Le cryptage de données, illégal aux Etats-Unis ?

[Nirvana]

DOJ: We can force you to decrypt that laptop

by Declan McCullagh

The Colorado prosecution of a woman accused of a mortgage scam will test whether the government can punish you for refusing to disclose your encryption passphrase.

The Obama administration has asked a federal judge to order the defendant, Ramona Fricosu, to decrypt an encrypted laptop that police found in her bedroom during a raid of her home.

Because Fricosu has opposed the proposal, this could turn into a precedent-setting case. No U.S. appeals court appears to have ruled on whether such an order would be legal or not under the U.S. Constitution's Fifth Amendment, which broadly protects Americans' right to remain silent.

In a brief filed last Friday, Fricosu's Colorado Springs-based attorney, Philip Dubois, said defendants can't be constitutionally obligated to help the government interpret their files. "If agents execute a search warrant and find, say, a diary handwritten in code, could the target be compelled to decode, i.e., decrypt, the diary?"

To the U.S. Justice Department, though, the requested court order represents a simple extension of prosecutors' long-standing ability to assemble information that could become evidence during a trial. The department claims:

Public interests will be harmed absent requiring defendants to make available unencrypted contents in circumstances like these. Failing to compel Ms. Fricosu amounts to a concession to her and potential criminals (be it in child exploitation, national security, terrorism, financial crimes or drug trafficking cases) that encrypting all inculpatory digital evidence will serve to defeat the efforts of law enforcement officers to obtain such evidence through judicially authorized search warrants, and thus make their prosecution impossible.

Prosecutors stressed that they don't actually require the passphrase itself, meaning Fricosu would be permitted to type it in and unlock the files without anyone looking over her shoulder. They say they want only the decrypted data and are not demanding "the password to the drive, either orally or in written form."

The question of whether a criminal defendant can be legally compelled to cough up his encryption passphrase remains an unsettled one, with law review articles for at least the last 15 years arguing the merits of either approach. (A U.S. Justice Department attorney wrote an article in 1996, for instance, titled "Compelled Production of Plaintext and Keys.")

Much of the discussion has been about what analogy comes closest. Prosecutors tend to view PGP passphrases as akin to someone possessing a key to a safe filled with incriminating documents. That person can, in general, be legally compelled to hand over the key. Other examples include the U.S. Supreme Court saying that defendants can be forced to provide fingerprints, blood samples, or voice recordings.

On the other hand are civil libertarians citing other Supreme Court cases that conclude Americans can't be forced to give "compelled testimonial communications" and extending the legal shield of the Fifth Amendment to encryption passphrases. Courts already have ruled that that such protection extends to the contents of a defendant's mind, so why shouldn't a passphrase be shielded as well?

In an amicus brief (PDF) filed on Friday, the San Francisco-based Electronic Frontier Foundation argues that the Justice Department's request be rejected because of Fricosu's Fifth Amendment rights. The Fifth Amendment says that "no person…shall be compelled in any criminal case to be a witness against himself."

"Decrypting the data on the laptop can be, in and of itself, a testimonial act--revealing control over a computer and the files on it," said EFF Senior staff attorney Marcia Hofmann. "Ordering the defendant to enter an encryption password puts her in the situation the Fifth Amendment was designed to prevent: having to choose between incriminating herself, lying under oath, or risking contempt of court."

The EFF says it's interested in this case because it wants to ensure that, as computers become more portable and encrypting data becomes more commonplace, passphrases and encrypted files receive full protection under the Fifth Amendment.

Because this involves a Fifth Amendment claim, Colorado prosecutors took the unusual step of seeking approval from headquarters in Washington, D.C.: On May 5, Assistant Attorney General Lanny Breuer sent a letter to John Walsh, the U.S. Attorney for Colorado, saying "I hereby approve your request."

While the U.S. Supreme Court has not confronted the topic, a handful of lower courts have.

In March 2010, a federal judge in Michigan ruled that Thomas Kirschner, facing charges of receiving child pornography, would not have to give up his password. That's "protecting his invocation of his Fifth Amendment privilege against compelled self-incrimination," the court ruled (PDF).

A year earlier, a Vermont federal judge concluded that Sebastien Boucher, who a border guard claims had child porn on his Alienware laptop, did not have a Fifth Amendment right to keep the files encrypted. Boucher eventually complied and was convicted.

