Limitation du chiffrement : le CNNum et la CNIL invitent à ne pas céder à des solutions de facilité
Qui pourraient avoir des conséquences graves

Le , par Stéphane le calme, Chroniqueur Actualités
À l’issue d’un conseil restreint de défense qui a été convoqué le 11 août dernier par le Président de la République, pendant lequel ont été abordés de nombreux sujets touchant à la sécurité intérieure, Bernard Cazeneuve a avancé que « nous avons notamment insisté sur le défi que représente pour la lutte antiterroriste la question du chiffrement d’un certain nombre de moyens de communication utilisés par les terroristes », précisant qu’il recevra son homologue allemand, Thomas de Maizière, le 23 août pour lancer une initiative européenne destinée à préparer une initiative plus internationale.

Le ministre n’a pas manqué de rappeler que de nombreux messages échangés en vue de la commission d’attentats terroristes « le sont désormais par des moyens cryptés, ce qui rend difficile le travail des services de renseignements ». Il a insisté sur le fait qu’il s’agit là d’un enjeu considérable dont la gravité est d’ailleurs mise en exergue par les interpellations récentes ainsi que les enquêtes conduites par les services de renseignement.

Toutefois, dans une tribune publiée sur Le Monde le 22 août dernier et traduite en allemand pour le journal Heise le 23 août 2016, les présidents du Conseil national du numérique (CNNum) et de la CNIL ont mis en garde le gouvernement face à « des solutions de facilité qui pourraient avoir des conséquences graves et non anticipées ». « Limiter les moyens de chiffrement ou instaurer des « portes dérobées » pour permettre aux forces de l’ordre d’accéder aux données chiffrées de nos applications affaiblirait la sécurité des systèmes d’information dans leur ensemble tout en ayant une efficacité limitée. L’urgence de la situation ne doit pas nous conduire à sous-estimer ces risques ni à faire l’impasse d’un débat sur les implications politiques, sociales et économiques d’une limitation du chiffrement ».

Reconnaissant le contexte dans lequel baigne la France avec les attentats qui ont été perpétrés ces vingt derniers mois, le CNNum a tout de même voulu mettre un frein à l’initiative que prépare le ministre de l’Intérieur : « il n’est pas question de nier qu’un chiffrement robuste peut compliquer le travail des enquêteurs, surtout lorsqu’il s’opère de bout en bout, c’est-à-dire lorsque le fournisseur du service ne détient pas les clés de déchiffrement. Néanmoins c’est sans compter sur la réalité concrète de l’organisation des réseaux et l’importance de la sécurité en ligne ».

Comme l’a fait l’ANSSI avant, le Conseil a tenu à rappeler l’importance du chiffrement : « comme tout objet technique, le chiffrement est tout à la fois remède ou poison selon qu’il tombe entre de bonnes ou de mauvaises mains. Les applications de messagerie sécurisée utilisées par les terroristes – notamment Telegram – sont également très prisées par les politiques et au sein des ministères, par les entreprises et les citoyens ! Et pour cause : le chiffrement est essentiel à notre sécurité dans l’univers numérique.

Chaque jour, le chiffrement protège des milliards d’individus contre des cybermenaces qui se font toujours plus redoutables. Il est donc le levier majeur de la confiance dans l’univers numérique. C’est grâce au chiffrement que nous pouvons effectuer un virement bancaire en toute sécurité. C’est grâce au chiffrement que nous pouvons stocker nos données de santé dans un dossier médical partagé (DMP) en ligne. C’est également grâce à cet outil que les investigations sur les Panama Papers ont été possibles, le chiffrement permettant de garantir le secret des sources. Pour les entreprises, le chiffrement est aujourd’hui le meilleur rempart contre l’espionnage économique qui a fait perdre plus de 40 milliards d’euros aux entreprises françaises en 2013. Les petites et moyennes entreprises sont les premières victimes de ces cyberattaques, car elles n’ont généralement pas les moyens d’un chiffrement robuste ».

Alors, il n’est pas question d’affaiblir le chiffrement. Le Conseil balaie également le fait d’installer des portes dérobées à des fins de sécurité, rappelant que l’ANSSI avait déjà fait valoir qu’il est techniquement impossible de s’assurer que de tels accès ne soient disponibles qu’au profit des personnes autorisées. De plus, le CNNum avance « qu’il y a fort à parier que de telles mesures auraient une efficacité toute relative sur l’infime minorité d’utilisateurs ciblés ».

Le CNNum ne voit pas le chiffrement comme un obstacle infranchissable, bien qu’il reconnaît qu’il complique l’accès à certaines informations : « d’une part, il est souvent possible de contourner le chiffrement, même s’il est très robuste, en exploitant des failles techniques ou en s’introduisant directement dans l’équipement de la personne ciblée. D’autre part, si le contenu des communications est chiffré, les métadonnées, elles, restent le plus souvent en clair : qui échange avec qui ? Quand et combien de temps ? Où était-il ou elle localisé(e) ? Ces données répondent aux questions les plus importantes sur nos habitudes, nos fréquentations, nos centres d’intérêt, nos opinions »

Aussi, au lieu d’emprunter la voie d’un affaiblissement du chiffrement ou de l’installation des portes dérobées, le CNNum invite à la coopération avec les fournisseurs de produits et de services sécurisés dans l’accès judiciaire aux données. Le CNNum propose de travailler à renforcer les règles de coopération judiciaire, en particulier les mutual legal assistance treaty (MLAT) – accords bilatéraux entre États qui permettent l’échange d’informations et de données lors d’enquêtes en cours – afin de réduire ces délais de transmission. « C’est ce qui devrait être le sens d’une initiative internationale », indique le Conseil.

Source : tribune CNNum


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 24/08/2016 à 9:34
Cazeneuve dit ne pas remettre en cause le principe du chiffrement
mais veut que l’UE impose le déchiffrement des messages dans le cadre d’enquêtes

Lors d’une conférence de presse ce mardi 23 août, le ministre français de l’Intérieur Bernard Cazeneuve et son homologue allemand Thomas de Maizière ont présenté leur initiative franco-allemande sur la sécurité intérieure en Europe, pour renforcer la lutte contre le terrorisme. Parmi les trois chapitres abordés dans cette conférence, la question du chiffrement des communications était la plus attendue, après que la France a annoncé une initiative européenne contre le chiffrement.

Ce que Cazeneuve et Thomas de Maizière proposent, c’est que « la Commission européenne étudie la possibilité d’un acte législatif rapprochant les droits et les obligations de tous les opérateurs proposant des produits ou des services de télécommunications ou Internet dans l’Union européenne, que leur siège juridique soit ou non en Europe » ; une chose que la Commission semble déjà avoir fait ou être en train de faire. En effet, comme cela a été rapporté la semaine dernière, l’Europe va dévoiler en septembre un plan qui prévoit de soumettre les services tels que Skype et WhatsApp aux mêmes règles que les entreprises de télécoms. L’objectif serait de pouvoir exercer plus de contrôle sur ces services qui devront alors, entre autres, se conformer aux requêtes des agences de sécurité. Mais comment exactement ? À cette question, Cazeneuve tente de donner une réponse.

« Si un tel acte législatif était adopté », poursuit-il « cela nous permettrait, au niveau européen, d’imposer des obligations à des opérateurs qui se révéleraient non coopératifs, notamment pour retirer des contenus illicites ou déchiffrer des messages, exclusivement dans le cadre d’enquêtes judiciaires. »

Le ministre français de l’Intérieur essaie toutefois d’éviter d’adopter une position antichiffrement, même si elle parait déjà claire pour beaucoup de gens. Il affirme en effet ne pas remettre en cause le principe du chiffrement. Avant d’aborder le chapitre de l’initiative franco-allemande qui parle du chiffrement, il demande à ce que « les choses soient bien claires pour éviter toute polémique inutile : il n’a bien sûr jamais été question de remettre en cause le principe du chiffrement des échanges », dit-il. « Le chiffrement permet de sécuriser les communications, y compris des États. À titre d’exemple, il permet au quotidien de protéger les transactions financières.

Ce que nous affirmons, en revanche, c’est que les échanges de plus en plus systématiques opérés via certaines applications, telles que Telegram, doivent pouvoir, dans le cadre des procédures judiciaires - j’insiste sur ce point - être identifiés et utilisés comme éléments de preuve par les services d’investigations et les magistrats.
»

En d’autres termes, ils souhaitent d’une manière ou d’une autre limiter les moyens de chiffrement ou créer des portes dérobées afin de permettre aux forces de l’ordre d’accéder aux données chiffrées de ces applications. Une mesure qui selon le Conseil national du numérique (CNNum) et la CNIL « pourrait affaiblir la sécurité des systèmes d’information dans leur ensemble tout en ayant une efficacité limitée » contre le terrorisme.

Cazeneuve et son homologue allemand Thomas de Maizière souhaitent que les propositions formulées hier par les deux pays soient discutées lors du Sommet des 27 chefs d’État et de gouvernement, qui aura lieu à Bratislava le 16 septembre prochain.

Source : Initiative franco-allemande sur la sécurité intérieure en Europe

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

L'UE veut exercer plus de contrôle sur les services tels que Skype et WhatsApp, en les soumettant aux règles appliquées aux entreprises de télécoms
Russie : un amendement oblige les éditeurs à fournir un moyen de déchiffrer les communications au FSB, les services secrets russes
Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 24/08/2016 à 10:37
Citation Envoyé par Michael Guilloux Voir le message
« Si un tel acte législatif était adopté », poursuit-il « cela nous permettrait, au niveau européen, d’imposer des obligations à des opérateurs qui se révéleraient non coopératifs, notamment pour retirer des contenus illicites ou déchiffrer des messages, exclusivement dans le cadre d’enquêtes judiciaires. »
Mais on te dit qu'on peut pas faire ça

C'est bizarre de voir sur la place publique ces débats qu'on a tous eu avec des fonctionnels ou des marketteux sur les limitations techniques et les risques de tel ou tel choix.

Sauf qu'ici nos politiques manipulent de la nitroglycérine et visiblement ils ont pas compris.
Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 24/08/2016 à 10:55
J'aime bien le sous titre : "Mais veut que l'UE impose le déchiffrement des messages dans le cadre d'enquêtes".

Donc c'est un gars non élu, qui demande à ce que l'UE impose une loi dans les 28 nations membres.

Même si ce n'est qu'une initiative, au final ça fonctionne comme ça.
Avatar de halaster08 halaster08 - Membre émérite https://www.developpez.com
le 24/08/2016 à 11:08
Citation Envoyé par thierrybenji Voir le message
J'aime bien le sous titre : "Mais veut que l'UE impose le déchiffrement des messages dans le cadre d'enquêtes".

Donc c'est un gars non élu, qui demande à ce que l'UE impose une loi dans les 28 nations membres.
Voilà comment l'UE fonctionne.
Tu le fait vraiment exprès là.
Déjà c'est pas un mais deux ministres, pour parler du français (car je ne sais pas comment ça se passe en Allemagne) certes il n'est pas élu mais il est nommé par le premier ministre avec l'accord du président qui lui est élu. Donc il est bien censé représenter le peuple de France.
Ensuite il ne veulent pas imposer un loi mais proposer un vote au niveau européen (donc avec l'accord des 28) pour avoir plus d'impact niveau internationnal.
Ce que Cazeneuve et Thomas de Maizière proposent, c’est que « la Commission européenne étudie la possibilité d’un acte législatif rapprochant les droits et les obligations de tous les opérateurs proposant des produits ou des services de télécommunications ou Internet dans l’Union européenne, que leur siège juridique soit ou non en Europe. »
Encore une fois l'Europe n'impose rien, les élus de toutes les nations discutent et décident ensemble.

Mais on te dit qu'on peut pas faire ça
Sauf qu'ils ne veulent pas l'entendre, la droite les accusent déjà de ne rien faire contre le terrorisme, ils ont besoin d'un ennemi visible a combattre pour montrer au peuple que c'est faux, ils ont choisi le chiffrement, et avec les élections qui approchent ils ne vont pas s'arreter de sitôt. Quitte à changer de fusil d'épaule après les éléctions.
Avatar de pschiit pschiit - Membre actif https://www.developpez.com
le 24/08/2016 à 11:13
Le beau discourt de politicien.
"Il n'est pas question de remettre en cause le chiffrement" mais il faut pouvoir déchiffrer les messages dans le "cadre d’enquêtes".
La solution qu'ils veulent, en fait, c'est supprimer le chiffrement...
Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 24/08/2016 à 11:25
Citation Envoyé par halaster08 Voir le message
Encore une fois l'Europe n'impose rien, les élus de toutes les nations discutent et décident ensemble.
Moi je parlais juste du sous titre.
Dans le sous titre, ça parle d'un type non élu, qui veut que l'UE impose quelque chose.

