Version imprimable du sujet

Écrit par : Lionel 17 Jun 2019, 07:35

Cellebrite, une société de forensic dont on a souvent entendu parler ces derniers temps, a annoncé sur son compte Twitter qu'elle était dorénavant capable d'accéder au contenu des appareils iOS jusqu'à la version 12.3.

Cela signifie donc qu'une nouvelle faille a été découverte dans iOS.
Il s'agit maintenant d'un business à part entière avec des équipes professionnelles engagées là dessus.
Ce qui était il y a 10 ans un jeu de chat et de la souris (dixit Steve Jobs) est devenu un commerce lucratif et un impératif gouvernemental dans tous les pays ou presque.

http://macbidouille.com/news/2019/06/17/cellebrite-annonce-pouvoir-acceder-aux-appareils-ios-jusqua-la-version-123

Écrit par : chammer 17 Jun 2019, 08:22

C'est un tweet *publicitaire* qui concerne Androïd aussi.
Je suis désolé, mais il est inutile d'en faire un article "re-tweet".

Attendons conditions de hack, preuves et analyses.
Et laissons une chance aux équipes de Tim Cook d'y répliquer.

Copie de son discours de Stanford d'hier :

"If we accept as normal and unavoidable that everything in our lives can be aggregated, sold, or even leaked in the event of a hack, then we lose so much more than data.

We lose the freedom to be human.

Think about what’s at stake. Everything you write, everything you say, every topic of curiosity, every stray thought, every impulsive purchase, every moment of frustration or weakness, every gripe or complaint, every secret shared in confidence.

In a world without digital privacy, even if you have done nothing wrong other than think differently, you begin to censor yourself. Not entirely at first. Just a little, bit by bit. To risk less, to hope less, to imagine less, to dare less, to create less, to try less, to talk less, to think less. The chilling effect of digital surveillance is profound, and it touches everything.

What a small, unimaginative world we would end up with. Not entirely at first. Just a little, bit by bit. Ironically, it’s the kind of environment that would have stopped Silicon Valley before it had even gotten started.

We deserve better. You deserve better."

Écrit par : vlady 17 Jun 2019, 09:15

Utile ou pas, c'est toi qui décide ?

Pour le reste (j'ai failli lâcher une larmichette), le vie privé est très précieuse, c'est vrai, et c'est pour ça notre Tim adoré en fait un produit de luxe et nous la vend à prix astronomique. Et bien sûr Tim va répliquer... en augmentant les prix pour la énième fois !

Écrit par : WipeOut 17 Jun 2019, 09:21

Trump aussi peut hack le monde entier

Écrit par : Lionel 17 Jun 2019, 09:21

Désolé, mais cela concerne tous ceux qui sont intéressés. Apple nous bassine sur la sécurité des données qu'on confie à ses appareils. Une société dit qu'elle peut accéder à ces données, cela relativise les choses.

Écrit par : fxn 17 Jun 2019, 09:31

c'est clair ! Le fait qu'une société soit susceptible de vendre (faut avoir les moyens) au FBI (obligatoirement en passant par un juge) nos données qui intéresse le dit FBI (ou tout autre organisme) au plus haut point est à diffuser en priorité !

Seuls les fanboys décérébrés d'applefric s'imaginent encore que iOS n'est pas une vraie passoire !

(Contrairement à Androïd)


-----------
Edit: il y vraiment des gens qui l'ont lu au premier degré , comme quoi... le ver est dans le fruit

Écrit par : otto87 17 Jun 2019, 09:38

Et ne vous leurrez pas, ce n'est sans doute pas la seule boite à avoir ce genre de technologies sous la main. Et pour avoir besoin de le tweeter, c'est que ce ne sont pas les meilleurs

Quand on pense à l’interconnexion watch, iphone, mac (android/PC aussi pas de chauvinisme) et tout les comptes de réseaux sociaux associés et la multiplication des vecteurs d'entrée dans ce bouzin, la notion de vie privé n'existe en pratique plus que dans le discours marketing...

Écrit par : Jack the best 17 Jun 2019, 09:41

Effectivement, quand on est capable de hacker, moyennant finances, c'est rare qu'on s'en vante !
Est-ce même légal ?

Écrit par : otto87 17 Jun 2019, 10:13

Si on prend l'exemple de facebook et de ses histoires à répétition, je crois que le problème n'est pas la légalité mais le différentiel entre le pognon qu'on peut se faire avec et ce que l'on doit payer si jamais on se fait chopper...

Écrit par : fxn 17 Jun 2019, 10:34

le problème n'est pas là, dans ce cas il s'agit d'une prestation avec autorisation, voire réquisition d'un juge.

Écrit par : EmileEssent 17 Jun 2019, 10:52

Corrigez-moi au besoin, mais il me semble que passer par un juge US n'est nécessaire que pour enquêter sur des citoyens américains, pas sur les étrangers.

Écrit par : Fafnir 17 Jun 2019, 10:52

Dans cette dialectique entre la cuirasse et le glaive il est précieux que des gens s'y consacrent puisque cela rend finalement le système plus robuste et avant qu'un prochain essaimage dans l'univers ne rendent les mises à jour plus complexe.

Écrit par : amike 17 Jun 2019, 10:58

Mais Facebook s'entraîne aussi sur la légalité !

Coté face, on a Zuky qui clame "The future is private".
Et coté pile, on a leurs avocats qui expliquent que "Privé = ... mausolé". Càd, si un "membre partage avec un autre membre", alors "ce n'est plus privé !"
Et Facebook se permettra de "partager" avec le reste de la Terre...

En somme, aller sur un réseau comme Facebook, c'est "nier toute confidentialité", sauf à ne constituer que des pages visibles par soi même et comme archive !

https://theintercept.com/2019/06/14/facebook-privacy-policy-court/

Écrit par : Celeri 17 Jun 2019, 11:51

Est-ce que cette société fait ça sous forme d'un service ou alors est-ce qu'elle vend les appareils pour le faire soi-même ?