One argument published in the University of Chicago Legal Forum in 1996--constitutional arguments among legal academics have long preceded actual prosecutions--says:

The courts likely will find that compelling someone to reveal the steps necessary to decrypt a PGP-encrypted document violates the Fifth Amendment privilege against compulsory self-incrimination. Because most users protect their private keys by memorizing passwords to them and not writing them down, access to encrypted documents would almost definitely require an individual to disclose the contents of his mind. This bars the state from compelling its production. This would force law enforcement officials to grant some form of immunity to the owners of these documents to gain access to them.

Translation: One way around the Fifth Amendment is for prosecutors to offer a defendant, in this case Fricosu, immunity for what they say. But it appears as though they've stopped far short of granting her full immunity for whatever appears on the hard drive (which may not, of course, even be hers).

Fricosu was born in 1974 and living in Peyton, Colo., as of last fall. She was charged with bank fraud, wire fraud, and money laundering as part of an alleged attempt to use falsified court documents to illegally gain title to homes near Colorado Springs that were facing "imminent foreclosure" or whose owners were relocating outside the state. Some of the charges include up to 30 years in prison; she pleaded not guilty. Her husband, Scott Whatcott, was also charged.

A ruling is expected from either Magistrate Judge Michael Hegarty or District Judge Robert Blackburn.

http://news.cnet.com/8301-31921_3-20078312-281/doj-we-can-force-you-to-decrypt-that-laptop/

Il suffit d'invoquer la pédophilie ou le terrorisme pour pouvoir accéder à n'importe quel ordinateur, on dirait. Les USA deviendraient-ils un Etat policier ?

[z---]

Quelle horreur… Malgré tout cette atteinte à la vie privée au travers de la technologie semble être la tendance dans de plus en plus de pays occidentaux.

[ShoTo]

En même temps, crypter ses données est un darwin award. Rien de tel pour attirer l'attention.

[Nicolas Azor]

Je veux pas faire mon chieur, mais…

on dit pas cryptage, on dit chiffrement.

[Kevinz]

Le 4ième amendement est parti en fumée récemment, espérons que le 5ième survivra encore un peu…

Mais des technos existent pour cacher des volumes cryptés au sein d'un volume crypté (ex: Truecrypt).

Donc si on est forcé de donner un mot de passe, on donne le mot de passe qui va décrypter le premier volume (qui contient des infos peu importantes) mais qui va laisser le second caché (secrets).

Enfin un truc du genre, faudrait que je teste ce Truecrypt.

[Nicolas Azor]

Mais des technos existent pour cacher des volumes cryptés chiffrés au sein d'un volume crypté chiffré (ex: Truecrypt).

Donc si on est forcé de donner un mot de passe, on donne le mot de passe qui va décrypter déchiffrer le premier volume (qui contient des infos peu importantes) mais qui va laisser le second caché (secrets).

Sinon cette affaire est consternante. Les terroristes du 11 septembre communiquaient entre eux sans chiffrer leurs messages, par exemple.

AMHA les terroristes n'utilisent pas ces trucs, sûrement trop compliqués pour eux. J'imagine plutôt qu'ils pratiquent surtout le chiffrement "à l'ancienne", c'est à dire qu'au lieu de dire:

- je t'amène le matériel pour assembler la bombe en vue de l'attentat contre Georges Bush

ils disent:

- je t'amènerai les ingrédients pour le gâteau en prévision de la fête d'anniversaire de Georges.

[Nirvana]

Je veux pas faire mon chieur, mais…

on dit pas cryptage, on dit chiffrement.

Par principe, je rejette toutes les orthographes et expressions pédantes, y compris "chiffrement", "clef", "courriel" "une espace" ou "au temps pour moi" (de même, en anglais, l'usage systématique de "whilst" me sort par les trous de nez).

Le 4ième amendement est parti en fumée récemment, espérons que le 5ième survivra encore un peu…

Mais des technos existent pour cacher des volumes cryptés au sein d'un volume crypté (ex: Truecrypt).

Donc si on est forcé de donner un mot de passe, on donne le mot de passe qui va décrypter le premier volume (qui contient des infos peu importantes) mais qui va laisser le second caché (secrets).

Enfin un truc du genre, faudrait que je teste ce Truecrypt.

