Aller au contenu

Le cryptage de données, illégal aux Etats-Unis ?


Nirvana

Messages recommandés

Mais ça résout au moins le problème "d'écoute à distance" du clavier il me semble.

Je crois que c'est sur ce forum qu'on avait posté la vidéo de personnes qui arrivaient à enregistrer ce qu'un utilisateur frappait au clavier alors qu'il se trouvait quelques pièces plus loin.

Tempest. Et ça marche aussi sur l'interface graphique.

Lien vers le commentaire

Tempest. Et ça marche aussi sur l'interface graphique.

ah :'}

And it has also been shown, by Adi Shamir et al., that even the high frequency noise emitted by a CPU includes information about the instructions being executed.

http://en.wikipedia.org/wiki/Computer_surveillance#Emanations

:mellow: :mellow: :mellow:

Donc tous ces beaux algos de cryptage ils servent à quoi si, avec un peu de moyen, on peut se faire piquer son pass aussi "facilement" ? :ninja:

Et à part avoir un bunker sous sa maison, il y a des solutions qui existent à ce sujet pour les gens moins fortunés ?

Au passage, pour ceux qui s'intéressent à la sécurité je recommande de regarder le process qui a aboutie à AES : Wikipedia.

thx :}

Lien vers le commentaire

qui s'obtient de manière peu onéreuse en tapissant son bureau avec du papier aluminium, en plus bien posé ça permet d'être éco-friendly :sorcerer:

^–^

Ca y est, j'ai trouvé ce que je vais m'offir pour mon anniversaire:

Lightweight and Portable RF Shielded Enclosures :dents:

bema05.jpg

http://cryptome.org/bema-se.htm

Ca ne doit pas être donné, mais c'est toujours moins onéreux que le bunker. Et puis ça peut servir comme tente de camping (indoors) :'}

Lien vers le commentaire

Ca ne doit pas être donné, mais c'est toujours moins onéreux que le bunker. Et puis ça peut servir comme tente de camping (indoors) :'}

Tu t'achètes une tente pour 29.95€

zoom_asset_19957157.jpg

Un rouleau de papier aluminium 3.25 € :

00950004-t0.jpg

Et tu as une solution portable pour moins de 35 €. Avec en plus la possiblité de faire du camping et d'emballer tes sandwichs pour quand tu seras en camping.

Elle n'est pas belle la vie de parano ?

Lien vers le commentaire
http://en.wikipedia.org/wiki/Computer_surveillance#Emanations

:mellow: :mellow: :mellow:

Donc tous ces beaux algos de cryptage ils servent à quoi si, avec un peu de moyen, on peut se faire piquer son pass aussi "facilement" ? :ninja:

Euh, facilement j'en doute fort : les émanations dont parle l'extrait correspondent à des instructions de très très très bas niveau, lié à l'exécution des instructions du processeur. Après, arriver à lire l'ensemble des instructions les regrouper ensemble, et choper ton mot de passe (sachant que "entrer un mot de passe" est une action de haut niveau) franchement j'ai du mal à y croire. De plus, à l'échelle du processeur, des dizaines et des dizaines d'applications tournent en même temps, arriver à choper les bonnes instructions exécutées relèvent me semble-t-il du miracle absolu.

Après, j'imagine que Shamir a montré que c'était possible en théorie, mais je n'ai pas vu d'éléments sur le taux d'erreur, ni le coût d'une telle opération. Utiliser les faiblesses de l'humain est ce qu'il y a de plus simple et plus efficace.

Lien vers le commentaire

Euh, facilement j'en doute fort : les émanations dont parle l'extrait correspondent à des instructions de très très très bas niveau, lié à l'exécution des instructions du processeur. Après, arriver à lire l'ensemble des instructions les regrouper ensemble, et choper ton mot de passe (sachant que "entrer un mot de passe" est une action de haut niveau) franchement j'ai du mal à y croire. De plus, à l'échelle du processeur, des dizaines et des dizaines d'applications tournent en même temps, arriver à choper les bonnes instructions exécutées relèvent me semble-t-il du miracle absolu.

Après, j'imagine que Shamir a montré que c'était possible en théorie, mais je n'ai pas vu d'éléments sur le taux d'erreur, ni le coût d'une telle opération. Utiliser les faiblesses de l'humain est ce qu'il y a de plus simple et plus efficace.

Mmh en fait non, c'est plus simple. A partir du moment où tu chopes les instructions processeur, tu peux "assez facilement" te concentrer sur les files d'instructions correspondantes à la frappe clavier (qui correspond à une interruption particulière). En pratique, il faudra choper les milliards d'opcodes qui passent dans les quelques secondes qui t'intéressent (au moment où le type entre son mdp). Ensuite, on "rejoue" l'enregistrement sur une vm très tolérante. Evidemment, si c'est un mdp au boot, c'est beaucoup plus facile que si l'OS tourne.

Encore une fois, tout ceci n'est absolument pas à la portée du script-kiddie, hein.

Lien vers le commentaire

Mmh en fait non, c'est plus simple.

