Le pouvoir exorbitant des techos [tech]

Faire connaissance, échanger sur vos passions ou vos préoccupations, se détendre
Frédéric
Administrateur
Messages : 6811
Inscription : 15 sept. 2011
Résidence / Quartier / Activité : Ex-résident
A remercié : 313 fois
A été remercié : 143 fois

Re: Le pouvoir exorbitant des techos [tech]

Message par Frédéric »

Excellent, merci Snoopy :japon:

Aux débuts du web, la sécurité était une rigolade. Les premiers voyageurs n'en voulaient tout simplement pas, préférant voyager léger que cuirassé. Nous avions le sentiment d'être entre gens de bonne compagnie. :) Je ne sais plus où j'ai lu ça (j'aimerais bien retrouver), mais les premiers utilisateurs du web étaient dans une logique d'entraide pure : "j'aimerais bien t'envoyer un mail, mais mon serveur mail est planté.
- T'inquiète, voici l'adresse IP du mien. Il est ouvert. Tu n'as qu'à l'utiliser." Vu de notre fenêtre fin 2015, c'est de la simple inconscience. :scare:

Je reste dans la lignée de Bruce Schneier : il n'est pas possible de créer des portes d'entrée dérobées connues uniquement par les gentils. Une porte d'entrée d'un système informatique reste une porte d'entrée. Affaiblir les algorithmes de chiffrement des données revient à les supprimer. :grim:
Avatar de l’utilisateur
Snoopy
Messages : 1132
Inscription : 26 août 2013
Résidence / Quartier / Activité : Or' Natura
A remercié : 129 fois
A été remercié : 52 fois
Contact :

Re: Le pouvoir exorbitant des techos [tech]

Message par Snoopy »

Frédéric a écrit :Je reste dans la lignée de Bruce Schneier : il n'est pas possible de créer des portes d'entrée dérobées connues uniquement par les gentils. Une porte d'entrée d'un système informatique reste une porte d'entrée. Affaiblir les algorithmes de chiffrement des données revient à les supprimer. :grim:
Les experts l'affirment depuis 20 ans mais non, ça n'imprime toujours pas dans la tête de certains politiques. Ca ma rappelle un peu la vidéo de l'expert en réunion :roll:

J'ai beaucoup de mal à comprendre... On parle tout de même d'un système à mettre en place qui :
1. Fragiliserait la sécurité sur Internet
2. Poserait de sérieux problèmes éthiques
3. N'atteindrait très probablement même pas son but, à savoir arrêter les méchants plus facilement
4. Ne profiterait même pas aux politiques qui le proposent

C'est comme si un individu tentait de (2)tuer (1)un ami (4)qui lui rendait jusqu'alors service (3)avec une cuillère en plastique. :marteau:

Merci pour la référence Bruce Schneier au passage, ça fait un abonnement de plus sur Twitter :mrgreen: :good:
Frédéric
Administrateur
Messages : 6811
Inscription : 15 sept. 2011
Résidence / Quartier / Activité : Ex-résident
A remercié : 313 fois
A été remercié : 143 fois

Re: Le pouvoir exorbitant des techos [tech]

Message par Frédéric »

Hello,

Sympa la vidéo de l'expert en réunion, effectivement pas très éloignée du réel :). Dommage qu'elle contienne une pointe de sexisme.

Alors ! :D Nos discussions et mes dernières actions techniques sur fortdissy.info ont fait progresser mon point de vue. En octobre dernier, fortdissy.info s'est réfugié sous le protectorat de Cloudflare, bénéficiant ainsi de la sécurité et de la rapidité de leur plateforme.

Sur les 30 derniers jours, Clouflare a optimisé 2, 3 millions de requêtes demandées par les quelques 18 000 visiteurs uniques de fortdissy.info (voir stats complètes en suivant le lien). Dans le même temps, Google Analytics en compte 12 800. C'est dire si les bloqueurs de pub et de traceurs se sont généralisés : l'écart doit provenir des bloqueurs de type Ghostery, Adblock ou uBlock, qui sont inefficaces avec Clouflare.

Je me suis longtemps méfié de Cloudflare et pour plusieurs raisons : d'abord je n'appréciais pas du tout la logique ultra centralisée de leur système. Il y a quatre ans déjà, Seb Sauvage denonçait les méfaits dans un de ces billets et je m'étais rangé à son point de vue : CloudFlare: Le syndrôme Akismet ?
Seb Sauvage a écrit :CloudFlare est mis en place à l'initiative des webmasters. Il se place entre les internautes et votre site web. Il agit comme un reverse-proxy: Toute requête HTTP destinée à votre site passe d'abord par les serveurs CloudFlare qui l'analysent et éventuellement la bloquent. Le service offert par CloudFlare est trop tentant: Protection contre le spam, les DDOS, statistiques, CDN, cache... le tout dans un service gratuit. Tellement tentant qu'un quart des internautes passent sans le savoir par CloudFlare.