Si des gens comme toi ou moi le savent, je pense que le FBI le sait aussi. Et puis, 150 Go de pilotes d'imprimantes ou de lolcats, ça fait pas du tout suspect

[Nicolas Azor]

Par principe, je rejette toutes les orthographes et expressions pédantes, y compris "chiffrement", "clef", "courriel" "une espace" ou "au temps pour moi" (de même, en anglais, l'usage systématique de "whilst" me sort par les trous de nez).

Le verbe chiffrer n'est pas commun, par contre le verbe déchiffrer est d'une grande banalité. On dit ça quand on a sous les yeux un message incompréhensible. Genre: "il m'a écrit une note, mais il écrit si mal que ça va être dûr à déchiffrer."

[Nirvana]

Le verbe chiffrer n'est pas commun, par contre le verbe déchiffrer est d'une grande banalité. On dit ça quand on a sous les yeux un message incompréhensible. Genre: "il m'a écrit une note, mais il écrit si mal que ça va être dûr à déchiffrer."

"Crypter" est un simple glissement de l'anglais au français comme il s'en fait souvent dans le domaine de l'informatique, ça ne me choque pas le moins du monde.

[Nicolas Azor]

"Crypter" est un simple glissement de l'anglais au français comme il s'en fait souvent dans le domaine de l'informatique, ça ne me choque pas le moins du monde.

Moi je n'aime pas ce mot parce que la cryptographie, c'est pas uniquement le chiffrement, c'est aussi les signatures numériques et les fonctions de hashage. Donc parler de chiffrement c'est plus précis qu'utiliser la racine du mot cryptographie.

[h16]

En même temps, crypter ses données est un darwin award. Rien de tel pour attirer l'attention.

Plausible deniability. Stéganographie.

Le 4ième amendement est parti en fumée récemment, espérons que le 5ième survivra encore un peu…

Mais des technos existent pour cacher des volumes cryptés au sein d'un volume crypté (ex: Truecrypt).

Donc si on est forcé de donner un mot de passe, on donne le mot de passe qui va décrypter le premier volume (qui contient des infos peu importantes) mais qui va laisser le second caché (secrets).

Enfin un truc du genre, faudrait que je teste ce Truecrypt.

Tous mes drives sont cryptés avec. Ca marche très bien. Et c'est très solide.

[Poil à gratter]

Si des gens comme toi ou moi le savent, je pense que le FBI le sait aussi. Et puis, 150 Go de pilotes d'imprimantes ou de lolcats, ça fait pas du tout suspect

Un volume caché Truecrypt est réellement caché, ce n'est pas un fichier stéganographique du genre so-lovely-lolcat.jpeg de 50 Mo. En gros il utilise l'espace libre dans un volume Truecrypt pour y cacher un second volume Truecrypt.

Bon évidemment, en théorie, quelqu'un de motivé et puissant peut certainement retrouver le fichier caché en détectant un manque de randomness (je ne vois pas comment traduire ça) dans les données sur la partie du disque censément vide.

Plausible deniability. Stéganographie.

Tous mes drives sont cryptés avec. Ca marche très bien. Et c'est très solide.

Oui ça marche, mais est-ce que c'est solide face a un état, c'est une autre question

En tous cas ça met à l'abri de 99% des curieux, c'est déjà pas mal.

[Nadaël]

Si ils refusent de donner le mot de passe, ils font quoi ?

Je veux dire ils ne peuvent pas incarcérer indéfiniment sans chef d'accusation et ne peuvent l'accuser de rien sans le mot de passe. S'ils trouvent un chef d'accusation du style "obstruction of justice" ça reste moins pire que fraude non? Quel est l'intérêt dans de telles conditions à donner son mot de passe?

[h16]

Oui ça marche, mais est-ce que c'est solide face a un état, c'est une autre question

En tous cas ça met à l'abri de 99% des curieux, c'est déjà pas mal.

tiens : http://korben.info/truecrypt-a-lepreuve-du-fbi.html

Oui, c'est solide.

[Kevinz]

Tous mes drives sont cryptés avec. Ca marche très bien. Et c'est très solide.

