Archive pour le thème 'LibertĂ©s'

Une curiositĂ© peut-ĂŞtre, mais une idĂ©e intĂ©ressante pour tous ceux qui souhaitent naviguer le web incognito. Alors qu’il n’y a qu’une seule solution -utiliser un proxy- APAZ propose une extension un peu particulière qui consiste Ă  monter son propre anonymizer proxy (un serveur par lequel on passe pour rendre anonyme une communication web).

APAZ est un petit logiciel PHP qui peut ĂŞtre installĂ© sur Ă  peu près n’importe quel serveur capable d’hĂ©berger une petite application web en PHP. Il fournit alors un anonymizer proxy Ă  la demande. Plus besoin de fouiller les listes de serveurs plus ou moins disponibles.

Félicitations à Emmanuel Saracco pour cette bonne idée. Téléchargement sur http://labs.libre-entreprise.org/scm/?group_id=107.

La cryptographie Ă  clĂ© publique est une technique très courante pour protĂ©ger efficacement (?) des informations sensibles ou secrètes en les encodant d’une manière telle que le dĂ©codage repose sur des techniques mathĂ©matiques très complexes (comme la recherche de facteurs premiers d’un grand nombre entier). Aujourd’hui, c’est sur cela que repose la majeure partie de notre sĂ©curitĂ© Ă©lectronique (y compris les communications sĂ©curisĂ©es d’Internet).

Mais le cryptologue allemand, Jean-Pierre Seifert (UniversitiĂ© de HaĂŻfa et d’Innsbruck) semble bien ĂŞtre sur le point de rĂ©vĂ©ler une ligne d’attaque relativement inhabituelle contre cette technologie critique de notre infrastructure de communication. Il a annoncĂ© que cela serait officiellement prĂ©sentĂ© Ă  la confĂ©rence RSA de dĂ©but 2007. D’ici lĂ , tout indique qu’il pourrait s’agir d’une vĂ©ritable catastrophe (naturelle ?) pour Internet comme nous le connaissons actuellement.

Pour l’essentiel, l’attaque repose sur la possibilitĂ© d’observer le fonctionnement de la CPU elle-mĂŞme. Les microprocesseurs d’aujourd’hui utilisent une technique connue comme la prĂ©diction de branchement qui s’efforce de deviner Ă  l’avance le rĂ©sultat de certaines opĂ©rations du microprocesseur. Si la prĂ©diction est bonne, le pari est gagnĂ© et le microprocesseur peut accĂ©lerer la suite des calculs, sinon le microprocesseur doit reprendre au dĂ©but un groupe d’opĂ©rations plutĂ´t longues. De manière gĂ©nĂ©rale, cela sert Ă  accĂ©lĂ©rer considĂ©rablement la plupart des opĂ©rations. MAis pour le cryptologue cela veut aussi dire qu’il est relativement facile de deviner ce que fait le microprocesseur (et les rĂ©sultats de ses calculs) simplement en regardant combien de temps il prend Ă  faire ses calculs. Vous n’avez plus besoin de voir les calculs eux-mĂŞmes (la simple observation du temps pris suffit).

Cela ouvre la porte Ă  une nouvelle gĂ©nĂ©ration de logiciels d’espionnage (spyware et compagnie) qui pourraient facilement dĂ©coder les clĂ©s secrètes de certaines de communicaitons que nous considĂ©rons comme les plus secrètes. Pour le moment, la menace n’est pas immĂ©diate (aucun dĂ©tail prĂ©cis n’a encore Ă©tĂ© donnĂ©), mais la grande majoritĂ© des spĂ©cialistes pense qu’il ne s’agit plus maintenant que d’une question de temps avant que cette faille ne soit exploitĂ©e (le logiciel ne sera sans doute pas très difficile Ă  concevoir Ă  partir des informations de principe dĂ©jĂ  disponibles ; auparavant dĂ©coder la clĂ© secrète d’une telle communication pouvait prendre de plusieurs annĂ©es Ă  des millions de millĂ©naires de calcul, nous ne parlerons bientĂ´t plus que d’une portion de seconde).

Les solutions existent. Dans la plupart des cas, cela signifie qu’il faut modifier le microprocesseur de manière drastique (le chef de la sĂ©curitĂ© d’Intel est actuellement indisponible pendant plusieurs semaines et cela ne se prĂ©sente pas comme une solution facile) ou corriger des milliers d’applications avec des correctifs (patches) qui se partageront entre impact mineur et quasi-impossible Ă  mettre en oeuvre sur un ordinateur de tous les jours (il sera peut-ĂŞtre impossible de crĂ©er des patches pour certaines applications parce que le problème provient du niveau le plus bas d’exĂ©cution dans le microprocesseur).