Je trouve que ça n'a aucun sens d'avoir les mêmes lois dans 28 nations...
Bon là ils veulent être capable de déchiffrer sous prétexte de lutter contre le terrorisme (lol), ce n'est pas le pire qui soit sorti de l'UE.

Je n'aime pas le gouvernement Français, mais j'aime encore moins l'UE.
Si la France n'était pas dans l'UE elle serait plus libre.
Parce que là une fois qu'une loi passe c'est foutu, tu peux plus en sortir.
Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 24/08/2016 à 11:48
Citation Envoyé par Neckara Voir le message
Je vais me faire l'avocat du diable.

@Saverok on peut aussi autoriser le chiffrement, mais uniquement avec certains paramètres de tel sorte que l’État français puisse décrypter.
Ce qui nous vient à l'esprit, est la limitation des tailles de clés. Mais par exemple avec EDCA, on peut choisir plusieurs courbes avec laquelle faire ses opérations de chiffrement. Dès lors, l'État pourrait imposer une/des courbes particulières construit de sorte que l'État français serait capable de décrypter, mais pas les attaquants, vu que l'État français aura des connaissances particulières liées à la construction de cette courbe qui peut lui faciliter le travail de décryptage.
En quoi ça va empêcher des personnes mal intentionnés d'utiliser un chiffrement fort et indéchiffrable, c'est à dire RSA en asymétrique et AES en symétrique ? En rien. Le seul résultat c'est d'affaiblir la sécurité pour ceux qui vont respecter la loi. C'est le sens des remarques de l'ANSSI et du CNNum, ce qu'ils demandent est impossible à réaliser, point final.
Avatar de Denton Denton - Nouveau membre du Club https://www.developpez.com
le 24/08/2016 à 12:16
C'est drôle, le nombre d'énormités débitées par "nos" politiques a tendance a augmenter à l'approche des élections.
Sérieusement, c'est a se demander si c'est réellement pour contrer le terrorisme qu'ils envisagent ce genre de pratique.
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 24/08/2016 à 12:22
J'ai bien précisé que je me faisais l'avocat du diable.

Citation Envoyé par Marco46 Voir le message
En quoi ça va empêcher des personnes mal intentionnés d'utiliser un chiffrement fort et indéchiffrable, c'est à dire RSA en asymétrique et AES en symétrique ? En rien.
Mais dans ce cas là, on a pas besoin de déchiffrer ou de décrypter leurs communications vu qu'ils se rendront déjà coupables aux yeux de la loi.

Sachant même qu'on pourrait même décider de bloquer ce genre de communications au niveau due l'infrastructure du réseau même.

ce qu'ils demandent est impossible à réaliser, point final.
Ne soyons pas dogmatique à ce point.
Avatar de _FLX_ _FLX_ - Membre du Club https://www.developpez.com
le 24/08/2016 à 12:23
Ses conseillers techniques auxquels il n'a pas demandé leur avis doivent se ronger les doigts...

"il n’a bien sûr jamais été question de remettre en cause le principe du chiffrement des échanges"

Alors il faudrait commencer par comprendre que ton discours en est une de remise en cause, pauvre imbécile.
Ecoute ceux qui connaissent, au moins UNE FOIS.
Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 24/08/2016 à 12:24
Citation Envoyé par Denton Voir le message
c'est a se demander si c'est réellement pour contrer le terrorisme qu'ils envisagent ce genre de pratique.
Plus personne ne se pose la question, on sait très bien que toutes les décisions prétendument prises pour lutter contre le terrorisme ne le sont pas réellement.
Par exemple l'état d'urgence ne sert pas à empêcher des actions terroristes, elle sert de prétexte pour faire bien d'autres choses...
Avatar de sneb5757 sneb5757 - Membre actif https://www.developpez.com
le 24/08/2016 à 13:47
Citation Envoyé par Neckara Voir le message
J'ai bien précisé que je me faisais l'avocat du diable.

Mais dans ce cas là, on a pas besoin de déchiffrer ou de décrypter leurs communications vu qu'ils se rendront déjà coupables aux yeux de la loi.

Sachant même qu'on pourrait même décider de bloquer ce genre de communications au niveau due l'infrastructure du réseau même.

Ne soyons pas dogmatique à ce point.


Bonjour et donc on expose tout le trafic chiffré légitime à l'interception ?

Dans le cadre de cette proposition comment garantie t'on ( techniquement ) que seul l'état pourra être en mesure de déchiffré ?

Un autre point. A l'heure actuelle les recommendations de sécurité pour le TLS est d'implémenter les algorithmes de chiffrements qui assurent
la confidentialité persistante ( perfect secrecy en anglais). Ce sont des algorithmes qui assurent qu'il n'est pas possible de récupérer les clés
de sessions qui ont servis à chiffrer le traffic même en ayant eu la connaissance de la clé privée.

On fait comment pour gérer ce genre de cas concrètement ? On interdit ce genre d'algorithme qui assure une sécurité indispensable sur le long terme ?

On oblige les prestataires à conserver ou à transmettre aux autorités toutes les clés de session SSL ?

C'est pas une question d'être dogmatique mais je voudrais bien avoir des explications techniques sur la façon dont on peut protéger les communications efficacement tout en laissant une backdoor ouverte au seul état autorisé.
Avatar de Jiji66 Jiji66 - Membre averti https://www.developpez.com
le 24/08/2016 à 13:57
Citation Envoyé par Denton Voir le message
C'est drôle, le nombre d'énormités débitées par "nos" politiques a tendance a augmenter à l'approche des élections.
Sérieusement, c'est a se demander si c'est réellement pour contrer le terrorisme qu'ils envisagent ce genre de pratique.
Le plus inquietant est que nos politiques ne se rendent meme pas compte que le fonctionnement de nos democratie est dependant de la securite des communications. En demandant un affaiblissement du chiffrement ils ne font que nous mettre a la merci des terrorismes individuels ou etatiques. Si ils avaient un brin de clairvoyance, l'exemple du vol des 22000 pages des plans du sous marin "Scorpene" devrait pourtant les interpeller.
Du coup je developpe ma propre application de communications chiffrees !
Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 24/08/2016 à 14:14
Citation Envoyé par Neckara Voir le message
J'ai bien précisé que je me faisais l'avocat du diable.
Oui oui j'avais compris, en l'absence de Cazeneuve sur le forum tu prends son rôle

Citation Envoyé par Neckara Voir le message
Mais dans ce cas là, on a pas besoin de déchiffrer ou de décrypter leurs communications vu qu'ils se rendront déjà coupables aux yeux de la loi.
Déchiffrer c'est quand on a la clef.
Décrypter c'est quand on a pas la clef.

Dans le cas de RSA et AES, on ne sait pas décrypter. C'est un fait scientifique, on ne sait pas faire et c'est pour cette raison, et seulement pour cette raison, que la confiance existe sur internet et qu'on peut avoir du commerce électronique.

Ce que Cazeneuve demande, c'est justement de pouvoir déchiffrer (ça peut pas être décrypter puisqu'on ne peut pas faire) lorsque des gens violent la loi.

Citation Envoyé par Neckara Voir le message
Sachant même qu'on pourrait même décider de bloquer ce genre de communications au niveau due l'infrastructure du réseau même.
Comment tu fais la différence entre deux flux réseaux chiffrés ? Tu veux bloquer tous les flux réseaux chiffrés ? Ça signifie mettre un terme au commerce électronique, aux VPN d'entreprises, etc ...

Citation Envoyé par Neckara Voir le message
Ne soyons pas dogmatique à ce point.
Ce n'est pas du dogme, c'est de la science. La Terre tourne autour du Soleil, pas l'inverse, ce n'est pas du dogme.
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 24/08/2016 à 14:52
Citation Envoyé par sneb5757 Voir le message
Bonjour et donc on expose tout le trafic chiffré légitime à l'interception ?
Merci de lire les interventions précédentes avant de répondre...

C'est pas une question d'être dogmatique mais je voudrais bien avoir des explications techniques sur la façon dont on peut protéger les communications efficacement tout en laissant une backdoor ouverte au seul état autorisé.
Et j'ai donné une réponse dans le message précédant celui que tu cites.

Citation Envoyé par Marco46 Voir le message
Oui oui j'avais compris, en l'absence de Cazeneuve sur le forum tu prends son rôle


Dans le cas de RSA et AES, on ne sait pas décrypter. C'est un fait scientifique, on ne sait pas faire et c'est pour cette raison, et seulement pour cette raison, que la confiance existe sur internet et qu'on peut avoir du commerce électronique.
Mais pour ECDSA/ECDH, on sait le faire pour certaines courbes éventuellement construite spécialement pour cela (cf mon avant-dernier post).

RSA n'est pas le seul algorithme qui existe. D'ailleurs, pour RSA, cela va dépendre de ta taille de clés (il n'y a pas de taille "minimale" si je ne m'abuse).

Comment tu fais la différence entre deux flux réseaux chiffrés ? Tu veux bloquer tous les flux réseaux chiffrés ? Ça signifie mettre un terme au commerce électronique, aux VPN d'entreprises, etc ...
Si tu utilises TLS, c'est assez facile de discriminer les différents flux chiffrés.

Ce n'est pas du dogme, c'est de la science. La Terre tourne autour du Soleil, pas l'inverse, ce n'est pas du dogme.
Non, la science n'est pas aussi "définitives" sur ses affirmations. Elle progresse d'ailleurs par "erreurs" successives.

Le modèle "La Terre tourne autour du Soleil" est faux, elle tourne aussi sur elle-même, elle a un axe d'inclinaison de 42° (au hasard)... non c'est encore faux, son axe d'inclinaison oscille, etc.

La science est toujours ouverte à tout argumentation fondée et solide qui pourrait lui montrer qu'elle a tord, et ainsi de progresser. Au passage, si c'est de la science, as-tu une preuve que ce soit techniquement impossible ?
Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 24/08/2016 à 15:44
Citation Envoyé par Neckara Voir le message
Mais pour ECDSA/ECDH, on sait le faire pour certaines courbes éventuellement construite spécialement pour cela (cf mon avant-dernier post).
Ce n'est pas ce qui est le plus utilisé. Le plus utilisé c'est RSA/AES. Et de toutes façons, en quoi le fait d'imposer aux éditeurs de logiciels d'utiliser tel ou tel algo va empêcher des gens mal intentionnés d'écrire un soft qui utilisera RSA/AES ??

Citation Envoyé par Neckara Voir le message
RSA n'est pas le seul algorithme qui existe. D'ailleurs, pour RSA, cela va dépendre de ta taille de clés (il n'y a pas de taille "minimale" si je ne m'abuse).
C'est le plus utilisé. Le développeur peut utiliser toutes les tailles de clefs prévues par l'algo.

Citation Envoyé par Neckara Voir le message
Si tu utilises TLS, c'est assez facile de discriminer les différents flux chiffrés.
Je vois pas bien comment tu peux faire la différence entre un flux chiffrant un contenu légal et un flux chiffrant un contenu illégal. Il faut m'expliquer

Citation Envoyé par Neckara Voir le message
Non, la science n'est pas aussi "définitives" sur ses affirmations. Elle progresse d'ailleurs par "erreurs" successives.
Oui mais elle ne fait pas 25 pas en arrière.

Citation Envoyé par Neckara Voir le message
Le modèle "La Terre tourne autour du Soleil" est faux, elle tourne aussi sur elle-même, elle a un axe d'inclinaison de 42° (au hasard)... non c'est encore faux, son axe d'inclinaison oscille, etc.
Tu as un problème de logique.

Ce n'est pas parce que la terre tourne autour d'elle-même est vrai que la terre tourne autour du soleil est faux. En l'occurrence les deux propositions sont vraies.