[...]

Gardez bien à l'esprit que CloudFlare voit la totalité des requêtes envoyées à votre site par les internautes. Cela inclue donc également les formulaires, les logins/mots de passe... bref, tout. Et bien sûr, votre propre connexion au panel d'admin web.

Je suis peut-être parano (où est mon chapeau en papier d'alu ?), mais pourquoi devrais-je permettra à une société un accès total et détaillé à tout le trafic de mon site, mots de passe y compris ? Il y a assez de mon hébergeur.
Cloudflare a mis à jour ses statistiques d'utilisation. Il y a quatre ans, "un quart des internautes passaient sans le savoir par Cloudflare". Aujourd'hui, Cloudflare annonce que ses serveurs "font transiter tous les mois approximativement un trillion de pages pour plus de 2,2 milliards de visiteurs uniques" (1 trillion = 1 millier de milliards = 1 000 000 000 000 :crazy:). Chacune des requêtes et chacun des visiteurs sont identifiés par un numéro unique et les événements sont historisés. C'est surprenant : Cloudflare rencontre plus de visiteurs différents tous les mois que Facebook n'en a d'actifs (1, 55 milliards).

Entre le point de vue adopté il y a quatre ans et celui d'aujourd'hui, un gouffre nous sépare : le web s'est totalement transformé. Le chiffrement des connexions s'est généralisé. Et puis, à l'époque, nous avions la sensation de pouvoir nous soustraire à la centralisation du web tout simplement en agissant de façon décentralisée. Aujourd'hui, il n'y a pas d'issue : la sécurité à bas coût est un prérequis, la rapidité d'accès un impératif. Or et pour exemple, une attaque par déni de service (DDoS) s'achète quelques dollars et en un click dans le darknet. A l'inverse, les protections anti-DDoS coûtent cher et sont naturellement mutualisables. Enfin, une équipe dédiée à la sécurité coûte un bras.

L'engagement
Le futur n'est jamais atteint.jpg
J'ai été souvent impressionné et séduit par l'esprit d'engagement qui anime généralement les experts en sécurité informatique oeuvrant en mode défensif. Tels des moines soldats, ils travaillent pour l'idéal qu'on leur a mis en tête et la mission qu'on leur a confié. L'engagement est total et repose sur la logique du bit : zéro ou un. Ce manque de nuance m'a longtemps gêné, d'autant que la mise en application commence toujours par un défaut de confiance envers autrui. Il suffit de lire la configuration de base d'un pare feu pour un serveur web pour comprendre comment tourne l'esprit d'un administrateur sécurité. Observez la première ligne :

Code : Tout sélectionner

sudo ufw default deny incoming // refuse toute connexion entrante sur le serveur
sudo ufw allow 22 // accepte toute connexion sécurisée au serveur (authentification utilisateur requise)
sudo ufw allow 80 // autorise toute connexion au serveur web (http)
sudo ufw allow 443 // autorise toute connexion au serveur web (https)
sudo ufw enable // démarre le pare feu
Pour ma part, j'aime fonctionner à l'inverse : commencer par accorder entièrement ma confiance, donner sa chance à la situation. Et je dois bien admettre que ces deux approches diamétralement opposées ne peuvent être transcendés :grim:. En même temps, mettez en place un système fermé pensé par un cerveau sécuritaire et vous aurez la garantie que personne n'utilisera le service (Facebook par exemple a mis en place une passerelle directement connectée au réseau Tor). Il faut trouver le juste équilibre entre ces deux fonctionnements, et il semble que déléguer la sécurité à des équipes dédiées, sans perturber pour autant le mode de fonctionnement des autres est très performant.

J'invite les plus curieux d'entre vous à lire la réaction d'un des ingénieurs sécurité chez Google juste après que Edward Snowden ait révélé l'infiltration de la NSA à l'insu de leur plein gré dans leurs datacenters. Cela transpire l'engagement tout en gardant une bonne dose d'humour ! :D

La fin de l'hyper-contrôle

Nous sommes passés à l'âge des apps, ces bouts de code qui se mettent à jour tous seuls en mode silencieux. Nous ne souhaitons plus avoir à nous soucier de la mise à jour de nos outils informatiques. Nous souhaitons utiliser des outils simples, adaptés, sécurisés et à bas coût. L'hyper-maîtrise que je souhaitais à l'époque de Seb Sauvage n'est plus envisageable : le modèle n'est pas un ordinateur coupé du monde dans sa forteresse, mais des briques logicielles qui se mettent à jour au gré des évolutifs.

J'ai récemment pris en délit de sale code une extension Wordpress ayant le toupet de promettre dans son descriptif qu'elle ne faisait qu'une seule chose. En vérifiant rapidement le code, je me suis rendu compte qu'elle hébergeait un bot : J'ai remonté ma revue de code dans les avis sur l'extension. Selon les stats wordpress.org, le plugin n'a été installé que sur une centaine de Wordpress, mais que se passe-t'il à plus grande échelle ? Utilisateurs de Windows 10, prenez conscience des soubassements de Windows 10.