Dans le second cas, nul doute qu'Apple se débrouillera pour mettre la main sur un exemplaire, en analysera le fonctionnement puis comblera la/les faille(s)...

Écrit par : chammer 17 Jun 2019, 11:51

Sur la politique tarifaire élitiste d'Apple, nous sommes tous d'accord.
Les prix sont juste débiles.

Mais c'est aussi déplacé de traiter de "fanboy Apple" un contributeur qui donne son point de vue, que de traiter de "gay" quelqu'un qui soutient une manifestation LGBT.
Bref

C'est la sécurité technologique qui est au centre de l'article et du débat.

Que feriez-vous à la place de Tim Cook (après la baisse des prix par 2) ?

Comment conjuguer la sécurité de nos informations en cas de vol/hack et les obligations règlementaires ?
Le tout sans puce T2 et avec des SSD qu'on peut démonter, cela va de soit.

Écrit par : iAPX 17 Jun 2019, 12:15

Point du tout...

Cellebrite vend des boîtiers spécialisés permettant d'analyser les données dans nos smartphones, et si tant est qu'officiellement ils n'en vendent qu'à des forces de l'ordre, et encore cette définition dépend vraiment du régime qui achète, on les retrouve après sur la place publique (https://twitter.com/hackerfantastic/status/1095068391683964928/video/1), même si étant des boîtiers physiques ça ne se répand pas comme la poudre contrairement aux hack logiciels à distance.

Il y a le besoin pour les enquêteurs, missionnés par la Justice, de pouvoir accéder dans certains cas aux contenu des appareils, et de l'autre celui d'avoir nos vie privées parfaitement protégées.
C'est antagoniste.

Et comme toute l'histoire de la cryptographie nous l'a appris (voir https://en.wikipedia.org/wiki/Clipper_chip à ce sujet), ou simplement les cadenas homologués pour le vol aérien et tous s'ouvrant avec un passe universel qui fut rapidement entre les mains de tous les voleurs de bagage, si on créé une backdoor quelconque elle se répandra tôt ou tard et sera utilisé pour affaiblir la sécurité de tous.

Écrit par : fxn 17 Jun 2019, 12:38

ok donc "point" pas "du tout" en fait...

Écrit par : joeledition 17 Jun 2019, 13:04

Selon moi, vie privée ne signifie pas que nos données sont totalement inaccessibles, mais plutôt qu'elles sont difficilement accessibles. Il y a donc différents degrés de vie privée selon la difficulté d'accès à nos informations. Et ce n'est pas parce que la sécurité d'un appareil n'est pas infaillibe (elle ne l'est jamais) qu'on ne peut pas prétendre à vouloir protéger le peu d'intimité qu'il nous reste encore.

Il y a tout de même une énorme différence entre tracking et hacking. On parle d'une part de la récupération systématique et à grande échelle de nos données, et d'autre part d'un outil spécialisé (et vraisemblablement très onéreux) qui nécessite un accès physique au téléphone.

Écrit par : vlady 17 Jun 2019, 13:06

Pour moi, la modularité et réparabilité (autrement -> indépendance) passent avant tout ! Je ne vois strictement aucun intérêt dans la puce T2. Pour Apple c'est très intéressant, ça limite l'utilisation des contrôleurs d'autres fabricants (coût de production plus faible) et verrouille à mort la machine tout en permettant d'imposer des prix exorbitants pour toutes les options de stockage. Pour le reste, il est très simple de crypter les infos sensibles dans un .sparsebundle, sans parler des logiciels spécifiques (gratuits ou pas).

Écrit par : otto87 17 Jun 2019, 13:21

Au final, c’est bien plus proche que tu ne l'imagines et d'un certain coté, les outils proposés par cette boite sont une très faible menace pour la vie privé! En gros ça donne un accès à ce qui est stocké sur le téléphone et quelques opérations de copie de SIM qui doit faire bien plaisir au détectives privés.Mais au final, ce n'est rien a coté de l'application facebook sur android, par exemple, qui elle, a non seulement accès aux données sur le téléphone, mais peut aussi faire des captures audio/vidéo à l'insu de l'utilisateur!

Écrit par : DiarOne 17 Jun 2019, 13:27

La crainte est légitime.
Cet outils en plus de tout ce qui a déjà été dit, permettra - s'il est entre de mauvaise mains - de faire repartir à la hausse le vol d'iPhone.
Puisque si nous pouvons récupérer les données, nous pouvons aussi récupérer les codes et mot de passe iCloud de l'appareil volé...

Alors que depuis qlqs temps nous étions "un peu plus tranquille" vis à vis du vol
.

Écrit par : chammer 17 Jun 2019, 13:38

Voila qui est parfaitement résumé, merci.

Apple ne "nous bassine pas" avec la sécurité, elle communique qu'elle fait de son mieux dans ce jeu "du chat et de la souris".
Il y avait d'ailleurs du boulot pour eux, plus que pour d'autres. "Ma voix sert de mot de passe", vous vous souvenez ? lol
C'est fini la micro-informatique insouciante offline !

Cellebrite a réussi son coup médiatique.
Qu'une société proposant ce genre de services soit obligée de faire le buzz, ça ne vous intrigue pas ?

En tout cas, tant mieux pour nous.
S'il y a effectivement une faille zero day, Apple va pouvoir et devoir réagir.

Écrit par : chammer 17 Jun 2019, 14:38

La protection du SSD Apple est logicielle et matérielle.
Ce niveau de sécurité est inutile pour la plupart d'entre nous, mais est possible.

Ce stockage sécurisé intégré est aussi effectivement vendu trop cher.
Il faut le réserver au système et données critiques.