Citation Envoyé par Neckara Voir le message
La science est toujours ouverte à tout argumentation fondée et solide qui pourrait lui montrer qu'elle a tord, et ainsi de progresser. Au passage, si c'est de la science, as-tu une preuve que ce soit techniquement impossible ?
Deuxième problème de logique. On ne prouve pas que techniquement c'est impossible de décrypter. Personne n'étant capable de décrypter, c'est pour le moment impossible de décrypter de fait. Le seule méthode est la force brute, et comme ça prendrait des années à faire pour un seul texte chiffré c'est considéré comme sûr.
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 24/08/2016 à 16:18
Citation Envoyé par Marco46 Voir le message
Ce n'est pas ce qui est le plus utilisé. Le plus utilisé c'est RSA/AES.
Si l'objectif est d'imposer des contraintes, on se moque un peu de ce qui est le plus utilisé.

C'est comme dire qu'on ne peut pas imposer des tailles de clés <1024 bits parce que les clés les plus utilisées sont > 4096 bits.

Et de toutes façons, en quoi le fait d'imposer aux éditeurs de logiciels d'utiliser tel ou tel algo va empêcher des gens mal intentionnés d'écrire un soft qui utilisera RSA/AES ??
Rien, en revanche, vu qu'ils auront enfreint la loi, on pourra les sanctionner et saisir leur matériel.
Ce n'est pas tant de pouvoir déchiffrer/décrypter que de pouvoir discriminer les "honnêtes citoyens" des "méchants" qui essayent de se cacher de l'État. On est bien d'accord que je me fais l'avocat du diable hein .

Par exemple si dans la rue on installe des caméras et qu'on interdit de se cacher le visage. Une personne qui tenterait de passer incognito avec une cagoule sur la tête se fera vite remarquée.

Je vois pas bien comment tu peux faire la différence entre un flux chiffrant un contenu légal et un flux chiffrant un contenu illégal. Il faut m'expliquer

On parlait ici de discriminer les différents types de flux TLS, ie par rapport aux algorithmes utilisés.
Et c'est un bête identifiant échangé lors de la première négociation (en clair).

Tu as un problème de logique.

Ce n'est pas parce que la terre tourne autour d'elle-même est vrai que la terre tourne autour du soleil est faux. En l'occurrence les deux propositions sont vraies.
Non, je parle bien de "modèle". Il est "faux" car incomplet/non précis, ie ses prédiction ne sont pas toujours vérifiées.

Deuxième problème de logique. On ne prouve pas que techniquement c'est impossible de décrypter. Personne n'étant capable de décrypter, c'est pour le moment impossible de décrypter de fait.
Tu as ici une confusion. Il est possible de décrypter des flux chiffrés, bien qu'on ne soit pas actuellement capable de le faire certains flux chiffrés qui respectent les recommandations en matière de sécurité.

Ensuite, que ce soit "impossible de fait", n'empêche pas de contourner le problème ou de devenir capable de le faire de part la progression des connaissances dans ce domaine (e.g. une astuce est trouvée, le matériel est plus performant, etc.). Donc tu ne peux en aucun cas affirmer "c'est impossible, point final".
Avatar de sneb5757 sneb5757 - Membre actif https://www.developpez.com
le 24/08/2016 à 16:21
Citation Envoyé par Neckara Voir le message
Merci de lire les interventions précédentes avant de répondre...

Et j'ai donné une réponse dans le message précédant celui que tu cites.



Mais pour ECDSA/ECDH, on sait le faire pour certaines courbes éventuellement construite spécialement pour cela (cf mon avant-dernier post).

RSA n'est pas le seul algorithme qui existe. D'ailleurs, pour RSA, cela va dépendre de ta taille de clés (il n'y a pas de taille "minimale" si je ne m'abuse).

Si tu utilises TLS, c'est assez facile de discriminer les différents flux chiffrés.

Non, la science n'est pas aussi "définitives" sur ses affirmations. Elle progresse d'ailleurs par "erreurs" successives.

Le modèle "La Terre tourne autour du Soleil" est faux, elle tourne aussi sur elle-même, elle a un axe d'inclinaison de 42° (au hasard)... non c'est encore faux, son axe d'inclinaison oscille, etc.

La science est toujours ouverte à tout argumentation fondée et solide qui pourrait lui montrer qu'elle a tord, et ainsi de progresser. Au passage, si c'est de la science, as-tu une preuve que ce soit techniquement impossible ?
Non mais dans ton message tu dis qu il suffirait de construire les courbes elliptiques de tel facon que l état français puisse déchiffré le trafic TLS . Tu as pas donné plus d info technique que ça et pas non plus dans les postes précédents

je demande des précisions techniques . C est faisable de faire ça ? Comment s assure t on que l état seul pourrait déchiffrer ?

Comment on concilie avec le principe de secret persistant ?

J ai parcouru tout le topic et je n ai pas vu de réponse à ces questions . Je serai pas contre de la doc et des références pour étayer ces propos parce que je ne comprends pas comment assurer la sécurité d un tel système
Avatar de Saverok Saverok - Expert éminent https://www.developpez.com
le 24/08/2016 à 16:31
Citation Envoyé par Neckara Voir le message
Ensuite, que ce soit "impossible de fait", n'empêche pas de contourner le problème ou de devenir capable de le faire de part la progression des connaissances dans ce domaine (e.g. une astuce est trouvée, le matériel est plus performant, etc.). Donc tu ne peux en aucun cas affirmer "c'est impossible, point final".
Dans la phrase de Marco46, il était précisé "pour le moment".
Cela a son importance car on parle d'une qui doit être effective dès que possible et donc, avec les moyens disponibles à l'instant où elle est en place.
Faire des lois sur ce qui serait possible de faire "un jour" n'a pas de sens.

Même si dans le cas du cryptage, on a l'informatique quantique qui tape à nos portes...
Même si c'est un futur proche, ça reste non applicable à l'heure qu'il est.
Avatar de diabolos29 diabolos29 - Membre averti https://www.developpez.com
le 24/08/2016 à 16:35
Citation Envoyé par Marco46 Voir le message
Oui mais elle ne fait pas 25 pas en arrière.
25 pas, je ne sais pas, mais plusieurs siècles de retard, c'est tout à fait possible.
L'hypothèse héliocentrique était déjà connue des Grecs avant d'être fortement marginalisée au profit de l'hypothèse géocentrique (un grand merci aux héritiers d'Aristote :/ ). Il faudra attendre Copernic au 16 ème siècle pour que ce modèle soit réintroduit et un ou deux siècles de plus pour qu'il soit largement adopté...
Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 24/08/2016 à 16:42
Citation Envoyé par Neckara Voir le message
Si l'objectif est d'imposer des contraintes, on se moque un peu de ce qui est le plus utilisé.

C'est comme dire qu'on ne peut pas imposer des tailles de clés <1024 bits parce que les clés les plus utilisées sont > 4096 bits.
Si certains algo sont utilisés plus que d'autres c'est qu'il y a une raison ...

Citation Envoyé par Neckara Voir le message
Rien, en revanche, vu qu'ils auront enfreint la loi, on pourra les sanctionner et saisir leur matériel.
Ce n'est pas tant de pouvoir déchiffrer/décrypter que de pouvoir discriminer les "honnêtes citoyens" des "méchants" qui essayent de se cacher de l'État. On est bien d'accord que je me fais l'avocat du diable hein .

Par exemple si dans la rue on installe des caméras et qu'on interdit de se cacher le visage. Une personne qui tenterait de passer incognito avec une cagoule sur la tête se fera vite remarquée.
L'analogie serait plutôt, tout le monde utilise une cagoule, on installe des caméras, et on veut que les caméras détectent les terroristes sous les cagoules sans pour autant permettre aux caméras des services secrets d'autres nations de regarder sous la cagoule de nos entreprises. C'est impossible. Ce que demande Cazeneuve est techniquement impossible à réaliser. Si tu réduis la sécurité pour permettre à tes services secrets de lire les messages des terroristes, alors il en va de même pour tout le monde.
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 24/08/2016 à 16:43
Citation Envoyé par sneb5757 Voir le message
je demande des précisions techniques . C est faisable ?
Il faudrait plus demander à un pur mathématicien de donner des détails.

Théoriquement c'est faisable, il faudrait regarder la littérature pour plus de détails.

Le principe est assez simple : "en connaissant un secret, on est capable de simplifier une opération, impossible à faire sans connaître le-dit secret". C'est un peu sur cela que repose toute la cryptographie asymétrique.

Par exemple pxq = N avec p, q nombres premiers.
Si N est assez grand, il est très difficile de trouver p ou q. Or, on connaissant p ou q, on peut simplifier des opérations.

Pour les courbes elliptique, cela reviendrait à donner une courbe qu'on pourrait simplifier en connaissant des secrets à partir de laquelle cette courbe a été créée.

D'ailleurs une des raisons que certaines personnes ne veulent pas utiliser les courbes recommandées par le NIST, c'est justement qu'ils ont peur (à tort ou à raison, j'en sais rien), que ces courbes aient été construites de sorte à pouvoir être simplifiée en connaissant ce secret.

Comment on concilie avec le principe de secret persistant ?
Oui absolument, on parle ici de la cryptographie asymétrique, donc pour pouvoir faire l’échange de la clé symétrique.

Cependant, si une faille est découverte, comme pour tout algorithme, cela met en danger les communications passée. Par contre, l'État peut aussi fournir "régulièrement" de nouvelles courbes.
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 24/08/2016 à 17:03
Citation Envoyé par Saverok Voir le message
Dans la phrase de Marco46, il était précisé "pour le moment".
Cela a son importance car on parle d'une qui doit être effective dès que possible et donc, avec les moyens disponibles à l'instant où elle est en place.
Faire des lois sur ce qui serait possible de faire "un jour" n'a pas de sens.
Et j'ai justement parlé de la confusion effectuée ici dans mon message, juste en dessus du message que tu cites.
J'ai aussi donné la possibilité de "contourner" le problème.

Citation Envoyé par Marco46 Voir le message
Si certains algo sont utilisés plus que d'autres c'est qu'il y a une raison ...
Oui, et parfois pour des raisons historiques.

ECDSA est, si ma mémoire ne me joue pas des tours, "meilleure" que RSA. Pour RSA on a déjà une attaque (baby step giant step, si je ne m'abuse) qui oblige à prendre des clés plus grandes.
ECDSA a donc besoin de clés plus petites, et consomme donc moins de ressources (très intéressant pour l'embarqué).

L'analogie serait plutôt, tout le monde utilise une cagoule, on installe des caméras, et on veut que les caméras détectent les terroristes sous les cagoules sans pour autant permettre aux caméras des services secrets d'autres nations de regarder sous la cagoule de nos entreprises.
L'exemple va devenir un peu trop capillotracté.

Il n'était là que pour illustrer le fait que lorsqu'un comportement sort de la "norme", il est plus facile de le discriminer.

Citation Envoyé par Marco46 Voir le message
Si tu réduis la sécurité pour permettre à tes services secrets de lire les messages des terroristes, alors il en va de même pour tout le monde.
Non, et j'ai d'ailleurs dit comment (d'ailleurs pas besoin de "baisser la sécurité").

Et tu ne peux pas le nier, c'est exactement sur ce principe que fonctionne les algorithmes à clé publique. D'ailleurs cela me rappelle que sur ce forum on avait déjà données des solutions utilisant justement des algorithmes à clé publique. E.g. rajouter une extension TLS pour chiffrer la clé symétrique + IV avec la clé publique d'un gouvernement.
Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 24/08/2016 à 17:24
Citation Envoyé par Neckara Voir le message
Il n'était là que pour illustrer le fait que lorsqu'un comportement sort de la "norme", il est plus facile de le discriminer.
Mais justement, tu ne peux pas savoir si un comportement sort de la norme sans diminuer la sécurité pour tout le monde. Pour savoir si un comportement sort de la norme, tu dois déchiffrer / décrypter. Pour pouvoir déchiffrer / décrypter, tu dois abaisser la sécurité parce qu'en l'état actuel ce n'est pas possible.

C'est simple à comprendre non ?

Citation Envoyé par Neckara Voir le message
Non, et j'ai d'ailleurs dit comment (d'ailleurs pas besoin de "baisser la sécurité").