Et au niveau des perfs, le chiffrement/déchiffrement cryptage/décryptage du disque dur, ça ne ralentit pas trop ? Surtout sur une partition Windows…

Parce que si je ne peux plus fraguer de manière fluide ou charger les maps rapidement, ça ne va pas le faire

[Bastiat]

Et au niveau des perfs, le chiffrement/déchiffrement cryptage/décryptage du disque dur, ça ne ralentit pas trop ? Surtout sur une partition Windows…

Parce que si je ne peux plus fraguer de manière fluide ou charger les maps rapidement, ça ne va pas le faire

http://www.ldlc.com/cat/452.html

[jubal]

tiens : http://korben.info/t…uve-du-fbi.html

Oui, c'est solide.

Ah intéressant ça.

Ceci dit, la police turque a déjà réussi la ou le FBI a échoué (après 1 semaine passe avec eux, le suspect leur a donne sa clé, même sachant que ça lui coûterait 30 ans de prison).

Et puis si le laptop est allumé quand la police vient, ils peuvent récupérer les clés directement dans la RAM (via le port PCMCIA ou autre), ça s'est déjà fait et ça marche bien.

De plus ce qui est solide aujourd’hui peut être craqué en 3 secondes demain (comme par exemple gnupg et les clés elgamal en 2003).C'est très facile de se planter quand on implémente de la crypto, même openssl a eut des bugs.

[Nirvana]

Ah intéressant ça.

Ceci dit, la police turque a déjà réussi la ou le FBI a échoué (après 1 semaine passe avec eux, le suspect leur a donne sa clé, même sachant que ça lui coûterait 30 ans de prison).

Et puis si le laptop est allumé quand la police vient, ils peuvent récupérer les clés directement dans la RAM (via le port PCMCIA ou autre), ça s'est déjà fait et ça marche bien.

De plus ce qui est solide aujourd’hui peut être craqué en 3 secondes demain (comme par exemple gnupg et les clés elgamal en 2003).

Bonne chance pour casser du AES256.

[jubal]

Bonne chance pour casser du AES256.

Il ne s'agit pas forcement de casser AES256, mais de casser une implémentation donnée de AES256.

Par exemple ce n'est pas elgamal qui a été cassé dans le cas de gnupg, c'est gnupg qui l'utilisait mal.

De même pour le bug des clé ssh debian, c’était du a une erreur d'un développeur et non pas a un probleme avec DSA ou RSA.

[Poil à gratter]

tiens : http://korben.info/truecrypt-a-lepreuve-du-fbi.html

En fait je ne pensais pas aux forces de police mais plutôt aux officines genre NSA ou DST.

Comme expliqué avant moi, il s'agit, plutôt que de faire un bête brute force, d'exploiter des erreurs d'implémentation ou des faiblesses de l'algorithme de chiffrement. Et moi je suis persuadé - sans pouvoir le prouver, évidemment - que ce genre d'officine a une grosse longueur d'avance sur le reste du monde. Ce n'est pas pour rien qu'ils recrutent des as en mathématiques et en informatique.

Sans compter qu'ils ont aussi les moyens d'aller chercher des renseignements intéressants sur tes habitudes, tes hobbies ou tout autre renseignements permettant éventuellement de deviner ton mot de passe, ou au moins de restreindre le champ des possibilités. Sinon la pression psychologique ça marche bien aussi

Évidemment ce qui nous sauve c'est que le coût de récupération des données est bien souvent supérieur à la valeur des données, donc ils laisseront tomber avant la fin (comme dans le cas que h16 cite). Je vois mal un état dépenser autant de moyens juste pour récupérer la recette secrète de tarte aux pommes de votre grand-mère que vous cachez dans votre fichier ou partition TrueCrypt.

Enfin, ça ne m'empêche pas d'utiliser un fichier Truecrypt pour mes données personnelles, ça les mets au moins à l'abri de beaucoup d'indiscrétions. Un utilitaire pas mal aussi c'est Eraser (ou Wipe sur Unix) pour réellement effacer les fichiers en remplaçant les données en plusieurs passes. Parceque si vous vous contentez de l'effacement standard, les données sont toujours sur le disque et récupérables très facilement par n'importe qui.

[h16]

En fait je ne pensais pas aux forces de police mais plutôt aux officines genre NSA ou DST.

Comme expliqué avant moi, il s'agit, plutôt que de faire un bête brute force, d'exploiter des erreurs d'implémentation ou des faiblesses de l'algorithme de chiffrement. Et moi je suis persuadé - sans pouvoir le prouver, évidemment - que ce genre d'officine a une grosse longueur d'avance sur le reste du monde. Ce n'est pas pour rien qu'ils recrutent des as en mathématiques et en informatique.

