes dérobées pour les autorités… c’est dans les conditions générales pour respecter la loi US <img data-src=" />







Allégation totalement ridicule.

On peut trouver des application telles que Orbot ou Orweb sur le store google pour Android. Donc Cryptocat n’aura aucun problème à y arriver ! <img data-src=" />



Les terroristes c’est eux même qui les ont placé ou il faut pour justement passer leurs saloperies de lois qui leurs permettent de faire à peu prêt tout ce qu’ils veulent…

Les tours jumelles en sont un exemple parfait…


choukky Abonné
Le 06/11/2013 à 20h 38







corsebou a écrit :



Oui ils veulent controller mais comment arriveront il a filtrer/récuperer des données interessantes, si chaque emails contiennent les même mots-clés qu’ils recherchent???





Quand on a quelque-chose à cacher, on chiffre ses messages.

Faisons donc comme les terroristes, chiffrons toutes nos communications.

Rien n’empêche de mettre des mots clefs bien choisi en bonus pour les faire chier, une fois qu’ils auront déchiffré le message. <img data-src=" />

C’est pas les usa qui craignaient une recrudescence du chiffrement suite à hadopi ?



choukky Abonné
Le 06/11/2013 à 20h 40







TheFelin a écrit :



Les terroristes c’est eux même qui les ont placé ou il faut pour justement passer leurs saloperies de lois qui leurs permettent de faire à peu prêt tout ce qu’ils veulent…

Les tours jumelles en sont un exemple parfait…





Oh le troll velu. <img data-src=" />









Glyphe a écrit :



Allégation totalement ridicule.

On peut trouver des application telles que Orbot ou Orweb sur le store google pour Android. Donc Cryptocat n’aura aucun problème à y arriver ! <img data-src=" />





Toi t’as jamais essayé de publier une application et donc encore moins lu les conditions d’utilisation <img data-src=" />



S’ils sont sur le store, c’est qu’il y a une bonne raison… <img data-src=" />



Glyphe
Le 06/11/2013 à 23h 41







manu0086 a écrit :



Toi t’as jamais essayé de publier une application et donc encore moins lu les conditions d’utilisation <img data-src=" />



S’ils sont sur le store, c’est qu’il y a une bonne raison… <img data-src=" />







LOL t’avais déjà perdu toute crédibilité à ta première intervention j’te rassure. Pas besoin de surjouer ! <img data-src=" />



Holly Brius
Le 07/11/2013 à 00h 36







Glyphe a écrit :



C’est toi qui a pas bien compris que si le chiffrement de bout en bout est généralisé sur la plupart des usages, ça oblige à pirater les ordinateurs de tout le monde pour récupérer les clés privées !

Et là on est plus du tout dans le même approche …



Sans parler de l’implémentation de technologies comme le Forward Secrecy qui rend impossible le déchiffrement des communications passées même avec la clé privée dérobée.





LOL

Si tu connais tempest de l’époque des CRTs, maintenant le niveau est bien au dessus, on fait pareil avec les ondes émises par la CM et le CPU… t’as tout en direct…



Et encore et toujours, que valent les algos de cryptos reconnu comme “sure” quand vous avez en face des équipes de scientifiques dont la quantité n’a d’égale que la quantité astronomique de ressource de la NSA…. sans parler de la non publication des découvertes fondamentales qui y sont faites????



N’oubliez pas que l’informatique et les militaires, c’est une vielle histoire…..



Flame et stux laissent envisager des moyens de gruger des protocoles qui sont actuellement “sureeeeeeeeee” en long, large et en travers (de porc)…



Les clés semi bidons de mega <img data-src=" />



Glyphe
Le 07/11/2013 à 02h 43







Holly Brius a écrit :



LOL

Si tu connais tempest de l’époque des CRTs, maintenant le niveau est bien au dessus, on fait pareil avec les ondes émises par la CM et le CPU… t’as tout en direct…



Et encore et toujours, que valent les algos de cryptos reconnu comme “sure” quand vous avez en face des équipes de scientifiques dont la quantité n’a d’égale que la quantité astronomique de ressource de la NSA…. sans parler de la non publication des découvertes fondamentales qui y sont faites????