Et tu ne peux pas le nier, c'est exactement sur ce principe que fonctionne les algorithmes à clé publique. D'ailleurs cela me rappelle que sur ce forum on avait déjà données des solutions utilisant justement des algorithmes à clé publique. E.g. rajouter une extension TLS pour chiffrer la clé symétrique + IV avec la clé publique d'un gouvernement.
Tu n'as rien dit du tout, tu fais des suppositions reposant sur rien, à part du "il faudrait demander à un mathématicien".

Et je te ferais remarquer que ce que je dis n'est rien d'autre que l'avis de l'ANSSI et du CCNum.

Par ailleurs, rajouter un IV avec "la clé publique du gouvernement" ne permet en rien que seul le gouvernement puisse déchiffrer le message en plus du destinataire.

Le principe de l'asymétrique c'est que le destinataire propose un cadenas, dont il est le seul à disposer de la clef. Pour qu'un tiers puisse lire le message, il doit disposer de cette clef. Or donner cette clef à un tiers, peu importe sa nature, est un affaiblissement critique de la sécurité, cela ouvre des angles d'attaque.
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 24/08/2016 à 17:57
Citation Envoyé par Marco46 Voir le message
Mais justement, tu ne peux pas savoir si un comportement sort de la norme sans diminuer la sécurité pour tout le monde. Pour savoir si un comportement sort de la norme, tu dois déchiffrer / décrypter. Pour pouvoir déchiffrer / décrypter, tu dois abaisser la sécurité parce qu'en l'état actuel ce n'est pas possible.

C'est simple à comprendre non ?
Non, parce que je peux déchiffrer/décrypter sans abaisser la sécurité, tout simplement.

Tu n'as rien dit du tout, tu fais des suppositions reposant sur rien, à part du "il faudrait demander à un mathématicien".
Écoute, tu ne sais même pas de quoi il en retourne, donc ne vient pas me dire que je "fais des suppositions".

Je connais et j'ai donné les quelques principes de bases qui sont largement suffisant pour prouver mon point. Mais oui, je reconnais ne pas être mathématicien, et je préfère que vous demandiez à une personne qui serait plus à même de vous donner les détails que vous recherchez.

Expliquer ECDSA "simplement", ça me prendrait quelques minutes. Si vous voulez des détails, non seulement il faudrait que j'aille me rafraîchir un peu la mémoire, mais en plus il faudrait que je vous fasse quelques heures de cours pour vous donner les bases mathématiques... et j'ai autre chose à faire.

Alors désolé si je ne vous donne que l'explication "simplifiée"/"intuitive".

Et je te ferais remarquer que ce que je dis n'est rien d'autre que l'avis de l'ANSSI et du CCNum.
Et bien peut-être pourrais-tu me citer le passage de leur avis prouvant que ce que je raconte est faux ?

Par ailleurs, rajouter un IV avec "la clé publique du gouvernement" ne permet en rien que seul le gouvernement puisse déchiffrer le message en plus du destinataire.

Le principe de l'asymétrique c'est que le destinataire propose un cadenas, dont il est le seul à disposer de la clef. Pour qu'un tiers puisse lire le message, il doit disposer de cette clef. Or donner cette clef à un tiers, peu importe sa nature, est un affaiblissement critique de la sécurité, cela ouvre des angles d'attaque.
Non.

Le principe de TLS est d'utiliser de l'asymétrique pour permettre un échange de clés sécurisée uniquement valable pour la session en cours, utilisées pour du chiffrement symétrique. Il n'est donc nullement question dans mes propos qu'un serveur donne une de ses clés privées au gouvernement.

Ici cela revient "juste" à avoir un destinataire supplémentaire, sans pour autant abaisser la sécurité de l'échange de manière globale. Ce n'est pas parce qu'il y a deux angles d'attaques au lieu d'une que la sécurité en est réduite pour autant.

Il est sûr que le fait qu'un gouvernement puisse lire les messages de ses citoyens constitue une baisse de la sécurité de leur vie privée ou de leurs affaires vis à vis de l'État, ce qui est évident et d'ailleurs le but de l'opération... Et encore... je pourrais pinailler avec l’utilisation de boîtiers HSM.
Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 24/08/2016 à 18:31
Citation Envoyé par Neckara Voir le message
Non, parce que je peux déchiffrer/décrypter sans abaisser la sécurité, tout simplement.
Tu voulais dire seulement déchiffrer j'imagine, dans ce cas tu vas devenir riche ! Il faut te faire embaucher par Google, Facebook ou la NSA parce que , tu viens de faire faire un pas de géant à la recherche mondiale en crypto-sécurité.

Citation Envoyé par Neckara Voir le message
Écoute, tu ne sais même pas de quoi il en retourne, donc ne vient pas me dire que je "fais des suppositions".

Je connais et j'ai donné les quelques principes de bases qui sont largement suffisant pour prouver mon point. Mais oui, je reconnais ne pas être mathématicien, et je préfère que vous demandiez à une personne qui serait plus à même de vous donner les détails que vous recherchez.

Expliquer ECDSA "simplement", ça me prendrait quelques minutes. Si vous voulez des détails, non seulement il faudrait que j'aille me rafraîchir un peu la mémoire, mais en plus il faudrait que je vous fasse quelques heures de cours pour vous donner les bases mathématiques... et j'ai autre chose à faire.

Alors désolé si je ne vous donne que l'explication "simplifiée"/"intuitive".
Tu n'as rien montré du tout. On attend toujours tes explications. ECDSA est plus rapide que RSA, c'est à peu près la seule différence opérationnelle.

Citation Envoyé par Neckara Voir le message
Et bien peut-être pourrais-tu me citer le passage de leur avis prouvant que ce que je raconte est faux ?
Leur communiqué ne te répondait pas il répondait au ministre. Par contre il faut vite que tu les informes de ta découverte, tu es au bord du prix nobel là.

Citation Envoyé par Neckara Voir le message
Non.

Le principe de TLS est d'utiliser de l'asymétrique pour permettre un échange de clés sécurisée uniquement valable pour la session en cours, utilisées pour du chiffrement symétrique. Il n'est donc nullement question dans mes propos qu'un serveur donne une de ses clés privées au gouvernement.
A écrit à B. Si tu veux que C puisse déchiffrer le flux chiffré entre A et B il va bien falloir que B donne sa clef privée à C.

Citation Envoyé par Neckara Voir le message
Ici cela revient "juste" à avoir un destinataire supplémentaire, sans pour autant abaisser la sécurité de l'échange de manière globale. Ce n'est pas parce qu'il y a deux angles d'attaques au lieu d'une que la sécurité en est réduite pour autant.
Tu ne peux pas avoir 2 destinataires différents avec la même clef publique.
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 24/08/2016 à 19:04
Bon écoutes, si tu veux te moquer, même gentiment, de moi, assures-toi d'abord d'avoir les compétences pour.

Citation Envoyé par Marco46 Voir le message
Tu voulais dire seulement déchiffrer j'imagine, dans ce cas tu vas devenir riche ! Il faut te faire embaucher par Google, Facebook ou la NSA parce que , tu viens de faire faire un pas de géant à la recherche mondiale en crypto-sécurité.
Malheureusement la NSA semble déjà au courant si j'en crois ces liens (je n'ai pas cherché plus loin) :
http://igm.univ-mlv.fr/~jyt/Crypto/Td6.html
http://blog.cryptographyengineering....ualecdrbg.html

Tu n'as rien montré du tout. On attend toujours tes explications.
Je les aies pourtant déjà données.
Si tu veux un cours, je l'ai déjà dit, je n'en ai pas le temps.

ECDSA est plus rapide que RSA, c'est à peu près la seule différence opérationnelle.
Les clés ECDSA recommandées sont plus courtes que celles de RSA. Cela devrait déjà te mettre la puce à l'oreille.

Par contre il faut vite que tu les informes de ta découverte, tu es au bord du prix nobel là.
Alfred Nobel se retournerait dans sa tombe s'il apprenait que tu veux donner un prix Nobel de mathématique
.

A écrit à B. Si tu veux que C puisse déchiffrer le flux chiffré entre A et B il va bien falloir que B donne sa clef privée à C.

Tu ne peux pas avoir 2 destinataires différents avec la même clef publique.
Est-ce que tu lis au moins ce que j'écris ? .

Pour rappel, les clés asymétriques sont utilisées pour négocier une clé symétrique. Et c'est cette clé symétrique qui sera utilisée pour chiffrer/déchiffrer les messages d'une session (en fait dans TLS, il y a en 2, une pour chaque direction). Dès lors on peut chiffrer cette clé symétrique avec la clé publique gouvernementale.
Ainsi, il n'y a plus besoin de donner la moindre clé privée, CQFD.

Et cela, je l'ai déjà dit et écrit.
Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 24/08/2016 à 19:30
Citation Envoyé par Neckara Voir le message
Bon écoutes, si tu veux te moquer, même gentiment, de moi, assures-toi d'abord d'avoir les compétences pour.
Je les ai. En revanche je suis pas certain qu'en ce qui te concerne tu maitrises le tableau d'ensemble.

Citation Envoyé par Neckara Voir le message
Malheureusement la NSA semble déjà au courant si j'en crois ces liens (je n'ai pas cherché plus loin) :
http://igm.univ-mlv.fr/~jyt/Crypto/Td6.html
http://blog.cryptographyengineering....ualecdrbg.html
Quel rapport ? Ici on a une backdoor introduite par la NSA, c'est à dire très exactement ce qu'il ne faut pas faire. C'est également très exactement ce que l'ANSSI dit qu'il ne faut pas faire. Ça ça s'appelle faire baisser le niveau de sécurité pour tout le monde.

Citation Envoyé par Neckara Voir le message
Je les aies pourtant déjà données.
Si tu veux un cours, je l'ai déjà dit, je n'en ai pas le temps.
Commences déjà par apprendre les fondamentaux de la sécurité informatique ça sera pas mal.

Citation Envoyé par Neckara Voir le message
Les clés ECDSA recommandées sont plus courtes que celles de RSA. Cela devrait déjà te mettre la puce à l'oreille.
Ça ne change rien à l'architecture générale.

Citation Envoyé par Neckara Voir le message
Pour rappel, les clés asymétriques sont utilisées pour négocier une clé symétrique.
Merci je savais pas

J'expliquais à d'autres développeurs les mécanismes de X.509 quand tu en étais certainement à découvrir les fractions. S'il te plait un peu de respect pour tes ainés.

Citation Envoyé par Neckara Voir le message
Et c'est cette clé symétrique qui sera utilisée pour chiffrer/déchiffrer les messages d'une session (en fait dans TLS, il y a en 2, une pour chaque direction). Dès lors on peut chiffrer cette clé symétrique avec la clé publique gouvernementale.
Ainsi, il n'y a plus besoin de donner la moindre clé privée, CQFD.

Et cela, je l'ai déjà dit et écrit.
Tu veux transmettre les clefs de session au gouvernement Et ça c'est pas un affaiblissement de la sécurité générale du système ?

Donc en fait, ta solution, c'est que l'état dépense des centaines de millions d'euros (si c'est pas des milliards) pour mettre en place une infra permettant de récolter :
1- le flux chiffré entre A et B
2- la clef de session du flux

Pour ensuite déchiffrer les messages xD

Et une autre infra pour contrôler tous les flux qui passent sur les réseaux français, et si on détecte un flux chiffré qui ne donne pas sa clef on coupe ? C'est ça l'idée ? Et si ça passe par l'étranger on fait comment on coupe ? On isole complètement le réseau français du reste du monde ?

Allez revenons un peu sur terre ...
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 24/08/2016 à 19:57
Citation Envoyé par Marco46 Voir le message
Quel rapport ? Ici on a une backdoor introduite par la NSA, c'est à dire très exactement ce qu'il ne faut pas faire.
Le rapport ?
C'est un peu ce dont je parlais pendant quelques messages...

Ça ça s'appelle faire baisser le niveau de sécurité pour tout le monde.
Non.

C'est comme si tu disais que les cryptosystèmes à clé publiques abaissent le niveau de sécurité, cela n'a juste aucun sens.

Commences déjà par apprendre les fondamentaux de la sécurité informatique ça sera pas mal.
.
Si seulement tu savais...

Ça ne change rien à l'architecture générale.
? .

Merci je savais pas

J'expliquais à d'autres développeurs les mécanismes de X.509 quand tu en étais certainement à découvrir les fractions. S'il te plait un peu de respect pour tes ainés.
Il m'a quand même fallu te l'expliquer deux fois, alors que tu le savais.