Il faut faire la part des choses : on a besoin de tracer l'utilisation d'une application pour en garantir sa sécurité, voir pour automatiser les processus de sécurisation (mise à jour de filtres antivirus ou antispam par exemple), mais on ne sait jamais vraiment quelles données transitent et pour quels usages tant qu'on n'a pas le nez dans le code mais aussi du côté des serveurs (et encore). Et dans le même temps, la logique du bunker (je suis en sécurité dans mon coffre-fort et nulle part ailleurs), ne fonctionne pas sur le web : il suffit de suivre le flux de mise à jour d'une instance Linux (apt-get update) pour réaliser à quel point tout est interdépendant de tout, et que les mises à jour se situent à plein de niveaux applicatifs différents.

J'aimerais pour autant continuer à fonctionner en accordant ma confiance par défaut.
Alors je me suis résolu à me fier à ceux qui s'investissent le plus dans la vie de la cité, ceux qui donnent de leur temps pour la communauté, ceux qui déploient une énergie démesurée pour conserver leur cohérence, ceux qui défendent des valeurs fortes, ceux qui sont conscients du contexte éternellement changeant, ceux chez qui l'ont palpe leur engagement dans leurs actions. Etre insensible aux autres.

Le pouvoir exorbitant des techos

Dans une récente interview, Linus Torwalds, créateur de Linux (le système d'exploitation le plus utilisé au monde) et l'homme considéré par Bloomberg Buinessweek comme étant "l'individu dont l'action a le plus influencé le monde économique ces 20 dernières années" s'est amusé de cette définition et a résumé sobrement ce qu'il pense de la portée de son pouvoir :
Linus Torvalds a écrit :Le seul pouvoir que j'ai réellement est de dire non.
Non à quoi ? Aux backdoors dans Linux ? :interroge:

De son côté, Cloudflare, le service aux 2,2 milliards de visiteurs uniques, a fait une belle démonstration de la portée réelle de son pouvoir et de sa responsabilité : ok pour implémenter les nouveaux standards de sécurité (le fameux SHA-2 dont Snoopy parlait), mais sans les imposer sous peine de désagréments pour une partie de la planète. En substance :
Clouflare dans son blog a écrit :L'apparente bonne nouvelle est que le SHA-2 est globalement supporté par au moins 98,31% des navigateurs web. Supprimer 1,69% des connexions sécurisées peut ne pas sembler beaucoup, mais cela représente 37 millions de personnes. C'est équivalent à supprimer l'accès au web à la Californie toute entière sauf à ce qu'elle change ses appareils.
Cannot display Google.png
[...]

Malheureusement, la majorité de ces utilisateurs sont installés dans les pays les plus pauvres, avec les politiques les plus répressives et secoués par des guerres. Autrement dit, ce seront les populations les plus vulnérables qui n'auront plus accès aux ressources internet si le SHA-2 est imposé.
Cloudflare annonce par là-même qu'ils prennent en charge le SHA-1 pour les navigateurs n'étant pas compatibles avec la nouvelle norme de sécurité. Facebook, Alibaba et bien d'autres font de même, et je trouve ça très bien joué. Les utilisateurs de Windows XP doivent respirer ! :D

Le pouvoir exorbitant des techos est supplanté par un pouvoir que l'on appelle communément "politique", et qui évite bien des effets de bord. Faut de tout pour faire un monde comme chantait l'autre ! :D

https://www.youtube.com/watch?v=8p9dDGZC2Tg



:japon:
Frédéric
Administrateur
Messages : 6811
Inscription : 15 sept. 2011
Résidence / Quartier / Activité : Ex-résident
A remercié : 313 fois
A été remercié : 143 fois

Re: Le pouvoir exorbitant des techos [tech]

Message par Frédéric »

Bonsoir,

Et bien écoutez, ces derniers jours, Apple a démontré son engagement en refusant de coder un système d'exploitation pourri, pour répondre à la demande du FBI par la justice, à savoir accéder au smartphone d'un terroriste.

Je vous invite à lire l'analyse approfondie de Olivier Ertzscheid sur son blog affordance :

Un terroriste est un client Apple comme les autres.

A l'opposé, Edward Snowden a tweeté son point de vue grain de sel :

Le FBI crée un monde où les citoyens ont besoin d'Apple pour défendre leurs libertés.