Sinon un Mac T2 n'est pas fermé sur l'extérieur quand on baisse la sécurité, bien au contraire.
Ça démarre vraiment depuis tout et n'importe quoi. Mais évidemment sans jamais d'accès au SSD interne.

Il me manque surtout, comme beaucoup ici, une sorte de Macmini "Pro", un boitier plus haut ou additionnel pour bidouiller cartes vidéo et disques.
La solution serait assurément plus sûre et fiable qu'un hackintosh.

Écrit par : No6 17 Jun 2019, 14:52

Ben ou est le probleme ? je ne vois rien d'illégal à se faire de la pub sur un tel sujet ..

et si la question est sur la légalité de casser le cryptage Apple qui est demandé par un juge, je me demande plutôt si ce l'illégalité ne serait pas plutôt du coté d'Apple.

En fait il n'y a aucune loi qui interdise à Apple de crypter ses iPhone, et il n'y a aucune loi qui interdise aux pouvoirs publics d'essayer de les décrypter.

Les états ne renonceront jamais à cette prérogative, ceux qui s'imaginent le contraire sont de gros utopistes

Écrit par : Lionel 17 Jun 2019, 14:54

Ce niveau de sécurité est totalement inutile pour 99% des utilisateurs. Pire, il rend les données inaccessibles en cas de moindre problème sur la carte logique.
C'est toute l'hérésie de ce niveau de sécurité, il oblige à toujours avoir une sauvegarde sur un support non sécurisé à côté.

Écrit par : linus 17 Jun 2019, 14:56

Cellebrite y gagnera au moins un client ... Apple ! Donc faire le buz est utile http://forum.macbidouille.com/style_images/skinmb/folder_post_icons/icon6.gif

Écrit par : chammer 17 Jun 2019, 15:43

Je l'ai écrit comme toi.
Et même que ce n'est pas éco-responsable d'avoir un indice de réparabilité de 1/10 parce que tout est collé et soudé.

L'authenticité (et donc la sécurité) des pièces, le risque terroriste (!) et la diffusion des hacks sont à des niveaux qui imposent cette décision.
Pour la sauvegarde, la décision de scinder le SSD en 5 volumes en ajoutant les rôles DATA et SYSTEM et l'APFS Volume Replication with ASR annoncent la suite.

Écrit par : malloc 17 Jun 2019, 16:04

Une fois n'est pas coutume, je vais voir le verre à moitié plein.
Je trouve que c'est une très bonne nouvelle que la liberté individuelle et le secret des conversations soit encore mis en avant comme des valeurs à défendre (sans préjuger de la différence entre les paroles et les actes, ce n'est pas le propos de mon intervention).
Quand on voit le peu de réaction qu'ont eu provoqué, dans l'Hexagone, les successives lois visant à rogner méthodiquement le secret des correspondances (rappel: aujourd'hui les sites que vous visitez et les destinataires de vos conversations SONT surveillés), je trouve qu'il est salutaire de voir que ce n'est pas encore le cas partout.

Quand on voit, en Asie du sud-est, le combat des citoyens pour avoir un peu de liberté de parole et de secret des communications, et l'indifférence que le sujet suscite chez nous, la position de Tim Cook mérite d'être saluée. Et j'espère que l'ensemble de la Silicon Valley va plutôt suivre ce discours que celui de Zuckerberg qui est franchement liberticide dans l'âme (sans parler de Google dont le silence est assourdissant).

Écrit par : Lionel 17 Jun 2019, 16:06

Le risque terroriste a bon dos. Je suis certains qu'ils ont tous des MacBook Pro pour se couvrir en cas de capture.

Écrit par : otto87 17 Jun 2019, 16:37

Dans le cas particulier des derniers attentats, on est typiquement dans des fratries de terroristes... même pas besoin de moyen de communication numérique... C'est ce qui rend compliqué leur détection...

Écrit par : iAPX 17 Jun 2019, 16:37

La soudure n'augmente pas la sécurité contre les acteurs gouvernementaux: seul un mot-de-passe fort peut le faire réellement, si tant est que l'implémentation soit correcte (FileVault 2 semble correctement implémenté tout du moins tel que présenté).

Je ne vois pas ce que le risque terroriste vient faire là-dedans, et pour les acteurs de niveaux gouvernementaux (au moins certains), la messe est dite depuis longtemps coté sécurité de la vie privée: il n'y en a absolument aucune.

Écrit par : chammer 17 Jun 2019, 17:11

Sur le plan matériel, la menace de bombes intégrées à des appareils Apple avait circulé.
On ne reverra pas de MacBook dont on peut remplacer la batterie pendant un vol d'avion.

Sur le plan logiciel, ce n'est que mon avis, mais je trouve que le cryptage APFS a été imposé très rapidement partout chez Apple.
Pas impossible qu'une clé pour la NSA existe. Un cadenas TSA numérique serait presque logique.
Mais ça n'interdit pas de recrypter avec ce que l'on veut au-dessus

Écrit par : shawn le messie 17 Jun 2019, 18:45

On ne crypte pas on chiffre et déchiffre.
En revanche on décrypte quand la convention de chiffrement est inconnue.

Écrit par : SartMatt 17 Jun 2019, 19:06

Quel est le rapport ? Le fait de pouvoir changer la batterie en cours de vol ne change strictement rien aux possibilités d'intégration de bombe dans l'appareil.

Parce que les mecs assez doués pour remplacer une partie de la batterie par de l'explosif, c'est pas une batterie collée et sous une trappe à vis qui va les bloquer hein...

La raison pour laquelle les MB et bon nombre de PC portables n'ont pas de batterie amovible n'a strictement rien à voir avec la sécurité aérienne, c'est uniquement pour améliorer l'autonomie à encombrement égal : une batterie non amovible permet de réduire l'enveloppe de protection de la batterie (donc à volume égal, d'augmenter la partie "active" de la batterie) et de faire des formes de batteries plus travaillées pour maximiser l'occupation de l'espace.