N’oubliez pas que l’informatique et les militaires, c’est une vielle histoire…..



Flame et stux laissent envisager des moyens de gruger des protocoles qui sont actuellement “sureeeeeeeeee” en long, large et en travers (de porc)…



Les clés semi bidons de mega <img data-src=" />







Tout ça sent quand même la fumiste théorie du complot. Sans parler du fait que tu ne te bases sur aucun fait pour dire que que la NSA pourrait casser des algorithmes de chiffrement jugés comme surs aujourd’hui.



Ton raisonnement occulte aussi les milliers de spécialistes académiques qui analysent eux aussi ces technologies et ces systèmes, qui auditent le code open source de logiciels reconnus comme fiable tels que PGP par exemple.

Vouloir faire croire que les compétences se trouvent uniquement du côté des employés de la NSA ou de l’armée me semble un raccourci bien rapide.



Enfin, et c’est probablement le point le plus important, si la NSA avait les compétences et les moyens de casser du code chiffré sans problème, je doute que plus de 70 programmes aient été mis en place pour contourner le-dit chiffrement.

PRISM ne vaut son existence justement qu’au fait qu’il est impossible à l’heure actuelle de décrypter des flux SSL vu l’ampleur du trafic générés par l’internet aujourd’hui.



choukky Abonné
Le 07/11/2013 à 21h 55







Holly Brius a écrit :



LOL

Si tu connais tempest de l’époque des CRTs, maintenant le niveau est bien au dessus, on fait pareil avec les ondes émises par la CM et le CPU… t’as tout en direct…



Et encore et toujours, que valent les algos de cryptos reconnu comme “sure” quand vous avez en face des équipes de scientifiques dont la quantité n’a d’égale que la quantité astronomique de ressource de la NSA…. sans parler de la non publication des découvertes fondamentales qui y sont faites????



N’oubliez pas que l’informatique et les militaires, c’est une vielle histoire…..



Flame et stux laissent envisager des moyens de gruger des protocoles qui sont actuellement “sureeeeeeeeee” en long, large et en travers (de porc)…



Les clés semi bidons de mega <img data-src=" />







Pour tempest & co, il faut que l’attaquant soit relativement proche de sa cible. A moins que la NSA ait des boîtiers entre la cible et le dslam, je lui souhaite du plaisir. <img data-src=" />

Stuxnet et Flame sont redoutablement efficace seulement si on est infecté.

Un argument, purement spéculatif (prism inside), comme la possibilité qu’un fondeur de processeur (ou toute autre puce) inclut une porte dérobée à la demande secrète de son gouvernement serait bien plus efficace pour une écoute mondiale et plus plausible.





Glyphe a écrit :



Tout ça sent quand même la fumiste théorie du complot. Sans parler du fait que tu ne te bases sur aucun fait pour dire que que la NSA pourrait casser des algorithmes de chiffrement jugés comme surs aujourd’hui.



Ton raisonnement occulte aussi les milliers de spécialistes académiques qui analysent eux aussi ces technologies et ces systèmes, qui auditent le code open source de logiciels reconnus comme fiable tels que PGP par exemple.

Vouloir faire croire que les compétences se trouvent uniquement du côté des employés de la NSA ou de l’armée me semble un raccourci bien rapide.



Enfin, et c’est probablement le point le plus important, si la NSA avait les compétences et les moyens de casser du code chiffré sans problème, je doute que plus de 70 programmes aient été mis en place pour contourner le-dit chiffrement.

PRISM ne vaut son existence justement qu’au fait qu’il est impossible à l’heure actuelle de décrypter des flux SSL vu l’ampleur du trafic générés par l’internet aujourd’hui.





+1 <img data-src=" />