Sans compter qu'ils ont aussi les moyens d'aller chercher des renseignements intéressants sur tes habitudes, tes hobbies ou tout autre renseignements permettant éventuellement de deviner ton mot de passe, ou au moins de restreindre le champ des possibilités. Sinon la pression psychologique ça marche bien aussi

Évidemment ce qui nous sauve c'est que le coût de récupération des données est bien souvent supérieur à la valeur des données, donc ils laisseront tomber avant la fin (comme dans le cas que h16 cite). Je vois mal un état dépenser autant de moyens juste pour récupérer la recette secrète de tarte aux pommes de votre grand-mère que vous cachez dans votre fichier ou partition TrueCrypt.

Enfin, ça ne m'empêche pas d'utiliser un fichier Truecrypt pour mes données personnelles, ça les mets au moins à l'abri de beaucoup d'indiscrétions. Un utilitaire pas mal aussi c'est Eraser (ou Wipe sur Unix) pour réellement effacer les fichiers en remplaçant les données en plusieurs passes. Parceque si vous vous contentez de l'effacement standard, les données sont toujours sur le disque et récupérables très facilement par n'importe qui.

Voilà. A moins d'être un terroriste international, casser truecrypt hic & nunc avec les moyens actuels limite l'attaquant soit à la torture, soit à des moyens technologiques que seules deux ou trois agences dans le monde ont. Bref. Il ne faut pas oublier que toute protection n'est donnée que face à une quantité ou qualité d'attaque (on dit "mon système est sûr jusqu'à un niveau militaire / bancaire / civil / ouatévère", pas "mon système est totalement incassable à tout jamais"). Notons au passage que des systèmes incassables, ça existe (one time pad), mais sont tout simplement inexploitables pour le cas qui nous occupe.

[jubal]

Un utilitaire pas mal aussi c'est Eraser (ou Wipe sur Unix) pour réellement effacer les fichiers en remplaçant les données en plusieurs passes. Parceque si vous vous contentez de l'effacement standard, les données sont toujours sur le disque et récupérables très facilement par n'importe qui.

Si tout ton disque est crypté, pas besoin de eraser/wipe. Et tant qu'a faire autant tout crypter, sinon tu va avoir des données qui traînent dans le swap, les répertoires système temporaires etc.

[Poil à gratter]

Si tout ton disque est crypté, pas besoin de eraser/wipe. Et tant qu'a faire autant tout crypter, sinon tu va avoir des données qui traînent dans le swap, les répertoires système temporaires etc.

Ça dépend du besoin initial aussi : si tu veux transporter des fichiers de manière sécurisée d'un PC à un autre via le réseau (moi je suis passé par DropBox par exemple), et bien utiliser un fichier TrueCrypt c'est pas mal du tout. Pour un PC, évidemment on est d'accords que l'idéal est de tout encrypter. Mais ça peut poser des problèmes de performances pour quelqu'un qui a un ordinateur un peu juste en puissance. En particulier pour des applications gourmandes en accès disque comme le multimédia ou les jeux.

Sinon oui c'est un problème ces fichiers temporaires, en particulier sur Windows. À la limite ce qui doit limiter la casse c'est de nettoyer les dossiers temporaires soit à la main soit avec un outil de nettoyage de traces et de lancer un Eraser pour remplir l'espace vide de données aléatoires. Un peu lourd comme traitement quand même…

[h16]

Ça dépend du besoin initial aussi : si tu veux transporter des fichiers de manière sécurisée d'un PC à un autre via le réseau (moi je suis passé par DropBox par exemple), et bien utiliser un fichier TrueCrypt c'est pas mal du tout. Pour un PC, évidemment on est d'accords que l'idéal est de tout encrypter. Mais ça peut poser des problèmes de performances pour quelqu'un qui a un ordinateur un peu juste en puissance. En particulier pour des applications gourmandes en accès disque comme le multimédia ou les jeux.

Sinon oui c'est un problème ces fichiers temporaires, en particulier sur Windows. À la limite ce qui doit limiter la casse c'est de nettoyer les dossiers temporaires soit à la main soit avec un outil de nettoyage de traces et de lancer un Eraser pour remplir l'espace vide de données aléatoires. Un peu lourd comme traitement quand même…

J'ai une machine qui a 7 ans et le passage par truecrypt ne m'a pas fait perdre en vitesse de façon sensible. Bon, j'ai aussi une machine récente avec ddur ssd, et là, c'est indécelable.