Pour la sécurité aérienne, je me demande même s'il ne faudrait pas au contraire carrément imposer les appareils à batterie inamovible et faire voyager systématiquement les batteries en soute dans des containers renforcés et ignifuges, avec des prises électriques à bord pour pouvoir utiliser les appareils sans batterie (idéalement, avec une généralisation de l'USB-C pour l'alimentation, ce qui permettrait de n'emmener qu'un câble, sans adaptateur ni transformateur)...

On peut aussi crypter, mais on est alors bien emmerdé quand on veut déchiffrer

Écrit par : iAPX 17 Jun 2019, 19:24

Là on rentre dans les hypothèses, qui ne peuvent être ni confirmées ni infirmées.

Pour ma part je crois que la NSA, pour parler du loup, n'a pas envie de devoir déplacer un techos pour prendre possession d'un ordinateur.
Et donc ils rentrent dedans à distance et pour cela j'ai vu de nombreuses Apps douteuses, dont iTunes sur Mac, et il est amusant de rapporter d'expérience que le firewall intégré à macOS est contournable à distance (il n'arrête que les menaces classiques, pas eux, il a été conçu pour ça)...
Ennuyeux pour ne pas dire plus car là tout le chiffrement du monde ne sert plus à rien!

Le coté sympa est qu'ils sont les meilleurs au monde IMHO et qu'il n'y a rien à voir dans un usage même avancé, donc ça gêne pas le travail, ce qui n'est pas le cas de certaines agences Canadiennes ou Françaises qui sont médiocres

Écrit par : chammer 17 Jun 2019, 20:10

Oui, tout à fait. Merci pour la correction.

Ce chiffrage au niveau du système de fichiers a été imposé très vite, dès la première version d'APFS.
C'était normal que cela soit sur la feuille de route.
Mais ce n'était pas forcément le plus urgent et j'ai trouvé cela étonnant.

Écrit par : downanotch 17 Jun 2019, 20:27

APFS n'impose pas de chiffrer le disque.

Écrit par : martremblay 17 Jun 2019, 20:41

Pour la énième fois également : Il y a des gogos qui achètent ! Donc…

Écrit par : Daniel31 17 Jun 2019, 20:44

oui... avec... ou pas !! Tout dépend du pays (et l'indépendance de la justice est souvent très relative), et du contexte !

Ce qui me surprend le plus, c'est que Cellebrite (et d'autres boites) fassent autant de publicité...
Pour avoir un peu côtoyé ce milieu là (en France)... avant (il y a une 10ene d'année) on évitait au maximum la publicité, les services de renseignement savaient ce que les boites proposaient, y compris dans les autres pays, sans twitter ni communiqué de presse....
Par bouche à grandes oreilles, si je puis dire.
Les entreprises, comme les clients, appréciaient l'ombre et la discrétion.

Ce changement me semble significatif - et pose question.. les services gouvernementaux n'ont pas besoin de publicité pour connaitre les principaux acteurs du marché, alors, la publicité c'est pour vendre à qui ?
ou est-ce pour (tenter de) contrôler la com plutôt que de la subir (cf. Amesys par exemple) ?

Écrit par : iAPX 17 Jun 2019, 21:06

+100

Écrit par : chammer 17 Jun 2019, 21:40

C'est plus compliqué qu'en apparence.
Une demande de chiffrage Filevault sous APFS est instantanée.

Écrit par : shawn le messie 17 Jun 2019, 21:44

Je comprends la blague, mas crypter n'a pas lieu d'être, c'est un non sens.
On retrouve cette erreur bien trop souvent, même sur des sites spécialisés.

Quant à Cellebrite et UFED, c'est pratique, mais je préfère Axiom qui propose le root en fonction du chipset.

Pour mettre fin au mythe, pas besoin de mandat d'un juge... une réquisition de l'enquêteur à l'analyste/ICC qui fera le job.
Un juge d'instruction peut requérir un expert, mais c'est une réquisition.

Ne pas calquer le système judiciaire français sur l'US, rien à voir.

Écrit par : iSpeed 17 Jun 2019, 21:54

Quand on voit qu'ils sont capables d'écouter les conversations tél de Merkel et d'autres... Même débrancher du réseau internet ils sont capables de lire à distance votre ordinateur par le réseau électrique. Parler sécurité ça ne sert à rien
Si vous voulez vous protéger utiliser les pigeons voyageurs et encore ils doivent avoir des drones intercepteurs
Et pour le cryptage eux ils ont des ordi quantiques qui déchriffent en 2 minutes

Écrit par : iAPX 17 Jun 2019, 22:00

+1

On va éviter les ordinateurs quantiques, qui ne sont pas encore là vraiment (et le premier fabricant est Canadien et je suis en contact avec leur VP des ventes), car les cypher qui y sont résistants existent déjà

Écrit par : shawn le messie 17 Jun 2019, 22:02

Ou bien lisent ils les conversations en clair... en ayant accès aux clés publiques et privés qui chiffrent de bout en bout.

Ce n'est pas pour rien qu'il est demandé dans certains pays d'abaisser la longueur des clés de chiffrement. ou d'interdire des protocoles de chiffrement pour l'instant inviolés, ça prends du temps de DECRYPTER.

Écrit par : skarel 17 Jun 2019, 22:57

Pourquoi ?

Perso les sauvegardes des données de mon SSD interne (APFS+Filevault) sont effectuées sur des disques durs HFS+ chiffrés. Ça m'évite justement d'avoir des versions non sécurisées de mes données qui pourraient se balader dans la nature, en cas de vol de mon ordinateur ou bien de mes affaires personnelles.

À moins que le chiffrage HFS+ soit facilement contournable par tout un chacun ?