Tu veux transmettre les clefs de session au gouvernement Et ça c'est pas un affaiblissement de la sécurité générale du système ?
Ta phrase porte à confusion.
Je ne dis pas de les transmettre directement au gouvernement, mais de les mettre dans une extension TLS.

Et tu m'expliques en quoi la sécurité générale du système est abaissées ?
Cela change quoi pour un attaquant ?

Donc en fait, ta solution, c'est que l'état dépense des centaines de millions d'euros (si c'est pas des milliards) pour mettre en place une infra permettant de récolter :
1- le flux chiffré entre A et B
2- la clef de session du flux

Pour ensuite déchiffrer les messages xD
Ma solution ? .

J'ai bien précisé dès le début que je me faisait l'avocat du diable.
Je ne me souviens pas non plus avoir abordé le problème sous un angle budgétaire, mais uniquement sous un angle théorique.

Et une autre infra pour contrôler tous les flux qui passent sur les réseaux français, et si on détecte un flux chiffré qui ne donne pas sa clef on coupe ? C'est ça l'idée ? Et si ça passe par l'étranger on fait comment on coupe ? On isole complètement le réseau français du reste du monde ?
C'est en dehors du cadre de mes propos.
Avatar de MikeRowSoft MikeRowSoft - Provisoirement toléré https://www.developpez.com
le 25/08/2016 à 13:07
Sachant que les support de stockages sont concernés en plus de la communication de messages et les messages eux même...

Sa me rappel une expérimentation avec un CD-ROM avec code d'accès activé mais sans chiffrement, chose que presque aucun logiciel de gravure ne propose. Pour contourner le code, dump en fichier ISO et exploration des plus simple. Il y avait bien quelques applications, principalement sous Windows pour protéger le contenu... PGP était le mot d'ordre... La clé privé permettant d'identifier le destinataire (puisque fourni pas lui pour un "ordinateur" bien précis) et la clé public pour être sur d'utilisé le bon protocole. Le mot de passe lui étant bien coriace.

Résultat le fichier chiffré sur le CD-ROM avec un code avait de quoi en faire attendre pas mal de temps avant de divulguer ses secrets.

Les DVD Vidéo de location qui se désintègre on disparu du commerce...

P.S. : Je pari que certains membres de la N.S.A. américaine utilise des Apple iPhone...
Avatar de imperio imperio - Membre chevronné https://www.developpez.com
le 29/08/2016 à 14:54
@Neckara: Je pense que tu ferais mieux de t'arrêter là, tu n'y connais visiblement pas grand chose en chiffrement (ce n'est pas un mal) et tu te ridiculises plus qu'autre chose (ça par contre...).

@Marco46: Tes réponses au "débat" m'ont appris 2-3 trucs. Merci !
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 29/08/2016 à 15:17
Citation Envoyé par imperio Voir le message
@Neckara: Je pense que tu ferais mieux de t'arrêter là, tu n'y connais visiblement pas grand chose en chiffrement (ce n'est pas un mal) et tu te ridiculises plus qu'autre chose (ça par contre...).
Et bien peut-être pourrais-tu m'éclairer de tes lumières.

C'est marrant, je m'y connais tellement pas, mais personne n'est capable de nous le montrer... mais je m'incline devant les vénérables vieux sages qui en savent tellement plus que moi qu'ils ne sont que capable de moinssoyer mes messages sans y répondre ou apporter la moindre argumentation.

Je pense que si je montrais mon CV, certains commenceraient à se chier dessus. Malheureusement pour moi, je tiens un peu trop à mon anonymat. Au passage, si par "visiblement" tu entends le nombre de votes et par "ridiculiser" le nombre de votes négatifs, je crains que tu risques vite de déchanter.
Avatar de Darkzinus Darkzinus - Expert éminent https://www.developpez.com
le 29/08/2016 à 15:37
Citation Envoyé par Neckara Voir le message
Je pense que si je montrais mon CV, certains commenceraient à se chier dessus.
Un peu d'humilité te ferait pas de mal ...
Avatar de imperio imperio - Membre chevronné https://www.developpez.com
le 29/08/2016 à 16:02
Citation Envoyé par Neckara Voir le message
Et bien peut-être pourrais-tu m'éclairer de tes lumières.

C'est marrant, je m'y connais tellement pas, mais personne n'est capable de nous le montrer... mais je m'incline devant les vénérables vieux sages qui en savent tellement plus que moi qu'ils ne sont que capable de moinssoyer mes messages sans y répondre ou apporter la moindre argumentation.
Vénérable vieux sage. Ba dis donc, je dois commencer à me faire vieux.

Citation Envoyé par Neckara Voir le message
Je pense que si je montrais mon CV, certains commenceraient à se chier dessus. Malheureusement pour moi, je tiens un peu trop à mon anonymat. Au passage, si par "visiblement" tu entends le nombre de votes et par "ridiculiser" le nombre de votes négatifs, je crains que tu risques vite de déchanter.
Mouais, là c'est moyen quand même... Ton CV, je pense qu'à part de potentiels employeurs, tout le monde s'en fout. Après tant mieux pour toi si ça t'offre un bon emploi. Cependant je ne vois pas en quoi ça vient appuyer tes dires sur le chiffrement. Et même si tu étais un grand connaisseur de la chose, il arrive à tout le monde de faire des erreurs. Le mieux dans ces moments-là c'est d'arrêter de s'enfoncer, se renseigner un peu plus, comprendre ses erreurs et apprendre de nouvelles choses.
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 29/08/2016 à 16:52
Citation Envoyé par Darkzinus Voir le message
Un peu d'humilité te ferait pas de mal ...
Je suis d'habitude assez modeste, mais il faut parfois remettre les points sur les "i".

Quand on te répète régulièrement, à gauche et à droite, "ta gueule j'ai plus de cheveu blancs" ou "ta gueule t'es encore étudiant" sans être capable d'argumenter, juste en sortant des affirmations foireuses empreintes de biais, de paralogismes, d'ignorance et de préjugés ou à moinssoyer en masse, ça commence à bien faire.

Alors oui, ça en amuse beaucoup de constamment me rabaisser sous prétexte que je suis encore étudiant. Mais je persiste et signe, s'ils voyaient mon CV, ils se chieraient dessus. Sachant, que ce n'est pas toujours les plus compétents, les plus critiques... d'autant plus sur le forum actualité/politique.

Moi, je ne regarde pas ce qui est écris sous votre pseudo, je m'en fou de votre profession, après tout on a des incompétents de partout. Ce qui m'intéresse, c'est votre capacité à argumenter... qui n'est pas non plus exceptionnelle sur le forum actualité/politique.

Citation Envoyé par imperio Voir le message
Ton CV, je pense qu'à part de potentiels employeurs, tout le monde s'en fout.
Non, tout le monde s'en fout quand ça les arrange, tant que tu n'as pas ton diplôme BAC+2, puis tant que tu n'as pas ton diplôme BAC+5, après, c'est "ta gueule, j'ai plus de cheveux blancs"/"j'ai plus d'expériences".
Par contre, dès que tu as un diplôme ou une expérience que eux n'ont pas, tout d'un coup, le CV ne veut plus rien dire, comme quoi c'est pratique.

Cependant je ne vois pas en quoi ça vient appuyer tes dires sur le chiffrement.
C'est pourtant toi qui m'affirmes que "visiblement, je n'y connais pas grand chose sur le chiffrement".

Et même si tu étais un grand connaisseur de la chose, il arrive à tout le monde de faire des erreurs. Le mieux dans ces moments-là c'est d'arrêter de s'enfoncer, se renseigner un peu plus, comprendre ses erreurs et apprendre de nouvelles choses.
Et quelle autorité as-tu pour décider arbitrairement si j'ai tord ou non ?

Je suis le premier à reconnaître mes erreurs... mais encore faut-il me les montrer et argumenter. La vérité n'est pas une question démocratique, ce n'est pas en me mettant des -1 que vous aurez raison pour autant... mais bien en argumentant... ce qu'aucun des grands experts ici présent semble n'avoir la volonté de faire.

Assez paradoxal pour des personnes tellement plus compétentes que moi.
Avatar de imperio imperio - Membre chevronné https://www.developpez.com
le 29/08/2016 à 17:24
Je suis d'habitude assez modeste, mais il faut parfois remettre les points sur les "i".

Quand on te répète régulièrement, à gauche et à droite, "ta gueule j'ai plus de cheveu blancs" ou "ta gueule t'es encore étudiant" sans être capable d'argumenter, juste en sortant des affirmations foireuses empreintes de biais, de paralogismes, d'ignorance et de préjugés ou à moinssoyer en masse, ça commence à bien faire.

Alors oui, ça en amuse beaucoup de constamment me rabaisser sous prétexte que je suis encore étudiant. Mais je persiste et signe, s'ils voyaient mon CV, ils se chieraient dessus. Sachant, que ce n'est pas toujours les plus compétents, les plus critiques... d'autant plus sur le forum actualité/politique.

Moi, je ne regarde pas ce qui est écris sous votre pseudo, je m'en fou de votre profession, après tout on a des incompétents de partout. Ce qui m'intéresse, c'est votre capacité à argumenter... qui n'est pas non plus exceptionnelle sur le forum actualité/politique.
J'ai fini mes études il y a moins d'un an donc je ne pense que l'expérience entre en ligne de compte. Je me contente de te faire remarquer que ce que tu dis est incorrect. Je ne remets rien d'autre en cause. Tes réactions sont exagérées, ce qui n'aide pas non plus. Pour faire simple (et revenir un peu au débat) : fournir un moyen à un troisième participant de lire du contenu chiffré entre 2 personnes, c'est créer une vulnérabilité potentiellement exploitable (n'importe qui peut être cette troisième personne après tout), quelque soit la façon dont c'est fait.

Non, tout le monde s'en fout quand ça les arrange, tant que tu n'as pas ton diplôme BAC+2, puis tant que tu n'as pas ton diplôme BAC+5, après, c'est "ta gueule, j'ai plus de cheveux blancs"/"j'ai plus d'expériences".
Par contre, dès que tu as un diplôme ou une expérience que eux n'ont pas, tout d'un coup, le CV ne veut plus rien dire, comme quoi c'est pratique.
Ça c'est le système français qui veut ça. Rien ne t'oblige à y rester. Les boîtes françaises n'aiment pas payer (ce qui est compréhensible mais hautement agaçant) et ne récompense généralement pas les compétences d'un individu. L'expérience n'est qu'un moyen d'évaluer la valeur d'un individu, rien de plus.

C'est pourtant toi qui m'affirmes que "visiblement, je n'y connais pas grand chose sur le chiffrement".
Le fait de dire que je me chierais dessus en lisant ton CV n'apporte clairement rien. Je me basais sur le contenu de tes messages.

Et quelle autorité as-tu pour décider arbitrairement si j'ai tord ou non ?

Je suis le premier à reconnaître mes erreurs... mais encore faut-il me les montrer et argumenter. La vérité n'est pas une question démocratique, ce n'est pas en me mettant des -1 que vous aurez raison pour autant... mais bien en argumentant... ce qu'aucun des grands experts ici présent semble n'avoir la volonté de faire.
Tu es sacrément obtus quand même... Si je dis que la Terre est plate, l'est-elle pour autant ? Ce n'est pas parce que tu crois que tu as raison que c'est forcément le cas. L'erreur est humaine, nous sommes plusieurs à te dire que tu as tort. Si tu trouves un document prouvant que tu as raison, je reconnaitrais sans problème mon tort, apprendrai de nouveaux trucs et serai finalement content de ma journée.

Assez paradoxal pour des personnes tellement plus compétentes que moi.
Je ne l'ai jamais dit. J'ai dit que tu avais tort, pas que j'étais plus compétent que toi. Après prends-le comme tu veux mais c'est te faire du mal pour rien...
Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 29/08/2016 à 17:27
Je t'ai pourtant longuement et assez largement expliqué en quoi tes solutions n'en sont pas parce qu'elles affaiblissent largement le système. Je t'ai également expliqué que tous les experts en sécurité sont du même avis, ou plutôt j'essaie d'expliquer pourquoi ces experts sont de cet avis.