Olivier Ertzscheid résume bien le Yalta numérique, et je trouve cela étourdissant :

- Smartphone = Vie Vraiment Privée
- Web = Vie Publique
- Cloud = Vie Privée Négociée

Par ailleurs, il explique que "deux doctrines s'affrontent désormais autour du droit à la vie privée" : la première est celle avec laquelle je ne me sens pas du tout à l'aise et que j'analyse depuis le premier message de cette série d'articles :

La doctrine du Cloud : nous garantissons votre droit à ne pas rendre totalement publiques l'ensemble des vos publications mais nous nous réservons le droit d'accéder et de lire l'ensemble de vos publications indépendamment du statut public ou privé que vous leur aurez accordé et de livrer ces publications à des états sous couvert de la requête d'un juge.

La doctrine du Smartphone : nous garantissons votre droit à rendre imperquisitionnable l'ensemble des données de votre smartphone (photos, images, vidéos, contacts) pour tout tiers y compris le vendeur et y compris dans le cadre d'actions en justice.


C'est-à-dire qu'aujourd'hui, si l'on souhaite préserver sa vie privée, il faut la stocker sur son smartphone. Si cela se confirme, je change de plateforme de dev, j'arrête le web, je me mets aux apps mobiles (avec backup chiffré et stocké dans le cloud) et fini les tourments. C'est quand même le comble : être mieux protégé par des technos propriétaires opaques que par le web. :marteau:

Avez-vous approfondi le sujet ? J'aimerais bien en débattre avec vous. :)
Minou159
Messages : 332
Inscription : 19 mai 2013
Résidence / Quartier / Activité : Ex-résident
A remercié : 2 fois
A été remercié : 2 fois

Re: Le pouvoir exorbitant des techos [tech]

Message par Minou159 »

Salut Fred, "smartphone = vie vraiment privée" si tu ne le sauvegardes pas sur le cloud... Apple admet à demi mot que ses ingénieurs auraient pu récupérer et décoder la sauvegarde iCloud... si le mot de passe n'avait pas été modifier tout juste après les attentats (et donc par quelqu'un d'autre que le terroriste !).
Donc ton smartphone garanti ta vie privée à condition qu'il ne soit pas sauvegardé sur le cloud (ou ailleurs).
Minou159
Messages : 332
Inscription : 19 mai 2013
Résidence / Quartier / Activité : Ex-résident
A remercié : 2 fois
A été remercié : 2 fois

Re: Le pouvoir exorbitant des techos [tech]

Message par Minou159 »

Frédéric
Administrateur
Messages : 6811
Inscription : 15 sept. 2011
Résidence / Quartier / Activité : Ex-résident
A remercié : 313 fois
A été remercié : 143 fois

Re: Le pouvoir exorbitant des techos [tech]

Message par Frédéric »

Merci Minou159,

Cela cadrerait avec l'analyse de Olivier Ertzscheid : dans iCloud, il y a cloud => Vie Privée Négociée.

Mais rien n'empêche un développeur de sauvegarder les données ailleurs que dans iCloud : l'excellente app Lastpass le fait très bien :ouioui:
Minou159
Messages : 332
Inscription : 19 mai 2013
Résidence / Quartier / Activité : Ex-résident
A remercié : 2 fois
A été remercié : 2 fois

Re: Le pouvoir exorbitant des techos [tech]

Message par Minou159 »

Je ne suis pas hyper convaincu de Lastpass :
"Algorithme de chiffrement des plus puissant
Nous avons implémenté le chiffrage en 256-bit AES, le salage et le hachage PBKDF2 SHA-256 pour assurer une sécurité complète dans le Cloud."
Frédéric
Administrateur
Messages : 6811
Inscription : 15 sept. 2011
Résidence / Quartier / Activité : Ex-résident
A remercié : 313 fois
A été remercié : 143 fois

Re: Le pouvoir exorbitant des techos [tech]

Message par Frédéric »

Olà ! Faudrait qu'on se prenne une bière et le temps qui va avec pour que je t'explique globalement l'architecture de Lastpass et son modèle de menace. Ca ne se résume pas au chiffrement du conteneur dans le cloud. Les principales attaques se déroulent au niveau du navigateur, même si leur silo de données s'est fait hacker l'année dernière.

Après, effectivement, si tu utilises aujourd'hui un mot de passe pour verrouiller un conteneur, c'est léger. Le standard désormais, ce sont les phrases de passe. L'avantage avec Lastpass, c'est que tu n'en as qu'une à mémoriser. Perso, je connais même pas mon mot de passe gmail ou apple Id. Ca doit être un truc du genre : &aze43eRTfdSZ!ER!àasz ou je sais pas :D Ca a été généré aléatoirement et automatiquement par lastpass :D
Minou159
Messages : 332
Inscription : 19 mai 2013
Résidence / Quartier / Activité : Ex-résident
A remercié : 2 fois
A été remercié : 2 fois

Re: Le pouvoir exorbitant des techos [tech]

Message par Minou159 »

C'est encore pire Fred, tu demandes à une app de te générer un mot de passe ;) Comment peux-tu faire confiance à cette façon de procéder ?
DaddyMax&Ju
Messages : 3615
Inscription : 16 oct. 2012
Résidence / Quartier / Activité : Green Park
A remercié : 135 fois
A été remercié : 79 fois