Écrit par : Oncle Sophocle 17 Jun 2019, 23:11

Il est exact que la justice US, sous le haut patronage du DOJ, ne connaît pas de frontières — cf l'affaire Alstom, dont un ex-cadre dirigeant a été incarcéré 18 mois aux USA pour une supposée affaire de corruption.

Écrit par : otto87 17 Jun 2019, 23:52

Par tout un chacun non. Par contre pour des services, des entreprises comme les gafa avec des équipes de recherche avec des moyens qui ont des puissances de 10 fois supérieurs à ceux des chercheurs solos ou presque, qui arrivent pourtant à trouver des failles 0 days, c'est beaucoup plus facile à contourner, et ça tombe bien, en plus ce genre d’entités ont un accès privilégié au big data vu que c'est leur fond de commerce et leur but!
S'imaginer que toi tout seul avec ton mac, ton PC, ai la moindre chance de résister à une telle puissance est justement ce qu'ils attendent de toi. L'orgueil intrinsèque de l'être humain est sans doute le meilleurs outils de ceux qui veulent tout contrôler, additionné au fameux "je n'ai rien à cacher!" des candides qui n'ont pas la moindre idée de la valeur de la moindre information!

Écrit par : iAPX 18 Jun 2019, 00:15

Il y a eu la "bug" made-in-california quand Apple a mis les mots-de-passe de chiffrement dans le "hint" à la place de celui-ci (https://nakedsecurity.sophos.com/2017/10/05/urgent-update-your-mac-again-right-now/)...

Peut-être que le mot-de-passe de déchiffrage arrive effectivement tel-que, ou même simplement chiffré (plus probable), ailleurs que là où il devrait être. Mon hypothèse.
De toute façon la NSA a dépensé des milliards pour avoir ces accès, et ça n'est pas une hypothèse, c'est une ligne de budget (oui des milliards pour la NSA sur la durée est juste une ligne de budget).

De toute façon, pour une certaine agence, peu importe que l'on chiffre, ils ont des accès totalement ouverts quand les ordinateurs sont utilisés (et donc le déchiffrement effectué par celui-ci).
On ne peut pas se protéger d'eux, sauf à avoir de véritables air-gap bien conçus. Ce qui est tout sauf aisé.

Écrit par : zero 18 Jun 2019, 03:47

La sécurité est relative et plus qu'on ne le pense. Par exemple : Pour les sociétés, c'est préserver leur business. Pour les gouvernements, c'est variable mais, pour beaucoup c'est pourvoir tracer un maximum de gens. Pour les individus, c'est protéger son compte en bank, sa vie personnel ou/et sa famille.

Écrit par : downanotch 18 Jun 2019, 07:30

Le chiffrage se fait en tâche de fond (comme c'était déjà le cas avec HFS+ / CoreStorage) mais il n'est pas instantané. C'est uniquement si la puce T2 est présente que le chiffrage FileVault est instantané car le volume est chiffré dès sa création, avec une clé générée par la puce T2 et protégée par l'UID hardware de la Secure Enclave. Dans ce cas, l'activation de FileVault consiste juste à remplacer la protection de la clé par une combinaison de l'UID hardware et du mot de passe utilisateur, ce qui est instantané.

Il y a une très bonne raison pour chiffrer le disque même si l'utilisateur n'utilise pas FileVault : la demande d'effacement à distance via iCloud en cas de perte ou de vol peut alors s'exécuter instantanément, il suffit de détruire les clés. Si le disque n'est pas chiffré, il faudrait effectivement effacer le disque ce qui prend du temps.

Écrit par : johnstone 18 Jun 2019, 07:31

Surprenant! Qui est-il?

Écrit par : vlady 18 Jun 2019, 10:01

Les pauvres mouches !

https://www.larousse.fr/dictionnaires/francais/crypter/20845?q=crypter#20725

Écrit par : Webtourist 18 Jun 2019, 11:00

Il doit certainement faire allusion à "D-Wave Systems"

Néanmoins il ne s'agit pas encore d'un ordinateur au sens "calculateur général", on n'y est pas encore.

Écrit par : SartMatt 18 Jun 2019, 11:27

Et si on clique sur "cryptage" dans la définition, il est bien précisé que l'emploi de ce terme pour parler du chiffrement informatique est abusif.

Écrit par : downanotch 18 Jun 2019, 11:39

Écrit par : SartMatt 18 Jun 2019, 11:50

http://www.academie-francaise.fr/crypter

Écrit par : iAPX 18 Jun 2019, 11:53

Ouhla le petit Robert se mélange les pinceaux, car il y a bien deux opérations de chiffrement et déchiffrement, dans les deux cas possédant la clé pour effectuer l'opération (qui n'est pas nécessairement la même, cf. chiffrement asymétrique).
En revanche le décryptage est l'action de retrouver le message en clair sans connaître la clé, qui n'a évidemment aucune opération réciproque: chiffrer un message sans avoir la clé de chiffrement.

Nota bene: comme les cryptographes le savent bien, on peut utiliser du chiffrement sans nécessairement "sécuriser des données", désolé petit Roro, par exemple ça permet de prouver qu'on est en possession de la clé privée correspondant à une clé publique (authentification)

Le petit Roro est bon en littérature et en Français, mais visiblement l'informatique et plus encore la cryptographie, c'est pas son fort.

Écrit par : downanotch 18 Jun 2019, 12:08

L'Académie est toujours un peu à la traîne… mais elle indique tout de même que le mot crypter est loin d'être une hérésie et que son emploi n'a rien de scandaleux. Le Petit Robert, lui, sanctionne un usage déjà répandu.


Il fait bien la distinction entre déchiffrer et décrypter, mais là aussi l'usage va sans doute faire disparaître la différence. Hors de l'usage informatique, on peut trouver le sens inverse à ces deux mots : on déchiffre un mot sur une vieille enseigne rouillée, et on décrypte un texte en utilisant des clés de lectures.

