Conversation

Notices

1. Embed this notice
   Breizh (breizh@pleroma.breizh.pm)'s status on Friday, 21-Mar-2025 00:30:46 JST Breizh

   in reply to

   • YannCPhoto :bzh:
   • Zgou 🔥
   • Defakator Officiel

   @zgou @defakator @yanncphoto Tout à fait, mais Signal apprécie pas les applis tierces. En fait la politique de Signal sur les applis compatibles et les forks fait qu’il est particulièrement facile de mettre en place une telle fonctionnalité sur leur système…

   Mais oui, quelqu’un d’un peu compétent pourrait contourner (ou au moins être au courant). Mais combien de personnes visées par les autorités s’emmerdent à faire attention à ce genre de chose ?

   En pratique ceux qui pourraient éviter ce genre de chose font déjà le nécessaire et ne sont déjà pas concernés. Ce n’est pas eux qui sont visés.

   Après, là on discute que de la technique, le fait que ce soit techniquement faisable ne veut pas dire que ce soit politiquement souhaitable.

   Mais je déteste quand on lutte contre une décision politique avec des approximations techniques ou des mensonges, parce qu’il suffit à l’adversaire de prouver qu’on a tort pour qu’il marque des points…

   • Haelwenn /элвэн/ :triskell: likes this.
   • Embed this notice
     Zgou 🔥 (zgou@diaspodon.fr)'s status on Friday, 21-Mar-2025 00:30:47 JST Zgou 🔥

     in reply to

     • YannCPhoto :bzh:
     • Defakator Officiel

     @breizh @defakator @yanncphoto Surtout que cette solution est très facile à contourner avec une appli open source (comme Signal), et permet facilement de savoir si on est sous écoute

     https://diaspodon.fr/@zgou/114195191404428565

   • Embed this notice
     Zgou 🔥 (zgou@diaspodon.fr)'s status on Friday, 21-Mar-2025 00:30:48 JST Zgou 🔥

     in reply to

     • YannCPhoto :bzh:
     • Defakator Officiel

     @breizh @defakator @yanncphoto Sauf que vérifier l'identité d'un destinataire est un des challenges principaux des systèmes E2EE ?

     Là, il y a un ajout sans vérification et sans information d'un certificat. C'est bien une faille qui est introduite. On ne peut pas certifier que seul "les gentils" puissent s'ajouter dans une conv.

   • Embed this notice
     Breizh (breizh@pleroma.breizh.pm)'s status on Friday, 21-Mar-2025 00:30:50 JST Breizh

     in reply to

     • YannCPhoto :bzh:
     • Defakator Officiel

     @yanncphoto @defakator Faut voir comment c’est géré. Mais du coup c’est pas une faille dans le protocole, quoi. C’est du chiffrement normal, juste que tu chiffres pour un destinataire de plus.

     Après j’ai pas suivi s’ils veulent le mettre partout (c’est à dire systématiquement tout fournir), ou juste dire « tout ce que dit cette personne sous surveillance doit pouvoir être lu par les autorités, ajoutez notre clef dans ses échanges ».

     Dans le second cas, tu changes régulièrement la clef et utilise une clef par personne, ça limite les risques de fuite.

   • Embed this notice
     YannCPhoto :bzh: (yanncphoto@piaille.fr)'s status on Friday, 21-Mar-2025 00:30:51 JST YannCPhoto :bzh:

     in reply to

     • Defakator Officiel

     @breizh @defakator
     La dernière ligne détruit en fait presque tout le reste : la clé "autorités" qui fuite est une immense backdoor potentielle

   • Embed this notice
     Breizh (breizh@pleroma.breizh.pm)'s status on Friday, 21-Mar-2025 00:30:54 JST Breizh

     in reply to

     • Defakator Officiel

     @defakator Ça me fait chier de faire l’avocat du diable, mais je suis pas d’accord : ce qu’il propose, c’est du côté de l’expéditeur, de chiffrer non seulement avec la clef du destinataire, mais aussi la clef des autorités. Ce qui est faisable et ne casserais pas particulièrement la sécurité. En fait, si c’est bien fait, le fournisseur et les tiers n’auraient pas plus accès aux données, seulement les autorités, tant qu’elles ne font pas fuiter leur clef privée¹ (et ne la transmettent donc pas aux sociétés, seulement la publique).

     Quant à comment injecter la clef publique des autorités, ça peut être fait au niveau de l’application utilisateur, tout simplement (et donc facile à remarquer par un audit, de l’ingénierie inverse, ou simplement en lisant le code si c’est libre).

     Techniquement, ça peut être fait proprement. Je n’en veux pas pour autant, et ça reste un problème, mais ça peut être fait sans créer de faille à proprement parler (un tiers malveillant aurait du mal à insérer sa propre clef publique dans le système, ou à récupérer la clef privées des autorités¹).

     ¹ : par contre si ça arrive, ça serait assez catastrophique…

   • Embed this notice
     Defakator Officiel (defakator@mastodon.top)'s status on Friday, 21-Mar-2025 00:30:55 JST Defakator Officiel

     in reply to

     Ici la présentation joue juste sur les mots : l'appeler frontdoor et pas backdoor, ou répéter qu’il n’y a pas de faille n’invalide en rien le fait que cela introduit une vulnérabilité systémique et qu'il n’y a plus dès lors aucune garantie de confidentialité. [5/5] https://www.lemonde.fr/pixels/article/2025/03/04/casser-le-chiffrement-de-whatsapp-ou-signal-un-serpent-de-mer-politique-dangereux_6195665_4408997.html

   • Embed this notice
     Defakator Officiel (defakator@mastodon.top)'s status on Friday, 21-Mar-2025 00:30:56 JST Defakator Officiel

     in reply to

     Cela correspond à ce que l’Internet Society appelle la proposition du fantôme. Elle crée une vulnérabilité dans le E2EE, potentiellement exploitable par un tiers malveillant, ou un usage autoritaire, et remet en question le principe même du chiffrement. [4/5]
     https://www.internetsociety.org/fr/resources/doc/2020/la-proposition-du-fantome/

   • Embed this notice
     Defakator Officiel (defakator@mastodon.top)'s status on Friday, 21-Mar-2025 00:30:57 JST Defakator Officiel

     in reply to

     Ce que propose l'article, c’est d’introduire un tiers dans la conversation, sans que les participants en soient notifiés, et à qui le logiciel donnerait aussi les clés. Cela revient à créer une porte dérobée (« backdoor »). Le Ministre rejette le terme pour tenter de contourner cette objection.[3/5]

   • Embed this notice
     Defakator Officiel (defakator@mastodon.top)'s status on Friday, 21-Mar-2025 00:30:58 JST Defakator Officiel

     in reply to

     Le principe de la techno du chiffrement de bout-en-bout (end-to-end encryption, E2EE) est précisément de résister à toute tentative de falsification : la clé de déchiffrement n’est accessible qu’aux personnes incluses dans la conversation. Les messages chiffrés sont indéchiffrables par un tiers. [2/5]

   • Embed this notice
     Defakator Officiel (defakator@mastodon.top)'s status on Friday, 21-Mar-2025 00:30:59 JST Defakator Officiel

     Dans le cadre de la loi NarcoTrafic, Article 8 ter, Bruno Retailleau veut que les services de communications chiffrées (Signal, Whatsapp…) donnent aux forces de l’ordre un accès aux conversations. À ceux qui objectent que c'est la fin du chiffrement, il déploie ici un argumentaire fallacieux. [1/5]