Re: Le pouvoir exorbitant des techos [tech]

Message par DaddyMax&Ju »

ça m’intéresse aussi... je vous offre une bière bio :-)
Minou159
Messages : 332
Inscription : 19 mai 2013
Résidence / Quartier / Activité : Ex-résident
A remercié : 2 fois
A été remercié : 2 fois

Re: Le pouvoir exorbitant des techos [tech]

Message par Minou159 »

Ok, une pinte au Paris'sy ça vous convient ?
Frédéric
Administrateur
Messages : 6811
Inscription : 15 sept. 2011
Résidence / Quartier / Activité : Ex-résident
A remercié : 313 fois
A été remercié : 143 fois

Re: Le pouvoir exorbitant des techos [tech]

Message par Frédéric »

DaddyMax&Ju a écrit :ça m’intéresse aussi... je vous offre une bière bio :-)
Avec plaisir :)
Minou159 a écrit :Ok, une pinte au Paris'sy ça vous convient ?
Avec plaisir, mais y'a pas de bière bio au Par'Issy ! :D En tout cas, pas à ma connaissance

Pinte + pizza font bon ménage :)

Minou159 a écrit :C'est encore pire Fred, tu demandes à une app de te générer un mot de passe ;) Comment peux-tu faire confiance à cette façon de procéder ?
Tiens ! voilà leur générateur : https://lastpass.com/generatepassword.php

Une attaque par bruteforce aura plus de peine à cracker le mot de passe j7OF5T1X$6ypKqdg68@H&233 que salutlescopains123. L'avantage de n'avoir que faire des mots de passe est qu'on peut en changer souvent (bonne pratique) et en générer un différent pour chaque service (bonne pratique)
Minou159
Messages : 332
Inscription : 19 mai 2013
Résidence / Quartier / Activité : Ex-résident
A remercié : 2 fois
A été remercié : 2 fois

Re: Le pouvoir exorbitant des techos [tech]

Message par Minou159 »

Imagine la génération d'un mot de passe qui semble hyper complexe et qui finalement est commun à tous les utilisateurs, comment es-tu sûr que ce n'est pas le cas ? Je suis en Bretagne pour une semaine :siffle:
Minou159
Messages : 332
Inscription : 19 mai 2013
Résidence / Quartier / Activité : Ex-résident
A remercié : 2 fois
A été remercié : 2 fois

Re: Le pouvoir exorbitant des techos [tech]

Message par Minou159 »

Un mot de passe hyper complexe, finalement ton app Lastpass en connait 1000 voir 10000 communs à tous les utilisateurs, de toute façon tu n'en génèreras jamais autant et même si c'était le cas tu ne t'en rappellerais pas ! Par contre très facile pour l'app d'accéder à tous tes comptes... Tu vas me dire que je suis parano :crazy:
Avatar de l’utilisateur
Pierre
Messages : 663
Inscription : 04 oct. 2011
Résidence / Quartier / Activité : Horizon
Escalier (Bâtiment) : C1
A remercié : 0
A été remercié : 0

Re: Le pouvoir exorbitant des techos [tech]

Message par Pierre »

il faut séparer la notion d'attaque brut force par dictionnaire (mot clé connu reduisant les combinaisons) de l'attaque brut force toute possibilité. ( (le dictionnaire devient d'alphabet etc... donc plus de possibilité).
Frédéric
Administrateur
Messages : 6811
Inscription : 15 sept. 2011
Résidence / Quartier / Activité : Ex-résident
A remercié : 313 fois
A été remercié : 143 fois

Re: Le pouvoir exorbitant des techos [tech]

Message par Frédéric »

Hello,
Minou159 a écrit :Imagine la génération d'un mot de passe qui semble hyper complexe et qui finalement est commun à tous les utilisateurs, comment es-tu sûr que ce n'est pas le cas ?
En lisant le code-source :D

view-source:https://lastpass.com/generatepassword.php

... ce que je ne peux pas faire avec la techno propriétaire d'Apple :sorry:
Minou159 a écrit :Un mot de passe hyper complexe, finalement ton app Lastpass en connait 1000 voir 10000 communs à tous les utilisateurs, de toute façon tu n'en génèreras jamais autant et même si c'était le cas tu ne t'en rappellerais pas ! Par contre très facile pour l'app d'accéder à tous tes comptes... Tu vas me dire que je suis parano :crazy:
Et tu fais bien d'être parano :)

Je suis dac' avec toi : tout est question de confiance : si tu n'as pas confiance en Microsoft, ne t'installe pas sur Windows. Ca vaut pour Linux, Apple, Lastpass, fortdissy.info, etc ... Après, tu peux étudier les documents décrivant le système mis en place ainsi que le comportement de ceux qui le maintiennent. Je trouve Apple particulièrement brillant ces derniers temps :japon:

En comparaison, Windows 10 et Android ne donnent pas envie. Après, faut pas s'étonner d'être malade :)
Pierre a écrit :il faut séparer la notion d'attaque brut force par dictionnaire (mot clé connu reduisant les combinaisons) de l'attaque brut force toute possibilité. ( (le dictionnaire devient d'alphabet etc... donc plus de possibilité).
Hello Pierre, c'est vrai. Disons déjà que grâce au salage du mot de passe, l'attaque par dictionnaire est impraticable. Du coup, il reste plus que l'attaque brute de brute. Et dans ce cas de figure, la longueur du mot de passe et sa complexité (chiffre, majuscule, minuscule, symboles) sont nos meilleurs alliés.
Minou159 a écrit :Je suis en Bretagne pour une semaine :siffle:
On se fait un Par'Issy à la rentrée ? Mardi 8 mars au soir vous convient ?
Avatar de l’utilisateur
Snoopy
Messages : 1132
Inscription : 26 août 2013
Résidence / Quartier / Activité : Or' Natura
A remercié : 129 fois
A été remercié : 52 fois
Contact :

Re: Le pouvoir exorbitant des techos [tech]

Message par Snoopy »

Hello tout le monde !

Cool, le débat repart ! Et avec des participants supplémentaires en plus, magnifique :)
Je repars de tes propos et du 1er article que tu as cité Fred :
Frédéric a écrit : L'engagement est total et repose sur la logique du bit : zéro ou un. Ce manque de nuance m'a longtemps gêné, d'autant que la mise en application commence toujours par un défaut de confiance envers autrui.
Premier désaccord :) En science classique (on en est pas encore à parler de quantique ou autres,…) et donc dans l’informatique par extension, les choses, les éléments sont ou ne sont pas. Il n’y a pas d’état intermédiaire. Sauf à entrer dans des débats philosophiques voire théologiques (mais ce n’est pas le but puisqu’on parle de techno..), il faut appréhender les choses de manière déterministe. Ce qui nous apparait non déterministe à un moment T ne l’est uniquement parce que l’on a pas encore compris les mécanismes déterministes sous-jacents.
L’article va dans mon sens à ce sujet : 0 ou 1, il n’y a pas de 0,5 possible.
affordance.info a écrit : Sauf que comme le soulignent l'ensemble des experts en cryptographie, créer cette backdoor une fois n'est pas possible : soit elle est créée et pourra être utilisée sur l'ensemble des appareils, soit elle n'existe pas et l'ensemble des appareils restent protégés derrière ces 4 chiffres.
Ce ne sont que les postures, les avis, les réactions à ces choses/éléments qui peuvent ne pas être tranchés. Le manque de confiance comme attitude par défaut n’est qu’une extension du principe de précaution. Le WWW pourrait signifier « World Wild Web » plutôt que « World Wide Web », c’est la jungle et pour ne pas y laisser des plumes, mieux vieux y avancer avec précautions donc ne faire confiance à personne.
"Si vous avez quelque chose à cacher, c'est que vous avez quelque chose à vous reprocher".
J’avais déjà commenté cette absurdité dans un précédent post que je ne retrouve plus en invoquant le fait que c’était un frein à la curiosité intellectuelle, à l’ouverture au monde et à l’innovation. J’en rajoute une couche avec l’argument suivant : avoir quelque chose à se reprocher est une notion très subjective et qui peut varier au cours du temps. En l’occurrence, c’est à la loi/à l’état que la notion fait référence. Si je n’ai rien à me reprocher par rapport aux lois (je n’enfreins pas la loi), alors pourquoi aurais-je quelque chose à cacher ? Sauf que les lois, les références changent. C’est peut-être un sentiment particulièrement marqué pour ma génération (génération Y apparemment) et bien plus développée aux US que chez nous mais je ne fais pas instinctivement confiance à l’état pour garantir des lois dans l’intérêt de tous, justes et/ou morales. Faut se dire que de Gaulle avait pas mal de choses à cacher et à se reprocher au temps où la référence était Vichy. De l’ancien temps ? Peut être mais ça pourrait très bien se reproduire. C’est triste mais quand on voit qu’un gouvernement censé être démocratique et républicain maintien un état d’urgence liberticide, imaginez un peu ce que ça donnerait avec un parti extrémiste au pouvoir… et malheureusement, on n’en est pas aussi loin que ça. Donc non, on peut très bien avoir des choses à cacher (même de la loi) d’un point de vue tout à fait juste et moral.
affordance.info a écrit : Plus globalement enfin je confesse être un peu perplexe devant ce qui me semble constituer une forme de "reductio ab absurdum" du débat autour de la vie privée ramenée aux 4 chiffres du code pin d'un smartphone alors même que l'on connaît l'étendue des possibilités de cryptage / décryptage et l'extraordinaire diversité des outils permettant à un terroriste (ou à un citoyen lambda) de rendre très difficilement perquisitionnables ses différentes communications sur différents supports.
Exactement. Une des choses que les politiques ont apparemment du mal à comprendre c’est que la loi n’empêchera pas un terroriste d’utiliser des communications/du stockage chiffré. La loi ne peut empêcher qu’au plus grand nombre (aka ceux qui n’ont justement rien à se reprocher) d’en profiter. Télégram, c’est le mal ? Interdisez-le et un autre apparaitra, de manière légale ou non. Paradoxalement, les outils « légaux » et « officiels » sont généralement plus facilement backdoorés et/ou surveillés que des outils maison..
Frédéric a écrit : Le pouvoir exorbitant des techos est supplanté par un pouvoir que l'on appelle communément "politique", et qui évite bien des effets de bord.