Écrit par : iAPX 18 Jun 2019, 12:13

Ben non, le petit Roro qui a mal suivi ses cours indique que le contraire de cryptage est décryptage, ce qui pour le coup est ridicule!

Autant on peut utiliser familièrement cryptage pour parler de chiffrement, autant l'opération inverse ne peut être le décryptage mais uniquement le déchiffrement.

Encore une autre faute du petit Roro, ça en fait beaucoup en si peu, non?!?

Écrit par : SartMatt 18 Jun 2019, 12:20

Mais là, on est sur un forum lié au monde de l'informatique. Donc le minimum serait d'utiliser les bons termes.

Écrit par : wagner2002 18 Jun 2019, 12:25

Cellebrite = Mossad .

Écrit par : iAPX 18 Jun 2019, 12:26

Et pour revenir sur le petit Roro et "INFORM. Opération qui consiste à sécuriser l’accès à des données", le chiffrement permet grosso-merdo 3 grandes classes de choses:

• Sécuriser de l'information (bravo Roro, 1/3!)
• Authentifier par preuve de la connaissance de la clé privée (chiffrement par celle-ci d'un message créé par le vérificateur qui possède la clé publique de déchiffrement)
• Prouver que l'on connait l'information, dans ce cadre il n'y a pas déchiffrement mais chiffrement asymétrique du message par le vérificateur pour authentification par comparaison des formes chiffrées (à ne pas confondre avec du hachage bien que proche dans l'usage). Contrairement au Hachage, cela permet d'avoir une porte dérobée via l'accès à la clé de déchiffrement.

Je pense que les dictionnaires devraient faire plus attention quand ils utilisent des termes techniques, et s'associer des spécialistes.

Écrit par : chammer 18 Jun 2019, 12:40

J'ai retrouvé ce passage concernant le chiffrage APFS/T2 (j'aurais du écrire encrypted APFS, mais du coup j'ai appris des choses en français

"Because the UID is unique to each device and is generated wholly within the Secure Enclave rather than in a manufacturing system outside of the device, 
 the UID key isn’t available for access or storage by Apple or any Apple suppliers."

J'aurais préféré qu'il soit clairement écrit "par personne".

Écrit par : johnstone 18 Jun 2019, 15:17

Ok, je vois, donc on est toujours dans la simulation et dans le développement de soft sur simulateurs.

Écrit par : No6 18 Jun 2019, 15:46

+1

"Dire ou ne pas dire", selon l'académie Française, qui classe allégrement le mot Crypter dans les Néologismes & Anglicismes , comme quoi, il ne sont pas à une crétinerie de plus ou de moins.

Pour info, on à le droit d'utiliser le mot Crypter, parce que le langage est une chose vivante et qu'aucune loi ne peut interdire l'emploi d'un terme par le plus grand nombre (ce qui d'ailleurs correspond à la ligne éditoriale du Petit Robert).

Quand à croire que le mot crypter est un Anglicisme c'est de la foutaise, ce mot à été inventé par Ampere, et c'est un mot 100% Français,
Les Anglais n'ont pas inventé ce mot, il nous l'on piqué parce qu'au moins dans cette langue [comme dans la majorité des langues sur la planète], on ne s'amuse pas à inventer des mots juste pour qu'il puissent "sonner" British.

Écrit par : No6 18 Jun 2019, 16:02

Nan , il ne s'agit pas d'un ordinateur au sens classique du terme, c'est une "machine" quantique avec des fonctionnalitées qui lui sont propres

Écrit par : SartMatt 18 Jun 2019, 16:48

Donc mail, c'est aussi un mot 100% français pour toi ?

Parce que c'est la même chose hein...

On a un mot français utilisé à la base dans un contexte (la chimie pour crypter, la malle postale pour le courrier). Arrivé chez les anglais, ce terme ou ses variation ont été utilisées pour un autre usage (to encrypt en anglais pour chiffrer, mail en anglais pour désigner le courrier, contenu de la malle postale).

Et c'est le fait de réutiliser en français le terme anglais pour cet usage "détourné" qui constitue l'anglicisme.

Plus généralement, c'est comme pour tous les emploi incorrect de faux-amis. Ce sont des anglicismes (et encrypt/decrypt peuvent bien être considéré comme des faux amis).
C'est comme dire "je supporte tel ou tel sportif". C'est un anglicisme, même si "supporter" est bien un verbe français : il n'a pas du tout ce sens en français.
Idem quand on parle de "librairie" en informatique en français, c'est un anglicisme, le bon terme est bibliothèque (qui se dit justement library en anglais).

Écrit par : No6 18 Jun 2019, 18:45

Ben non, désolé, mais ce que tu avances est faux (pour une fois); ce n'est pas du tout la même chose.

André-Marie Ampère à forgé ce mot pour justement parler de cryptologie, sans le cantonner à la seule chimie, il utilise aussi ce mot en astronomie, en mathématiques, ....
Il fait partie d'une somme de mots créés pour son " Essai sur la philosophie des sciences" paru en 1834
http://littre.reverso.net/dictionnaire-francais/definition/Cryptologique

de toutes façons, je ne vois pas ce que cela peut changer, le mot cryptologie et ses dérivés sont entrés dans le langage courant, il n'y a plus que quelques grincheux pour vouloir donner des "leçons" aux autres

Écrit par : ziggyspider 18 Jun 2019, 19:15

FUCK U Celebrity ! …

Écrit par : SartMatt 18 Jun 2019, 19:30

Mais il ne me semble pas qu'il l'ait utilisé pour parler de chiffrement. Et on voit bien dans cette définition originelle de cryptologie que ça ne peut s'appliquer au chiffrement : "Qui renferme la recherche des effets produits par des causes cachées."