Ah oui bien sûr, tout ça pour dire que ce n'est pas trivial. Mais effectivement, le clavier est "surveillé" dans une interruption particulière. Après, je ne sais pas à quelle distance ces émanations sont captables et interprétables, quel est le taux d'erreur, etc.

Lien vers le commentaire

Après, j'imagine que Shamir a montré que c'était possible en théorie, mais je n'ai pas vu d'éléments sur le taux d'erreur, ni le coût d'une telle opération.

Le CPU est dans un boitier PC en métal avec un GPU et d'autres cartes à coté … Bref, hors labo je suis aussi circonspect (cela n'empêche que c'est sans doute une expérience intéressante).

Note : Shamir, c'est le 'S' de "RSA".

Lien vers le commentaire

Le CPU est dans un boitier PC en métal avec un GPU et d'autres cartes à coté … Bref, hors labo je suis aussi circonspect (cela n'empêche que c'est sans doute une expérience intéressante).

Ah oui tiens, il y a ça aussi…

Note : Shamir, c'est le 'S' de "RSA".

:sorcerer: RSA dans le domaine du cryptage, pas de l'aide sociale française bien sûr.

Lien vers le commentaire

Ah oui bien sûr, tout ça pour dire que ce n'est pas trivial. Mais effectivement, le clavier est "surveillé" dans une interruption particulière. Après, je ne sais pas à quelle distance ces émanations sont captables et interprétables, quel est le taux d'erreur, etc.

Surtout, pour surveiller un périphérique non blindé tempest, c'est overkill, lire les frappes clavier a distance est trivial a coté, et franchement, coller une caméra et/ou des micros, c'est encore plus simple.

Sans parler du fait que la majorité de la surveillence ne cherche pas a connaitre les données statiques, mais les flux de communication, le réseau social si vous voulez.

Lien vers le commentaire

J'aimerais bien crypter/chiffrer mes données, ça a l'air fun, ça fait serial killer. Mais bon, crypter du pr0n…. ça me parait du overcrypted.

Au contraire, c'est très très bon pour la plausible deniability.

Lien vers le commentaire

Pour ceux qui trouvent overkill de crypter ses données ou de changer régulièrement ses mots de passes mail et autres, il faut penser aux criminels "classiques" comme source d'ennuis en parallèle d'un gouvernement éventuel.

Aujourd'hui, lorsque les gens se font cambrioler, ils ne pensent pas tout de suite aux dégâts que peuvent induire le vol de leur ordinateur. Ils pensent bien évidemment à la perte matérielle, et au coût de la machine.

Mais aujourd'hui, une petite frappe un peu compétente peu faire énormément de dommages avec une machine volée.

Pour peu que vos photos soient disponibles, on sait avec qui vous trainez, et à quelle heure. Si par facilitée vous laissez votre navigateur enregistrer vos mots de passes et login (on le fait tous, et pourquoi pas, puisqu'on est chez nous, et pas sur un ordinateur public…), cela peut se retourner conte vous. On vous vole votre machine, et le voleur peut potentiellement se relogguer sur votre compte paypal et vous prendre de l'argent.

Le voleur peut se connecter sur les forums, sites, blog que vous fréquentez et alimentez et poster en votre nom des propos qui peuvent vous amener de gros ennuis de justice. L'accès à votre boîte mail donne accès à tous vos contact. De plus, la plupart des sites ont une option "réenvoyer le mot de passe sur mon adresse mail". En ayant accès à votre boîte mail, le voleur a accès à l'intégralité de vos mots de passes (et souvent les gens ne les changent pas de site en site, cela induit le risque de pouvoir accéder à beaucoup de sites une fois un mot de passe connu…)

Les gens ne pensent pas assez au fait qu'un ordinateur, dans une famille moderne contient peut-être plus d'informations de valeur qui ce qu'il y a autour…

Lien vers le commentaire
Si par facilitée vous laissez votre navigateur enregistrer vos mots de passes et login (on le fait tous, et pourquoi pas, puisqu'on est chez nous, et pas sur un ordinateur public…), cela peut se retourner conte vous. On vous vole votre machine, et le voleur peut potentiellement se relogguer sur votre compte paypal et vous prendre de l'argent.

Effectivement. En fait ça me fait repenser qu'une des raisons qui a fait que j'ai choisi Opera comme navigateur c'est que le gestionnaire de mot de passe pouvait être configuré pour demander un mot de passe maître avant d'autoriser l'accès au mots de passe enregistrés (pour ceux qui connaissent, c'est comme le Wallet de KDE). Et on pouvait aussi le régler pour vider les cookies à la fermeture, ce qui permet de se déconnecter même si on oublie de cliquer sur logout. De nos jours Mozarella Firefox le fait aussi, et c'est une bonne idée d'activer ces options.

Enfin je tendrais à nuancer ton propos parcequ'à mon avis les criminels auxquels tu penses ne viendront jamais voler physiquement du matériel pour récupérer les données, mais vont plutôt chercher à accéder aux données à distance. Le moyen de prédilection étant évidemment un cheval de troie, un keylogger ou un rootkit. Et dans ce cas là le cryptage des données est complètement inopérant.

Lien vers le commentaire

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...