[wizard]

Translation: One way around the Fifth Amendment is for prosecutors to offer a defendant, in this case Fricosu, immunity for what they say. But it appears as though they've stopped far short of granting her full immunity for whatever appears on the hard drive (which may not, of course, even be hers).

Fricosu was born in 1974 and living in Peyton, Colo., as of last fall. She was charged with bank fraud, wire fraud, and money laundering as part of an alleged attempt to use falsified court documents to illegally gain title to homes near Colorado Springs that were facing "imminent foreclosure" or whose owners were relocating outside the state. Some of the charges include up to 30 years in prison; she pleaded not guilty. Her husband, Scott Whatcott, was also charged.

A ruling is expected from either Magistrate Judge Michael Hegarty or District Judge Robert Blackburn.

http://news.cnet.com/8301-31921_3-20078312-281/doj-we-can-force-you-to-decrypt-that-laptop/

Il suffit d'invoquer la pédophilie ou le terrorisme pour pouvoir accéder à n'importe quel ordinateur, on dirait. Les USA deviendraient-ils un Etat policier ?

Comment à partir de cette news peux-tu écrire dans l'intitulé de ce fil de discussion que le chiffrement aux USA deviendrait illégal ?! C'est complétement faux.

Le contexte ici c'est plutôt dans quels cas les autorités américaines ont le droit de saisir du matériel chiffré et de demander à son propriétaire le(s) mot(s) de passe pour le déchiffrer.

Donc les bonnes questions à se poser selon moi sont :

quel est le motif légal autorisant les autorités à saisir du matériel chiffré ?

quand est-ce qu'il est légitime de communiquer son mot de passe ?

Et dans une procédure de ce genre aux USA, le présumé coupable a un avocat pour se défendre, faire valoir ses droits et le présumé coupable à le droit de garder le silence. C'est la procédure légale et la justice qui doivent permettre ou empêcher l'accès aux données chiffrées.

Voici deux liens pour mieux comprendre le contexte américain et cette news :

https://www.eff.org/deeplinks/2011/07/computer-search-and-seizure-three-panel-cartoon

https://www.eff.org/wp/know-your-rights

[wizard]

Sinon cette affaire est consternante. Les terroristes du 11 septembre communiquaient entre eux sans chiffrer leurs messages, par exemple.

AMHA les terroristes n'utilisent pas ces trucs, sûrement trop compliqués pour eux. J'imagine plutôt qu'ils pratiquent surtout le chiffrement "à l'ancienne", c'est à dire qu'au lieu de dire:

- je t'amène le matériel pour assembler la bombe en vue de l'attentat contre Georges Bush

ils disent:

- je t'amènerai les ingrédients pour le gâteau en prévision de la fête d'anniversaire de Georges.

Je confirme les terroristes du 11 septembre n'ont pas chiffré leurs communications :

"(…) it is clear that far from being asophisticated operation using false identities, elaborate coverstories, uncrackable encryption and the highest of technology, thehijack assault was an extremely low tech mission. The hijackers used their own names,public web terminals, frequent flier identifiers, and unencryptede-mail messages to keep in touch. "We are all focusing on this as avery hi-tech war, whereas the terrorists are using very low-techmeans," said Brian Gladman, former technical director at Nato, and nowan advisor to the net thinktank the Foundation for Information PolicyResearch (Fipr)."

Source : http://news.bbc.co.uk/2/hi/science/nature/1555981.stm

Les autorités de nombreux pays y compris la France (via l'ANSSI) recommandent à tout le monde de chiffrer ses communications.

Son directeur général Patrick Pailloux auditionné par la Commission de la défense nationale et des forces armées de l'AN disait :

"Premièrement, l’État ne donne pas encore suffisamment l’exemple.C’est pourquoi nous avons souhaité rendre publiques les attaquesinformatiques dirigées contre Bercy. Les réseaux sont très souventattaqués. Or, faire la politique de l’autruche nous empêche demobiliser les moyens nécessaires. Nous devons donc communiquer pour queles entreprises prennent conscience de la menace et se donnent lesmoyens d’investir dans leur sécurité informatique.Par ailleurs, la France dispose d’un savoir-faire suffisant, avecdes industriels de classe mondiale, une excellente école decryptologie, parmi les meilleures au monde, une usine de composantsinformatiques près de Grenoble. L’État doit maintenant inciter lesentreprises à se doter de systèmes de sécurité adéquats, d’où le voletsécurité et résilience des réseaux du grand emprunt."