Toi tu nous sors une solution abracadabrantesque sortie d'on ne sait où, tu es incapable de l'expliquer correctement, et tu écris sans rire :

Je suis le premier à reconnaître mes erreurs... mais encore faut-il me les montrer et argumenter. La vérité n'est pas une question démocratique, ce n'est pas en me mettant des -1 que vous aurez raison pour autant... mais bien en argumentant... ce qu'aucun des grands experts ici présent semble n'avoir la volonté de faire.
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 29/08/2016 à 17:53
Citation Envoyé par imperio Voir le message
Pour faire simple (et revenir un peu au débat) : fournir un moyen à un troisième participant de lire du contenu chiffré entre 2 personnes, c'est créer une vulnérabilité potentiellement exploitable (n'importe qui peut être cette troisième personne après tout), quelque soit la façon dont c'est fait.
Et bien qu'attends-tu pour nous le démontrer ?

D'ailleurs il ne me semble pas que la soi-disante vulnérabilité ajoutée aie été décrite ici. Quelle est donc cette vulnérabilité potentielle induite par un tel système ?

Je me basais sur le contenu de tes messages.
Et sans détailler d'avantage ?

Tu es sacrément obtus quand même... Si je dis que la Terre est plate, l'est-elle pour autant ?
Non, et justement.

Ce n'est pas parce que tu dis quelque chose que c'est vrai. Donc je maintient mon affirmation, quelle autorité as-tu pour dire arbitrairement que j'ai tord ?

Donc oui, je ne vais pas me contenter de tes affirmations mais il va me falloir des argumentations. Si tu affirmes que la Terre est plate, et bien il va falloir m'apporter des preuves très solides pour me le prouver.

Ce n'est pas parce que je remet en cause une affirmation gratuite non argumentée que je suis obtus.

Ce n'est pas parce que tu crois que tu as raison que c'est forcément le cas. L'erreur est humaine, nous sommes plusieurs à te dire que tu as tort.
Et je l'ai dis dans le texte que tu cites, la vérité n'est absolument pas une question démocratique. L'erreur est humaine, vous êtes aussi humain que je sache. Pourquoi ce ne serait pas vous qui seriez dans l'erreur ?

Moi je suis prêt à reconnaître mes erreurs... mais comme je le dis, encore faut-il me prouver mes erreurs.

Si tu trouves un document prouvant que tu as raison, je reconnaitrais sans problème mon tort, apprendrai de nouveaux trucs et serai finalement content de ma journée.
J'ai déjà prouvé qu'on peut avoir des les courbes elliptiques qui offrent une sécurité "standard" construites de sorte que la connaissance d'un secret permette de simplifier les opérations.

Citation Envoyé par Marco46 Voir le message
Je t'ai pourtant longuement et assez largement expliqué en quoi tes solutions n'en sont pas parce qu'elles affaiblissent largement le système.
Sans me dire en quoi elles affaiblissent le système.

Citation Envoyé par Marco46 Voir le message
Je t'ai également expliqué que tous les experts en sécurité sont du même avis
Tu m'as juste balancé "ANSSI", sans être capable de me citer un passage qui me contre-dirait.

Au passage, les experts sont tellement du même avis, que je n'ai aucune idée du comment il ont créé les systèmes bancaires ainsi que le système de certificats à clé publique.

Citation Envoyé par Marco46 Voir le message
J'essaie d'expliquer pourquoi ces experts sont de cet avis.
Je n'en ai pas souvenir.

Citation Envoyé par Marco46 Voir le message
Toi tu nous sors une solution abracadabrantesque sortie d'on ne sait où
Et utilisée par la NSA .

Pour mon autre solution consistant à chiffrer la clé de session... en quoi est-ce abracadabrantesque ?

tu es incapable de l'expliquer correctement
Non, pas incapable, ayant autre chose à faire.

J'ai donné les concepts de bases permettant de le comprendre intuitivement. Si cela ne vous suffit pas, c'est que vous n'avez de toute évidence pas les bases concernant les principes mathématiques derrières la cryptographie liées aux courbes elliptiques. Et comme je l'ai dit, je ne suis pas ici pour vous faire un cours.

Au passage, j'ai quand même fini par prouver mon point en montrant que la NSA avait utilisée un tel système.
Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 29/08/2016 à 18:56
Citation Envoyé par Neckara Voir le message
Sans me dire en quoi elles affaiblissent le système.
Transmettre les clefs à un tiers c'est de facto affaiblir le système. Qui aura accès à ces clefs ? Où seront-elles stockées ? Qui aura les accréditations sur le SI qui permettra d'exploiter les données ?

Si tu ne comprends pas ça c'est que tu es incompétent.

Citation Envoyé par Neckara Voir le message
Tu m'as juste balancé "ANSSI", sans être capable de me citer un passage qui me contre-dirait.
As-tu seulement lu le communiqué ?

Allez je t'aide, voici le lien, il s'agit des paragraphes 3, 4 et 5.

Citation Envoyé par Neckara Voir le message
Au passage, les experts sont tellement du même avis, que je n'ai aucune idée du comment il ont créé les systèmes bancaires ainsi que le système de certificats à clé publique.
Aucun rapport.

Citation Envoyé par Neckara Voir le message
Pour mon autre solution consistant à chiffrer la clé de session... en quoi est-ce abracadabrantesque ?
Cf début de mon post. Tu peux rajouter à ça la non prise en compte de l'architecture générale et tu obtiens un point de vue débile.

Citation Envoyé par Neckara Voir le message
Non, pas incapable, ayant autre chose à faire.
Si tu as autre chose à faire débarrasse le plancher. Ou sinon prend le temps d'aller au bout des choses.
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 29/08/2016 à 19:27
Citation Envoyé par Marco46 Voir le message
Transmettre les clefs à un tiers c'est de facto affaiblir le système.
Le tiers fait ici parti du système, donc non, pas de facto.

Qui aura accès à ces clefs ? Où seront-elles stockées ? Qui aura les accréditations sur le SI qui permettra d'exploiter les données ?
Ce sont des considérations matérielles, pas sur le système cryptographique sous-jacent, donc hors contexte de mes propos.

Stockage sur matériel dédié :
  • qui aura accès à ces clés ? Personne.
  • Où seront-elles stockées ? Matériel tamper-resistant, dans un espace d'accès restreint et protégé.
  • Les accréditations pour exploiter les données... le but de la démarche est justement de pouvoir exploiter les données...


Maintenant, en quoi est-ce que cela introduit de nouvelles vulnérabilités par rapport à un serveur/fournisseur de certificats malveillant/corrompu ?

Allez je t'aide, voici le lien, il s'agit des paragraphes 3, 4 et 5.
HS.

On parle ici de faire évoluer la législation pour demander aux fournisseur une obligation de résultat, ie faites vos applications de sortes qu'on puisse, nous, décrypter, ie adaptez vos logiciels à nos moyens.
Il n'est pas question ici de pousser une variante (ce n'est pas un mécanisme de contournement) intégrant l'État comme entité lors de la communication, ie l'État impose une solution complète.

Aucun rapport.
Et je suis l'incompétent après ? .

C'est pourtant simple, si on admet que :
  • chiffrer avec la clé publique du Gouvernement est une faille, alors les certificats le sont aussi, la faille existe déjà, pas de faille ajoutée (EDIT : je précise que je connais la différence entre chiffrer et signer);
  • stocker un secret sur un matériel sécurisé pour y effectuer des opérations sensibles est une failles, alors le système bancaire est une faille immense.


Si tu as autre chose à faire débarrasse le plancher. Ou sinon prend le temps d'aller au bout des choses.
Si tu n'as pas le niveau, ce n'est pas de ma faute, et ce n'est pas à moi de te faire cours. Au passage, je rappelle que je l'ai prouvé en montrant que la NSA a utilisé un tel système, donc il m'en pas nécessaire de poursuivre les explications.

Au passage, tu restes toujours très superficiel dans l'explication de ces soi-disantes vulnérabilités.
Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 29/08/2016 à 20:08
Citation Envoyé par Neckara Voir le message
Le tiers fait ici parti du système, donc non, pas de facto.
Non le tiers ne fait pas partie du système. Il n'y a pas de tiers dans un chiffrement asymétrique de bout en bout. Tu es totalement idiot ou tu le fais exprès ?

Citation Envoyé par Neckara Voir le message
Ce sont des considérations matérielles, pas sur le système cryptographique sous-jacent, donc hors contexte de mes propos.

Stockage sur matériel dédié :
  • qui aura accès à ces clés ? Personne.
  • Où seront-elles stockées ? Matériel tamper-resistant, dans un espace d'accès restreint et protégé.
  • Les accréditations pour exploiter les données... le but de la démarche est justement de pouvoir exploiter les données...
Tu es tout simplement entrain de dire qu'il n'y a qu'à ignorer l'architecture générale.

Citation Envoyé par Neckara Voir le message
qui aura accès à ces clés ? Personne.
Tu plaisantes ? N'importe quelle personne ayant un accès utilisateur pour le système, ou pire n'importe quel admin sys aura accès à tout ce qu'il veut. C'est un des gros problèmes pointés par Snowden avec le système de la NSA.

Si tu veux pouvoir déchiffrer les messages que tu as enregistré, il va bien falloir stocker les clefs. Or stocker les clefs en clair dans une BDD est une faille ultra critique.

Citation Envoyé par Neckara Voir le message
Maintenant, en quoi est-ce que cela introduit de nouvelles vulnérabilités par rapport à un serveur/fournisseur de certificats malveillant/corrompu ?
Parce que tu transmets la clef à un tiers, ce qui ne se fait pas normalement.

Citation Envoyé par Neckara Voir le message
On parle ici de faire évoluer la législation pour demander aux fournisseur une obligation de résultat, ie faites vos applications de sortes qu'on puisse, nous, décrypter, ie adaptez vos logiciels à nos moyens.
Il n'est pas question ici de pousser une variante (ce n'est pas un mécanisme de contournement) intégrant l'État comme entité lors de la communication, ie l'État impose une solution complète.
Justement, passer d'une obligation de moyen (si tu peux pas fournir la clef tu n'es pas poursuivi) à une obligation de résultat (si tu peux pas fournir la clef tu passes devant les tribunaux) change tout. Il va inciter les fournisseurs de services à ajouter des backdoors. Or il n'y a aucun moyen de s'assurer que ces backdoors ne seront exploitées que par des personnes accréditées.

Citation Envoyé par Neckara Voir le message
Et je suis l'incompétent après ? .
Tu es totalement incompétent en effet.

Citation Envoyé par Neckara Voir le message
chiffrer avec la clé publique du Gouvernement est une faille, alors les certificats le sont aussi, la faille existe déjà, pas de faille ajoutée (EDIT : je précise que je connais la différence entre chiffrer et signer);
Ce n'est pas ce que j'ai écrit, j'ai écrit que transmettre la clef utilisée pour chiffrer un échange à un tiers est une faille.

Citation Envoyé par Neckara Voir le message
stocker un secret sur un matériel sécurisé pour y effectuer des opérations sensibles est une failles, alors le système bancaire est une faille immense.
Personne d'autre que toi ne connait la clef permettant d'utiliser le secret stocké sur la carte. C'est toute la différence.

Citation Envoyé par Neckara Voir le message
Au passage, tu restes toujours très superficiel dans l'explication de ces soi-disantes vulnérabilités.
Comment te trouver une image pour que tu comprennes ... Tu me parles de littérature mais tu ne connais même pas l'alphabet. Tu saisis mieux ?
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 29/08/2016 à 20:34
Citation Envoyé par Marco46 Voir le message
Non le tiers ne fait pas partie du système. Il n'y a pas de tiers dans un chiffrement asymétrique de bout en bout. Tu es totalement idiot ou tu le fais exprès ?
Quel genre d'incompétent es-tu pour ignorer qu'il y a plus que deux entités impliquées dans les échanges TLS, ne serait-ce e.g. que le CA ?

EDIT : au passage, le système est bien plus étendu que le chiffrement asymétrique : il y a négociation de la clé de session (je simplifies).
Pour le grand expert que tu es, cela fait tout de même plusieurs fois que je te vois répondre complètement à côté de la plaque.

Tu es tout simplement entrain de dire qu'il n'y a qu'à ignorer l'architecture générale.
Non, tu es juste hors du contexte de mes propos c'est tout.

Je te parle de considérations cryptographiques, les considérations matérielles derrières ne dépendent que des moyens et ne permettent en aucun cas d'affirmer qu'une chose est impossible comme tu le prétendais.