Quand on chiffre, il n'y a RIEN de caché. On connait l'algorithme et la clé, on les applique aux données pour obtenir les données chiffrées.

C'est bien pour ça qu'on peut par contre utiliser "décrypter" dans le cas où on cherche à retrouver les données en clair sans connaître la clé. Car là, pour celui qui cherche à décrypter, les données sur lesquelles il travaille sont bien le produit de causes cachées.

C'est pas qu'une question de ronchonnage. C'est aussi une question d'appauvrissement de la langue.

On a aujourd'hui deux mots distincts pour désigner le déchiffrement et le décryptage. Si on se met à parler de cryptage au lieu de chiffrement, c'est à terme la distinction entre déchiffrement et décryptage qui va disparaitre. Et c'est fort dommage, car ce n'est vraiment pas du tout la même chose.

Écrit par : vlady 18 Jun 2019, 19:53

C'était quoi déjà le topic ?
(Crotte, j'ai encore dérapé )

Écrit par : chammer 18 Jun 2019, 19:59

Moi je ne communique que par stéganographie, sous-entendus et informations implicites, comme ça chacun comprend ce qu'il veut et je n'ai jamais de problème

Écrit par : No6 18 Jun 2019, 21:04

On utilise aussi le mot chiffrement en comptabilité, et cela n'a rien à voir avec la cryptologie, car ce n'est vraiment pas du tout la même chose.

Écrit par : SartMatt 18 Jun 2019, 22:26

Sauf qu'on change complètement de secteur... Il y a donc peu de chances de confusion, car le contexte indiquera si on parle de chiffrement au sens comptable ou au sens sécurité des données.

Par contre, si je dis "la NSA peut déchiffrer un fichier chiffré avec tel logiciel", ça n'a pas du tout la même signification que si je dis "la NSA peut décrypter un fichier chiffré avec ce logiciel". Et là si on se met à mélanger les deux termes, aucune information de contexte ne pourra apporter la précision qui manque... Donc en mélangeant décryptage et déchiffrement, on perd du sens et la langue s'appauvrit (comme en anglais, où il n'y a pas deux termes pour distinguer les deux cas...). Et c'est exactement ce qui arrivera si on persiste à considérer chiffrer et crypter comme des synonymes. On va finir comme les Schtroumpfs

Écrit par : No6 19 Jun 2019, 03:37

Ben encore non, on peut très bien avoir des données chiffrées (genre devis ou compta) qu'il faut ensuite crypter avant de les transmettre pour préserver la confidentialité...

Et n’espère pas me convaincre, je continuerai à utiliser uniquement le mot crypter, et à être critique vis à vis de ceux qui veulent interdire d'utiliser ce vocable.

Écrit par : zero 19 Jun 2019, 04:11

Dire qu'il y a encore des défenseurs de cette règle dépassée depuis longtemps.

Écrit par : coverband 19 Jun 2019, 07:15

Lire ce que j'ai lu sur ce fil me déprime au plus haut point quant aux droits que s'accordent certains sur la vie privée des gens.
Ce qui par extension me fait dire une fois de plus que le temps ou des mégalomanes parmi rois et empereurs s'accordaient tous les droits, il en va exactement de même de nos jours et que rien n'a changé ou presque.
Les gens de pouvoir ont manifestement pour la plupart un gros souci de déficience mentale et sont comparables à des déviants sur le plan des stupéfiants ou toute autre personne addict à une forme de plaisir, quel que soit sa nature car le plaisir n'est pas que d'ordre sexuel, et où ce plaisir prime sur tout le reste.
Mais quel monde de tarés

Écrit par : zebigbug 19 Jun 2019, 07:50

Il n'y a pas trop de souci a se faire, pour plusieurs raisons :


1 il faut un accès au portable
2 il faut le jailbreaker ou le rooter
3 un téléphone rooté ou jailbreaker , peut se voir ... ( tiens , je peux installer cette appli , maintenant ?)


Hacker un téléphone à distance n'est pas possible à ma connaissance , sauf quand la personne est sur un réseau wifi public et si on accède à icloud..

Écrit par : coverband 19 Jun 2019, 09:43

Je te remercie infiniment de tenter de me rassurer mais, si tu lis bien tout ce qui est dit sur ce fil ainsi que sur tous les autres fils de MB et ailleurs et où il est question de ce genre de choses et bien, il me semble que l on est hélas tres loin de ce que tu dis.
Les révélations de Snowden en sont le premier exemple.
Je te souhaite malgré tout une bonne journée.

Écrit par : shawn le messie 19 Jun 2019, 12:10

Les avocats, les magistrats par exemple qui sont formés en "cyber" et pour qui les mots ont un sens.

On arrête les sujets techniques où tous les mots peuvent être remplacer par d'autres au risque d'en changer le sens alors.

Écrit par : zero 19 Jun 2019, 12:34

Tu peux dire ce que tu veux mais coder ou crypter sont bien plus parlants que chiffrer dans ce cas. Chiffrer évoque plutôt : donner un chiffre à quelque chose. (ex: Chiffrer des dépenses)

Écrit par : zebigbug 19 Jun 2019, 12:41

Attention , pour écouter un téléphone , il faut ... le N° de téléphone.

donc les états peuvent écouter les conversations orales.

Mais ils ne peuvent pas écouter les transmissions cryptées.

La seule méthode d'écouter les conversations cryptées , c'est accéder au téléphone.

Après , si tu n'as rien à te reprocher , tu n'as rien à craindre.
Les écoutes ont un but , protéger la nation , ou ses intérêts.
La justice pour faire des enquêtes.