Justement non… CQFD même si j’ose dire. Une loi n’empêchera pas la création d’un outil technique. Nous ne sommes plus dans l’ancien temps ou une expertise bien déterminée et identifiée devait être encadrée et pouvait être sanctionnée si elle contrevenait à la loi. Aujourd’hui, les outils permettant d’innover, de créer des logiciels, des outils sont accessibles à tous et gratuitement (ou presque). Ce n’est pas une misérable loi française qui va empêcher un groupe terroriste de créer et d’utiliser l’outil qu’il souhaite. Encore, l’auteur de l’article va dans mon sens :
affordance.info a écrit : En tout état de cause, lutter contre la haine ou contre le terrorisme sur internet mobilise des rapports de force extrêmement complexes entre le code (informatique) et la loi, rapports pour l'instant à l'avantage du code.
Revenons à la question des politiques :
affordance.info a écrit :La pression que les politiques de tous bords mettent sur les plateformes - pour de bonnes ou de mauvaises raisons - ne cesse d'augmenter (de l'inénarrable Xavier Bertrand et son "Imam Google" jusqu'au au 1er ministre qui demande aux géants du web de passer à la contre-offensive, sans oublier bien sûr les maires des grandes villes déjà touchées par des attentats).
affordance.info a écrit :Blocage de sites et condamnation pénale de la visite de sites web sont autant de mesures parfaitement inutiles qui ne témoignent que de la méconnaissance que notre classe politique a du fonctionnement de l'écosystème internet.
affordance.info a écrit :une classe politique qui considère qu'internet est une extension moderne de l'ORTF.
Tout à fait en phase. Les politiques de manière générale n’y connaissent pas grand-chose, ce qui engendre des décisions absurdes, parfois contre-productives (exemple : blocage de piratebay contourné en 2s, le tout en utilisant un raisonnement qu’un enfant de 10 ans pourrait pondre). J’aime beaucoup l’image de l’ORTF. La classe politique agit comme ci les échanges sur Internet étaient centralisés et purement descendants donc facilement contrôlables. Ce n’est plus le cas et les mécanismes classiques de contrôle sont obsolètes.
affordance.info a écrit :On ne peut pas d'un coté condamner la multiplication des boites noires aux mains des états, s'alarmer en la déplorant de l'opacité des algorithmes des plateformes, et de l'autre réclamer un droit aux boîtes noires pour chaque citoyen, sauf à considérer qu'un citoyen doit d'abord jouir des prérogatives d'un client Apple.
Ici, l’auteur déraille complètement par un magnifique subterfuge linguistique. Le terme boite noire est utilisé 2 fois mais pas avec le même sens.
D’un côté, la boite noire étatique est noire parce que l’on ne sait absolument pas ce qu’elle fait. Elle s’immisce dans des échanges qui ne la concernent pas et le peuple n’a aucun moyen de savoir quel traitement est appliqué à ses échanges.
De l’autre, le fonctionnement de la boite noire « utilisateur » peut être considérée comme connu. Elle est noire pour empêcher des individus tiers de consulter votre vie privée. Elle a un rôle de protection de la vie privée, pas de destruction comme son homologue étatique.
Donc oui on PEUT déplorer les boites noires étatiques ET être favorable à la protection renforcée des utilisateurs.
Minou159 a écrit :Imagine la génération d'un mot de passe qui semble hyper complexe et qui finalement est commun à tous les utilisateurs, comment es-tu sûr que ce n'est pas le cas ? Je suis en Bretagne pour une semaine :siffle:
Ca renvoie au problème de la génération d’un nombre aléatoire. Comment faire pour qu’une machine au fonctionnement purement déterministe génère un nombre de façon parfaitement aléatoire. Réponse : ce n’est pas possible, le tout est d’essayer de s’approcher au mieux de la perfection.
Wikipedia a écrit :Des méthodes pour obtenir des nombres aléatoires existent depuis très longtemps et sont utilisées dans les jeux de hasard : dés, roulette, tirage au sort, mélange des cartes, etc. Elles peuvent toutefois souffrir (et souffrent généralement) de biais. Actuellement, les meilleures méthodes, censées produire des suites véritablement aléatoires, sont des méthodes physiques qui profitent du caractère aléatoire des phénomènes quantiques.
[…]
La nécessité d'obtenir des données aléatoires est présente dans bien d'autres domaines. Certains domaines peuvent se contenter de données pseudo-aléatoires et utilisent des générateurs qui s'approchent plus ou moins d'un aléa parfait.
Je ne sais pas quelle méthode utilise lastpass mais d’une manière générale, on arrive aujourd’hui à s’approcher très près de la perfection en terme de génération d’un nombre aléatoire donc sauf mauvaise implémentation logicielle, ce problème ne devrait plus en être un. En passant, on peut générer soi même et à la main un mot de passe de complexité équivalente à ceux générés par le logiciel en 2s, réglant définitivement le problème.
Minou159 a écrit :Par contre très facile pour l'app d'accéder à tous tes comptes... Tu vas me dire que je suis parano :crazy:
Là je suis d’accord c’est un autre problème. Après, si le code est ouvert, ça ne doit pas pouvoir arriver (sauf bug bien évidemment mais là c’est une autre histoire).
Frédéric
Administrateur
Messages : 6811
Inscription : 15 sept. 2011
Résidence / Quartier / Activité : Ex-résident
A remercié : 313 fois
A été remercié : 143 fois