Sources : très diverses, y compris PhysOrg.com et Le Monde.

Je prévois que cela sera le centre de discussions animées pour les mois à venir.

Il n’aura pas fallu longtemps : le passeport Ă©lectronique, que plusieurs pays dĂ©fendent activement (en particulier les USA qui affirment que cela sera la solution miracle contre les terroristes et les faussaires) et vont prochainement mettre en circulation, a rencontrĂ© de sĂ©rieux problèmes la semaine denrière Ă  Las Vegas.

Premièrement, un hacker allemand Lukas Grunwald a montrĂ© comment il est possible de reproduire le codage individuel du passeport (exit l’identification prouvĂ©e et infalsifiable). Il n’a eu besoin que de la documentation de l’ICAO (International Civil Aviation Organisation), un lecteur de ePassport avec son logiciel. Il ensuite simplement fait une copie d’un passeport (ou plutĂ´t de la partie Ă©lectronique : la puce RFID intĂ©grĂ©e au passeport et lisible Ă  distance). Mais la simple copie de la partie Ă©lectronique du passeport devrait alors permettre de constituer une bonne copie d’un passeport complet (imaginons un pirate de l’air qui souhaite simplement obtenir un passeport qui lui ressemble suffisamment pour passer les contrĂ´les dans un grand aĂ©roport international). Le pire est que toutes les informations nĂ©cessaires sont simplement dĂ©crites dans la documentation publique.

Sur le fond, il convient de retenir que les informations du passeport Ă©lectronique sont accessibles Ă  distance (c’est un effet direct du chip RFID). Les autoritĂ©s affirment qu’il s’agit de laisser le porteur du passeport choisir s’il souhaite que son passeport soit lu ou pas.

C’est lĂ  qu’intervient le second problème ou plutĂ´t la seconde faille. Comment le porteur du passeport peut-il se protĂ©ger contre les utilisations illĂ©gales de son propre passeport ? N’oublions pas que vous n’avez pas besoin de le sortir de votre poche pour qu’il soit consultĂ© par une machine de petite taille. Cela suggère le deuxième point (et le plus inquiĂ©tant) : n’importe qui pourrait “voler” le contenu de votre ePasseport, ou encore pire, un terroriste pourrait choisir de dĂ©clencher une bombe au passage d’un passeport d’un certain type. On n’est pas loin de voir la bombe dĂ©clenchĂ©e spĂ©cialement par un passeport amĂ©ricain. Cela pourrait tenter certains terroristes, n’est-ce pas ?

Il est vrai que de rouler son passeport dans une feuille de papier aluminium devrait le protĂ©ger. Mais vous voyez-vous obligĂ© de dĂ©faire l’emballage de votre passeport avant de l’utiliser Ă  l’aĂ©roport, simplement pour vous protĂ©ger contre ces utilisations ? On nous annonce un passeport avec une couverture mĂ©tallisĂ©e, mais qui ne sera alors pas lisible Ă  distance (et alors oĂą l’avantage par rapport Ă  la lecture optique ?)

Le dĂ©ploiement est dĂ©jĂ  avancĂ© dans un certain nombre de pays. Je n’affirmerais pas que cela est fait avec une technologie fiable, solide et rassurante.

Sources :

• Wired
• The Register (UK)

Tous les dĂ©tails sur cette affaire qui est en train de faire de la France un des pays les plus rĂ©prĂ©essifs en matière de lutte contre la copie et le tĂ©lĂ©chargement des oeuvres artistiques : sur Tom’s Hardware.

C’est ce que Mail on Sunday affirme Ă  propos de la fabrication des iPods de la sociĂ©tĂ© de Steve Jobs qui nous demande dans ses publicitĂ©s de “penser diffĂ©remment” (Think different) avec l’aide de figures politiques de gauche aussi marquantes que Gandhi ou Chavez.

Mais les 200 000 travailleurs de Foxconn, le sous-traitant chinois d’Apple, ne seraient payĂ©s que 50$ par mois (ce qui n’est guère brillant mĂŞme pour des travailleurs chinois).

MĂŞme si l’attaque n’est pas confirmĂ©e pour l’heure, mĂŞme si la pratique semble courante dans l’industrie de la sous-traitance de fabrication Ă©lectronique, Apple pourrait (devrait ?) se sentir obligĂ©e de prĂ©senter une attitude exemplaire, compte-tenu de son image et de ses messages. C’est ainsi qu’Apple a immĂ©diatement annoncĂ© Ă  MacWorld UK qu’ils lançaient une enquĂŞte sur le sujet.