Source : http://www.assemblee-nationale.fr/13/cr-cdef/10-11/c1011041.asp#P6_249

Ca date de 2001, je cite : "Computer users across Europe shouldencrypt all their e-mails, to avoid being spied on by a UK-USeavesdropping network, say Euro-MPs. (…) They conclude that Echelon - whoseexistence is not officially acknowledged - is reading millions ofe-mails and faxes sent every day by ordinary people."

Source :

Autre citation : "The Echelon network… is used to pry on individuals and companies"

Source : http://news.bbc.co.uk/olmedia/1355000/video/_1357264_echelon09_roxburgh_vi.ram

[Kevinz]

Eh-bien, c'est rigolo ce p'tit Truecrypt.

On peut cacher des volumes cryptés dans un volume caché qui est dans un autre volume caché, qui est dans un autre volume caché qui est dans un autre…

Faut que je teste le boot sur une partition Windows cachée. Ou sur une partition Linux.

Et on peut combiner plusieurs méthodes de cryptage… L'AES peut tomber demain on s'en fiche

Par contre le risque béant que je vois c'est au moment de rentrer son pass. Par exemple quand on décrypte un disque dur depuis son petit OS relié au Net par exemple.

Et pourquoi tous ces programmes de cryptage ne proposent toujours pas la possibilité de rentrer son mot de passe via une interface graphique ? (comme on fait quand on se connecte en ligne à son compte en banque).

Ca éliminerait déjà quelques risques…

[jubal]

Par contre le risque béant que je vois c'est au moment de rentrer son pass. Par exemple quand on décrypte un disque dur depuis son petit OS relié au Net par exemple.

La solution c'est de mettre sur une clé USB l'OS qui boot et qui exécute truecrypt pour décrypter la partition système sur le disque, et garder la clé USB avec soi.

Ça minimise le risque d'avoir un keylogger au moment ou on entre son mot de passe.

Et pourquoi tous ces programmes de cryptage ne proposent toujours pas la possibilité de rentrer son mot de passe via une interface graphique ? (comme on fait quand on se connecte en ligne à son compte en banque).

Ca éliminerait déjà quelques risques…

Non, l'interface graphique sert juste a rendre les chose légèrement plus compliquée.

Ça décourage sans doute ceux qui hack massivement des milliers d'ordinateurs a la recherche de mot de passe, ça rend les choses plus difficile automatiser, mais faire un screenshot et enregistrer les événement souris c'est pas compliqué.

[Poil à gratter]

J'ai une machine qui a 7 ans et le passage par truecrypt ne m'a pas fait perdre en vitesse de façon sensible. Bon, j'ai aussi une machine récente avec ddur ssd, et là, c'est indécelable.

C'est bon à savoir.

[Kevinz]

La solution c'est de mettre sur une clé USB l'OS qui boot et qui exécute truecrypt pour décrypter la partition système sur le disque, et garder la clé USB avec soi.

Ça minimise le risque d'avoir un keylogger au moment ou on entre son mot de passe.

Je ne comprends pas bien.

En fait je cherche à décrypter un disque dur de stockage depuis une partition Windows, reliée au Net et qui peut facilement être compromise.

Par exemple, je veux rajouter des données qui se trouvent sur cette partition Windows vers mon disque de stockage crypté.

Y a-t-il un moyen de le faire sans risquer de dévoiler son mon de passe, même si la partition Windows est infectée par 36 chevaux de Troie ?

Non, l'interface graphique sert juste a rendre les chose légèrement plus compliquée.

Ça décourage sans doute ceux qui hack massivement des milliers d'ordinateurs a la recherche de mot de passe, ça rend les choses plus difficile automatiser, mais faire un screenshot et enregistrer les événement souris c'est pas compliqué.

Certes, ce n'est pas une panacée.

Mais ça résout au moins le problème "d'écoute à distance" du clavier il me semble.

Je crois que c'est sur ce forum qu'on avait posté la vidéo de personnes qui arrivaient à enregistrer ce qu'un utilisateur frappait au clavier alors qu'il se trouvait quelques pièces plus loin.