Re: Le pouvoir exorbitant des techos [tech]

Message par Frédéric »

Salut Snoopy, :)
Snoopy a écrit :
Frédéric a écrit : L'engagement est total et repose sur la logique du bit : zéro ou un. Ce manque de nuance m'a longtemps gêné, d'autant que la mise en application commence toujours par un défaut de confiance envers autrui.
Premier désaccord :)
Premier contre-exemple : Google évalue chaque demande de droit à l'oubli. On est loin du zéro/un. On est dans la nuance, l'évaluation.

Il me semble que c'est ce qui est demandé à Apple : les autorités peuvent passer outre les règles de sécurité, les autres non. Aujourd'hui, l'iphone 5S et suivants ne reconnait que la voix de son maître. Et Apple dit non (zéro).
Snoopy a écrit :
Frédéric a écrit : Le pouvoir exorbitant des techos est supplanté par un pouvoir que l'on appelle communément "politique", et qui évite bien des effets de bord.
Justement non… CQFD même si j’ose dire. Une loi n’empêchera pas la création d’un outil technique.
C'est vrai, mais dans le cas de Cloudflare, le pouvoir "politique" (dans le sens "je n'oublie pas les plus démunis quand je prends une décision") est salvateur (voir copie-écran "google n'est pas accessible car votre système d'exploitation n'est pas compatible")
Snoopy a écrit :Paradoxalement, les outils « légaux » et « officiels » sont généralement plus facilement backdoorés et/ou surveillés que des outils maison..
Mmm ... je suivrai plutôt l'adage dominant : le cadenas en open-source, la clé pour soi.
Snoopy a écrit :Ca renvoie au problème de la génération d’un nombre aléatoire. Comment faire pour qu’une machine au fonctionnement purement déterministe génère un nombre de façon parfaitement aléatoire. Réponse : ce n’est pas possible, le tout est d’essayer de s’approcher au mieux de la perfection.
Les systèmes de génération aléatoire (y compris celui utilisé dans Truecrypt) tiennent compte du mouvement de souris de l'utilisateur pour parfaire leur algo.

Snoopy a écrit :Je ne sais pas quelle méthode utilise lastpass mais d’une manière générale, on arrive aujourd’hui à s’approcher très près de la perfection en terme de génération d’un nombre aléatoire
Rien n'empêche d'ajouter quelques caractères au pif à la fin du mot de passe généré :)
Frédéric
Administrateur
Messages : 6811
Inscription : 15 sept. 2011
Résidence / Quartier / Activité : Ex-résident
A remercié : 313 fois
A été remercié : 143 fois

Re: Le pouvoir exorbitant des techos [tech]

Message par Frédéric »

Hello,

Pour revenir au dossier Apple/FBI, une info intéressante qui rappelle qu'on a toujours intérêt à ne pas réfléchir entre semblables, entre gens qui pensent à l'identique :
2-22-2016-12-07-49-pm.png
2-22-2016-12-07-49-pm.png (10.32 Kio) Consulté 8421 fois
http://techcrunch.com/2016/02/23/most-a ... finds-pew/

Vive le débat contradictoire ! :D

J'ai bien l'impression qu'Apple n'a pas envie d'être le SPOF de son système : si la société édite une version de leur système d'exploitation qui permette d'outrepasser les règles de sécurité inscrites dans chaque iphone, elle devient par là-même le maillon faible du dispositif. :sorry: En effet, Apple aura en sa possession un passe universel. Malheur si elle se la fait copier (et ça prend moins d'une minute et ça ne laisse pas de trace). :scare:
Répondre