Tu plaisantes ? N'importe quelle personne ayant un accès utilisateur pour le système, ou pire n'importe quel admin sys aura accès à tout ce qu'il veut. C'est un des gros problèmes pointés par Snowden avec le système de la NSA.
Oui, on va s'amuser à construire des systèmes tamper-resistant pour que le premier administrateur venu puisse avoir accès aux secrets .

On ne stockerait pas (normalement) ce genre de secrets sur la machine de la secrétaire du 5ème. On les stocke sur des matériels dédiés (même pas des vrais ordinateurs), tamper-resistant où le secret est généré et ne peut jamais en sortir. En cas de tentative d'accès physique, les données sont supprimées. L'administration ne permet pas d'obtenir les secrets, et nécessite la présence physique de plusieurs personnes. Le système en lui-même est dans une pièce sécurisée derrière un bon blindage.

Mais oui, c'est tellement vulnérable .
Derrière, on parle de la sécurité du client et du serveur ?

Si tu veux pouvoir déchiffrer les messages que tu as enregistré, il va bien falloir stocker les clefs. Or stocker les clefs en clair dans une BDD est une faille ultra critique.
Pourquoi as-tu besoin de stocker la clé symétrique en clair alors qu'elles sont déjà contenues dans les messages stockés et que tu pourras retrouvé ensuite ? .
Si tu parles de la clé privée du gouvernement, non seulement c'est exactement la même problématique qu'avec le serveur, mais en plus je te rappelle que ce genre de clé aussi sensible serait stockées sur un matériel dédié.

Au passage, où ai-je parlé d'un quelconque stockage des messages ?

Parce que tu transmets la clef à un tiers, ce qui ne se fait pas normalement.
Et ... ?
Cela ne suffit pas à démontrer que tu introduits une nouvelle vulnérabilité.

Justement, passer d'une obligation de moyen (si tu peux pas fournir la clef tu n'es pas poursuivi) à une obligation de résultat (si tu peux pas fournir la clef tu passes devant les tribunaux) change tout. Il va inciter les fournisseurs de services à ajouter des backdoors. Or il n'y a aucun moyen de s'assurer que ces backdoors ne seront exploitées que par des personnes accréditées.
Mais ce n'est absolument pas ce dont je parle... et j'ai expliqué la différence dans mon message précédent.

Tu es totalement incompétent en effet.
Oui .

Ce n'est pas ce que j'ai écrit, j'ai écrit que transmettre la clef utilisée pour chiffrer un échange à un tiers est une faille.
Si la clé est chiffrée, où est le problème ?
EDIT : je rappelle aussi que la clé chiffrée est jointe au message, donc pas directement transmise à une entité tierce.

Personne d'autre que toi ne connait la clef permettant d'utiliser le secret stocké sur la carte. C'est toute la différence.
Je te rappellerais que tu n'as pas toujours à saisir ton code PIN (sans contact).
Je te rappellerais aussi qu'il n'y a pas que ta carte bancaire en jeu.

Comment te trouver une image pour que tu comprennes ... Tu me parles de littérature mais tu ne connais même pas l'alphabet. Tu saisis mieux ?
Tu n'as que des connaissances très superficielles, tu ne sais pas de quoi tu parles...
Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 29/08/2016 à 23:01
Fin de la discussion (si on peut appeler ça une discussion) en ce qui me concerne.

Je constate que tu utilises la même mauvaise foi que tu peux utiliser parfois dans la partie politique de ce forum, je te souhaite bon courage pour la suite de ta carrière avec une telle attitude.

A+
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 29/08/2016 à 23:29
Citation Envoyé par Marco46 Voir le message
Je constate que tu utilises la même mauvaise foi que tu peux utiliser parfois dans la partie politique de ce forum, je te souhaite bon courage pour la suite de ta carrière avec une telle attitude.
Maintenant on me sort le coup de la mauvaise foi .

Un peu facile pour le grand expert que tu es n'est-ce pas ? Juste capable de répondre à côté de la plaque, à faire des confusions qui ne montrent que ton incompétence dans le domaine, ... à dire que c'est moi l'incompétent et maintenant de mauvaise foi de surcroît.

Pour ma carrière, je te rassures, tu n'as absolument pas à te soucier pour moi.
Encore mieux, dans mon domaine on travaille principalement avec des personnes compétentes dans leur spécialité.
Avatar de LSMetag LSMetag - Membre expert https://www.developpez.com
le 30/08/2016 à 9:05
Citation Envoyé par Marco46 Voir le message

Tu veux transmettre les clefs de session au gouvernement Et ça c'est pas un affaiblissement de la sécurité générale du système ?

Donc en fait, ta solution, c'est que l'état dépense des centaines de millions d'euros (si c'est pas des milliards) pour mettre en place une infra permettant de récolter :
1- le flux chiffré entre A et B
2- la clef de session du flux

Pour ensuite déchiffrer les messages xD

Et une autre infra pour contrôler tous les flux qui passent sur les réseaux français, et si on détecte un flux chiffré qui ne donne pas sa clef on coupe ? C'est ça l'idée ? Et si ça passe par l'étranger on fait comment on coupe ? On isole complètement le réseau français du reste du monde ?

Allez revenons un peu sur terre ...
Ben ça existe. En Chine...
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 30/08/2016 à 9:40
Citation Envoyé par LSMetag Voir le message
Ben ça existe. En Chine...
Non, puis ce n'est pas comme si ce grand expert ignorait qu'il est très facile pour un CA de faire du MITM sur une connexion TLS.

D'ailleurs c'est assez marrant qu'il tienne tant à ce qu'on lui donne une solution complète, clé en main... il bosserait pas pour le gouvernement à tout hasard ? .
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 28/02/2017 à 16:17
L’alliance franco-allemande contre le chiffrement appelle à une législation européenne
l’Europe va-t-elle affaiblir le chiffrement des communications ?

En août dernier, le ministre français de l’Intérieur Bernard Cazeneuve et son homologue allemand Thomas de Maizière ont présenté une initiative franco-allemande sur la sécurité intérieure en Europe, dans le but de renforcer la lutte contre le terrorisme. La question du chiffrement était l’une des plus importantes, alors que les deux ministres ont appelé à prendre des mesures contre la généralisation du chiffrement des communications, de sorte qu’elle ne fasse pas obstacle au bon déroulement des enquêtes judiciaires.

La semaine dernière, Thomas de Maizière et le successeur de Cazeneuve, Bruno Le Roux, ont porté cette initiative au niveau européen. Les ministres de l'Intérieur français et allemand ont en effet appelé à une législation européenne en octobre 2017. Dans leur déclaration conjointe, ils invitent implicitement Bruxelles à trouver des moyens de contourner le chiffrement des communications par voie électronique lors des enquêtes judiciaires et administratives, « tout en garantissant la fiabilité des systèmes hautement sécurisés ».

« La lutte contre le terrorisme requiert de donner les moyens juridiques aux autorités européennes afin de tenir compte de la généralisation du chiffrement des communications par voie électronique lors d'enquêtes judiciaires et administratives », ont-ils écrit dans un document adressé à Bruxelles. « La Commission européenne doit veiller à ce que des travaux juridiques et techniques soient menés dès maintenant pour étudier la possibilité de définir de nouvelles règles à la charge des prestataires de services de communication par voie électronique tout en garantissant la fiabilité des systèmes hautement sécurisés », ajoutent-ils.

La question à se poser est de savoir si l’Europe va soutenir cette initiative contre le chiffrement. Il y a en effet de quoi être inquiet vu qu’un porte-parole de la Commission européenne a apporté un certain soutien au projet porté par Thomas de Maizière et Bruno Le Roux. « La technologie de chiffrement ne devrait pas empêcher les services chargés de l'application de la loi ou d'autres autorités compétentes d'intervenir dans l'exercice légal de leurs fonctions », a-t-il soutenu.

L’Europe pourrait donc chercher à résoudre une équation complexe : comment les fournisseurs de services en ligne devraient-ils fournir aux autorités chargées de l'application de la loi l'accès à des données d'utilisateur qui sont censées être chiffrées de bout en bout.

L’introduction de portes dérobées semble donc être la solution envisagée, mais l’Europe a déjà exprimé par le passé une forte opposition aux backdoors dans les chiffrements. Fin décembre, l’agence de l'UE pour la sécurité des réseaux et de l'information (ENSIA) a par exemple mis en garde contre les dangers à emprunter cette direction. Les portes dérobées poseront de sérieux risques pour la sécurité globale et la confidentialité des communications, en laissant les systèmes en ligne plus vulnérables à tout type d'attaques. Un peu plus tôt en France, l'ANSSI s’est également dit en faveur du chiffrement et contre l'installation de portes dérobées, dans une missive adressée à plusieurs ministères.

Sources : Déclaration conjointe de Thomas de Maizière et Bruno Le Roux, Computer & Communications Industry Association

Et vous ?

Pensez-vous que l’Europe va affaiblir le chiffrement au nom de la lutte contre le terrorisme ?

Voir aussi :

France : l'ANSSI se dit en faveur du chiffrement et contre l'installation de portes dérobées, dans une missive adressée à plusieurs ministères
Russie : un amendement oblige les éditeurs à fournir un moyen de déchiffrer les communications au FSB, les services secrets russes
Angleterre : le ministre d'État à la Défense admet que la nouvelle législation permettra de demander la suppression du chiffrement de bout en bout
Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 28/02/2017 à 16:27
Citation Envoyé par Michael Guilloux Voir le message
Pensez-vous que l’Europe va affaiblir le chiffrement au nom de la lutte contre le terrorisme ?
Je pense qu'il est probable que l'Union Européenne le fasse.
On en saura plus en Octobre 2017 j'imagine.

La lutte contre le terrorisme bon dos...
C'est comme l'état d'urgence permanent.
Sous prétexte de vouloir combattre le terrorisme, on met en place des lois liberticides.

« Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux. »
Avatar de Conan Lord Conan Lord - Membre émérite https://www.developpez.com
le 28/02/2017 à 16:42
Citation Envoyé par Michael Guilloux Voir le message
Dans leur déclaration conjointe, ils invitent implicitement Bruxelles à trouver des moyens de contourner le chiffrement des communications par voie électronique lors des enquêtes judiciaires et administratives, « tout en garantissant la fiabilité des systèmes hautement sécurisés ».
C'est moi ou ça ne veut rien dire ? Doit-on comprendre que les systèmes hautement sécurisés ne seront autorisés que pour des personnes/entités triées sur le volet ?

Citation Envoyé par Michael Guilloux Voir le message
« La lutte contre le terrorisme requiert de donner les moyens juridiques aux autorités européennes afin de tenir compte de la généralisation du chiffrement des communications par voie électronique lors d'enquêtes judiciaires et administratives »
Ce qui m'inquiète, c'est de savoir où ça va s'arrêter. Une fois qu'ils auront accès à la vie privée électronique de tous, je doute que le terrorisme va s'arrêter comme par magie. La suite logique serait de s'intéresser aux conversations non électroniques. Pour l'instant, mettre des micros dans les rues choquerait, mais rappelons-nous à quel point l'apparition des caméras a choqué à l'époque.
Avatar de SkyZoThreaD SkyZoThreaD - Membre expérimenté https://www.developpez.com
le 28/02/2017 à 17:43
Merci à Ryu pour la citation de Franklin à laquelle je souscris totalement.
Le problème du terrorisme ne se résout que par le renseignement ciblé et non la surveillance de masse.
En tout cas, je n'abandonnerais pas le chiffrage fort quitte à finir en cellule.
Avatar de Jiji66 Jiji66 - Membre averti https://www.developpez.com
le 28/02/2017 à 18:30
Citation Envoyé par Ryu2000 Voir le message
Je pense qu'il est probable que l'Union Européenne le fasse.
On en saura plus en Octobre 2017 j'imagine.

La lutte contre le terrorisme bon dos...
C'est comme l'état d'urgence permanent.
Sous prétexte de vouloir combattre le terrorisme, on met en place des lois liberticides.

« Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux. »
Il n'a plus qu'à voir ce que va faire le peuple. Dans mon cas je vais m'occuper moi même du chiffrement de mes données
Avatar de jopopmk jopopmk - Membre expert https://www.developpez.com
le 01/03/2017 à 8:04
Mon avis :
- mettre des backdoor : quand on en met une, elle existe pour tout le monde. Si quelqu'un met la main dessus c'est tout le système qui s'écroule,
- limiter la complexité du chiffrement : si l'Europe peut casser un chiffrement, nul doute que d'autres peuvent le faire (et pas que des états),
- d'un point de vue général, limiter le chiffrement : le monde informatique, la toile, est globalisé. Les gens voulant du chiffrement élevé passeront sur des solutions proposés dans d'autres pays. Solutions sur lesquelles l'Europe n'aura aucun recours légal (et je parle pas des risques),
- enfin, on nous parle de se prémunir d'attaque terroriste : des gars qui sont prêt à tuer en masse ont-ils vraiment peur d'être dans l'illégalité en utilisant une clé de 4096 ?

Donc, comme depuis que les gouvernements se sont lancés sur le sujet, je suis partagé entre deux conclusions :
- les politiques sont particulièrement incompétents sur le sujets (des "gros niais"),
- les politiques savent très bien ce qu'ils font, et leur objectif, leur agenda, n'a absolument rien à voir avec le terrorisme.
Je sais pas laquelle des deux est la plus effrayante ..
Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 01/03/2017 à 8:30
Citation Envoyé par SkyZoThreaD Voir le message
En tout cas, je n'abandonnerais pas le chiffrage fort quitte à finir en cellule.
Moi personnellement je ne chiffre strictement rien du tout.
Pour un informaticien je suis calamiteux niveau sécurité...

Peut être que l'UE ne le fera pas, si elle demande conseil à des spécialistes de la sécurité informatique ils vont lui dire que cette solution posera plus de problèmes qu'elle n'apportera de solutions.
On comprend qu'elle veut surveiller les peuples, mais là c'est abusé...
Avatar de Andarus Andarus - Membre averti https://www.developpez.com
le 01/03/2017 à 9:03
Citation Envoyé par Ryu2000 Voir le message
Moi personnellement je ne chiffre strictement rien du tout.
Comme tu poste sur developpez tu chiffre au moins tes échanges avec le site
Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 01/03/2017 à 9:36
Citation Envoyé par Andarus Voir le message
Comme tu poste sur developpez tu chiffre au moins tes échanges avec le site
Ouais enfin c'est le protocole HTTPS qui gère ça (je crois), je n'ai pas le contrôle la dessus.

Je voulais réagir la dessus :
Citation Envoyé par Jiji66 Voir le message
Dans mon cas je vais m'occuper moi même du chiffrement de mes données
Pour dire qu'aucune de mes données n'est chiffrée.

Même pour la création de mot de passe je suis nul...
Quand on ne me force pas à utiliser au moins :
- un caractère minuscule
- un caractère majuscule
- un chiffre
- un caractère spécial
- aucun mot compris dans un dictionnaire
Un mot de passe devrait toujours ressembler à quelque chose comme ça : "b9X/%{"8" et encore 8 caractères c'est faible...

Mes mots de passes ressemblent à ça :
Mots de passe les plus utilisés : le top 25 demeure dominé par 123456
Et c'est une très mauvaise pratique...
Avatar de BugFactory BugFactory - Membre éprouvé https://www.developpez.com
le 01/03/2017 à 11:16
Citation Envoyé par Ryu2000 Voir le message
Ouais enfin c'est le protocole HTTPS qui gère ça (je crois), je n'ai pas le contrôle la dessus.
Justement, c'est un point important.

On utilise le chiffrement tous les jours, sans même s'en rendre compte, parce que les concepteurs des différents systèmes se sont posés la question de la confidentialité. Les politiques jouent ici sur l'ignorance du public, dans lequel ils veulent instiller l'idée que le chiffrement n'est utilisé que par les terroristes.

Seulement, la surveillance de masse est impuissante contre le terrorisme. On a vu que les derniers attentats ont été commis par des gens qui été tous fichés S... comme des milliers d'autres, ce qui fait qu'il était impossible de prendre des précautions particulières.

C'est une spéculation, mais la véritable cible de ces mesures sont probablement les journalistes. Surveiller leurs communications pour manipuler l'opinion. Ça ressemble à une théorie du complot jusqu'à ce qu'on repense à l'affaire des fadettes du Monde. Incontestablement, le Monde est un repaire de fanatiques qu'il faut surveiller, non? Et c'est arrivé ici en France, pas dans un pays autocratique où la censure est officielle.
Avatar de SkyZoThreaD SkyZoThreaD - Membre expérimenté https://www.developpez.com
le 01/03/2017 à 12:43
Citation Envoyé par Ryu2000 Voir le message
Moi personnellement je ne chiffre strictement rien du tout.
Pour un informaticien je suis calamiteux niveau sécurité...
Tu chiffres sans y prendre garde tes connexions https, ssh, rdp.... même si tu n'as pas la main dessus, la plupart des proto actuels sont chiffrée point à point et c'est quand même sympa de savoir que tes mails ne sont pas lus au moins entre ton poste et les serveurs... sauf pour ceux qui sont pro-surveillance. Eux ils ne méritent pas la liberté comme dirait Franklin.

Citation Envoyé par Ryu2000 Voir le message
Peut être que l'UE ne le fera pas, si elle demande conseil à des spécialistes de la sécurité informatique ils vont lui dire que cette solution posera plus de problèmes qu'elle n'apportera de solutions.
On comprend qu'elle veut surveiller les peuples, mais là c'est abusé...
Moi je ne comprend pas du tout qu'elle veuille surveiller les peuples et je ne me laisserai pas faire. Je n'ai rien à me reprocher mais je n'accepte pas d'avoir à le justifier en permanence. Encore une fois, tous les attentats déjoués l'ont été par des enquêtes ciblées suite à des signalements ou soupçons justifiés.
Quant à la faisabilité de la chose, seul l'option avancée à la fin de la news est crédible. Une backdoor chez les fournisseurs mails, web etc.. peut leur permettre de récupérer les données. Ou alors l'exploitation de failles 0day.
Avatar de AstOz AstOz - Membre actif https://www.developpez.com
le 01/03/2017 à 15:14
Citation Envoyé par Ryu2000 Voir le message
La lutte contre le terrorisme bon dos...
C'est comme l'état d'urgence permanent.
Sous prétexte de vouloir combattre le terrorisme, on met en place des lois liberticides.
Parfaitement, je pense même qu'ils ne rendent pas compte que ce genre de mesures peut eux-même les toucher.
Si le chiffrement est normalisé, ça sera aussi le cas pour eux, pour les gouvernements, pour les banques, etc ...

Ça sera une faille majeure.

Il faudrait qu'il vulgarise les choses pour que les gens comprennent de quoi il s'agit, c'est un peu comme-ci on demandait aux gens de plus fermer leurs portes d'entrée et leurs fenêtres au nom de la sécurité nationale.
Ça m'inquiète, on se tourne de plus en plus vers un état totalitaire qui aura légalement le droit de surveiller ses citoyens et d'agir contre eux à souhait.
Avatar de marsupial marsupial - Membre expérimenté https://www.developpez.com
le 01/03/2017 à 17:46
Il s'agit d'une erreur gravissime à double titre. Autant au niveau de la sécurité que politique. Sécurité, vous l'avez déjà expliqué. Mais surtout politique. Ce serait une défaite terrible de la démocratie alors même que Daesh est en train de perdre il remporterait la victoire en abolissant une de nos libertés fondamentale si chèrement acquise et payée. C'est à dire qu'après 300 morts plus de 400 millions de personnes perdraient leurs libertés individuelles. Et donc collectives puisque sans libre arbitre, point de démocratie. Alors même qu'il y a eu 100 millions de morts pour les défendre de 1938 à 1945. Sans parler de l'enchainement sur la guerre froide. J'ai honte de nos politiques qui sont nos élus.

Beurk.
Avatar de pcdwarf pcdwarf - Membre éclairé https://www.developpez.com
le 02/03/2017 à 1:38
Bon sang, mais c'est pas possible que ce genre de choses fasse encore débat.

C'est aussi con que de demander aux gens de ne pas mettre de rideaux aux fenetres pour qu'on puisse voir ce qui se passe chez eux et de ne pas verrouiller leur portes pour que les flics puissent perquisitionner tranquilement.

- L'histoire a montré que les portes dérobées sont toujours trouvées un jour ou l'autre, et qu'elles sont alors d'abord et surtout utilisées dans des buts criminels.
- Il y en a qui se rapellent les débuts de l'internet où il suffisait d'avoir un sniffer pour chopper les mots de passe ? Sans chiffrage, c'est la porte ouverte au piratage.
Avatar de Jiji66 Jiji66 - Membre averti https://www.developpez.com
le 02/03/2017 à 3:02
Cela ne fera qu'affaiblir nos démocraties puisque seuls ceux qui respectent la loi s'y soumettrons.
Une société ou le contrôle des echanges est soumis aux désidératas de ses dirigeants est une dictature.

Les terroristes et criminels en général, qui par définition ne respectent pas la loi, continuerons bien evidemment à utiliser des solutions de chiffrements forts.
Avatar de oooopppp oooopppp - Nouveau membre du Club https://www.developpez.com
le 02/03/2017 à 11:32
Je voulais apporter mon expérience à la discussion :
J'ai récemment fait l'objet d'une enquête de la CAF et ils ont pu avoir
tous les renseignements me concernant.
- Une enquête sur ma vie privée.
- Le compte rendu de tous mes comptes bancaires (avec n° de compte).
- Ceux de la mère de mes enfants.
- Mes revenus d'Auto-entrepreneur.
- Mes déclaration d'impôts.
- Ils ont su où j'avais habité par le passé.

Donc voilà pour dire qu'une simple CAF a le droit de fouiller votre vie
de font en comble, ils savent maintenant tout de ma vie jusqu'au moindre
détail puisqu'il s'agit d'une affaire de mœurs (je suis accusé de vie maritale non-déclarée, à tors je précise)
Et là il faut bien avouer que chiffrement ou pas, ça n'a rien changé, ils ont eu tous les renseignements
qu'ils désiraient.
Je témoignerais en vous révélant que pire qu'un fiché S la gendarmerie fait des rondes autour du logement de la mère
de mes enfants pour voir si je m'y trouve (par contre ils n'envoient personne chez moi, à part un inspecteur de la CAF, qui au passage
a donné une issue favorable à mon dossier).

Alors me direz-vous on s'en fout c'est hors-sujet !
Et bien pas exactement, de part cette histoire je vous affirme qu'il est totalement
inutile de poser la question du chiffrement d'internet pour lutter contre le terrorisme,
il suffit d'appeler la CAF ou d'opérer une enquête classique, ça fonctionne très bien.

Pour le reste les réseaux sociaux sont une formidable source de renseignement,
facebook vient de m'imposer de leur envoyer une copie de ma carte d’identité,
qui sera vue par qui, qui sera stockée où, sur quels serveurs, sont'ils sécurisés ???

Les attaques contre l'internet libre sont récurrentes et viennent le plus souvent des états ou des politiques
car ils en ont peur, une peur bleue je dirais.

Il faudrait peut être réfléchir en amont et se demander pourquoi certains (jeunes) français (ou d'autres états)
se radicalisent et veulent tuer tout le monde ...
Ou pourquoi subissons-nous l'hostilité de pays étrangers ou de groupes armés lointains ...
Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 02/03/2017 à 11:42
Citation Envoyé par oooopppp Voir le message
Donc voilà pour dire qu'une simple CAF a le droit de fouiller votre vie
Il y a une théorie qui dit qu'avec le compteur Linky, EDF pourrait avoir la consommation électrique en temps réel et que ces informations pourraient être envoyé à la CAF.
Ils devraient pouvoir en déduire combien de personnes vivent dans l'appartement et ce genre de choses.
Après il y a aura des appareils capable de communiquer avec le compteur électrique et les infos seront plus précises.

Linky et les compteurs intelligents : bientôt un mouchard chez vous
Dans les années à venir, nous aurons tous chez nous un compteur électrique "intelligent" qui nous permettra de tout savoir sur notre consommation. Et si ces infos tombaient dans de mauvaises mains ? La CNIL s'inquiète parmi tant d'autres, et pas sans raisons.

Officiellement le compteur Linky n'envoie pas constamment la consommation électrique, il est sensé le faire une fois par jour ou un truc comme ça.
Contacter le responsable de la rubrique Accueil