Après , c'est du fantasme, certains hurlent en disant que la sécurité se fait au détriment de la liberté.
Franchement, supposons que tu a une tripe vie , tu as une maîtresse , un amant , et une femme . Es tu si important que les russes ou les services de renseignements espionnent ta vie ?
Par contre google , cela l'intéresse pour te vendre des préservatifs

Écrit par : malloc 19 Jun 2019, 13:09

@zebigbug, c’est beau de prêcher la transparence totale.

Tu peux nous donner, ici, accès à ta machine et tous tes documents perso?
Je suis sûr que tu n’as rien à te reprocher, donc rien à craindre. Tu ne vas donc pas hurler que ce serait une atteinte à ta liberté, bien sûr!

Écrit par : Daniel31 19 Jun 2019, 13:32

sauf si le chiffrement est volontairement limité (par ex taille de clef), ou si l'implémentation contient des failles, ou des backdoors... bref en chiffrement grand public : beaucoup de données.

Et quand bien même... les metadatas (qui appelle qui, qui envoie quelque chose à qui, bref des infos par nature non-chiffrées) sont généralement porteuse de beaucoup d'information, et permettent déjà énormément de choses.
A titre d'exemple, le "téléphone rouge", telex chiffré qui reliait Moscou et Washington, transmettait des données en permanences, car le seul fait qu'il y ait ou non de l'activité aurait été porteur d'énormément d'informations.


dans "vie privée" il y a "privée".
Cet argument est des plus dangereux ; il jusitifie le KGB (puisque si tu es un bon communiste, tu n'as rien à craindre) et tous les régimes totalitaires

Et puis je ne pense pas que tu serais très content si ta feuille de paie était affichée à l'entrée de ton bureau, ta déclaration d'impots dans ta cage d'escalier, tes photos de toi en fin de soirée dans la rue.... non ?


Oui... et non... c'est systématiquement l'argument avancé par les états. (et là encore, c'était le même argument en URSS qui justifiait les écoutes massives du KGB : protéger les interêts de l'état).
Il n'y a pas, pour autant que je sache, d'études sur l'efficacité des écoutes dans la lutte contre le terrorisme par exemple.


Potentiellement oui. Là encore l'exemple (récent !) de l'URSS, celui (actuel) de la Chine devrait éclairer un peu : quasiment tout le monde était/est surveillé.
On s'oriente nous aussi (officiellement : uniquement pour l'export, pas de ça dans nos démocratie) vers une surveillance massive : il s'agit de TOUT enregistrer et de trier ensuite, a posteriori. Suivant les interêt du moment. ...

Écrit par : malloc 19 Jun 2019, 14:40

+1

D'autant que l'argument "si tu n'as rien à te reprocher, tu n'as rien à craindre", en plus d'être fallacieux, est faux.
Il faudrait écrire "si les gens qui t'écoutent n'ont rien à te reprocher, tu n'as rien à craindre".

Et la petite différence change tout...

Écrit par : coverband 19 Jun 2019, 15:56

@ zebigbug

En fait je ne suis absolument pas sur qu'il faille le numéro dans la mesure où tout transite par les airs.
Snowden à bel et bien révélé que toutes les communications mondiales étaient interceptées par la NSA et surtout ceux qui leur ont dit de faire ça.
Et il est évident que le gouvernement de ce pays fait de même.

Après l'argument de défense nationale n'est que la couleuvre que l'on fait avaler au lamda qui n'a pas le temps et/ou l'envie de vérifier les informations qui lui sont soumises.
C'est un argument auquel je ne crois absolument pas et il faut être sacrément naif pour le croire - Et je précise que la naïveté n'est pas forcément une tare contrairement à ce que certains pourraient (éventuellement) me faire dire.

On se dirige à grande vitesse vers la fiction d'Orwell et très certainement en pire si on les laisse faire au nom de leur secret défense ou leur croissance économique qui si elle continue dans ce sens, ne sera en réalité qu'un véritable suicide collectif (façon "la grande bouffe" de Ferreri) et où tous diront lorsqu'il n'y aura plus de matières premières "ah oui si on avait su - désolé" - Un acte manqué dirait un psy.
Si on y réfléchit 10 secondes l'économie mondiale pour son énorme majorité n'est là QUE pour les seuls et uniques plaisirs que l'humanité s'octroie bien égoïstement au détriment de tout ce qui est beau et vivant sur cette pauvre planète. Et quelle jouissance que d'être égoïste !

Je n'ai rien contre le fait de vouloir jouir mais très certainement pas comme ça car la jouissance convoitée va systématiquement passer par une forme de consommation, ne serait-ce que pour se déplacer d'un endroit vers un autre donc : pollution - Et il y aurait de quoi remplir une encyclopédie si l'on devait recenser tous les plaisirs des humains aussi (soit disant) insignifiants puissent-ils être au premier abord.
Je pense sincèrement que si la majorité des gens se posaient la question "mais pourquoi ai-je autant besoin de jouir à ce point et pourquoi est-ce que je mets tout en œuvre(***) pour y arriver" ?, nous ferions un grand pas vers une économie autrement plus raisonnable qu'actuellement - et avec des gens autrement plus saints de surcroit.
(***) et bien souvent avec une intelligence remarquable au passage.


Il faut absolument arrêter le système de représentants du peuple et éduquer ce dernier en conséquence au moins dès le primaire afin qu'il soit à même de discuter politique et de se prendre en charge une fois adulte.
Car actuellement tout est fait dans l'éducation nationale depuis mitterrand pour que nos enfants ne soient que des "adulescents" comme dirait Frédéric Gobert et en aucun cas des gens avec une tète bien faite comme disait Rablais.
Il ne faut surtout pas de gens responsables car si c'était le cas, la politique (géopolitique et économique) telle qu'elle est pratiquée par les principaux ténors actuels n'aurait résolument plus lieu d'exister.

Castoriadis à bien dit que la politique n'est pas une science qui serait uniquement l'affaire de spécialistes, n'en déplaise aux crétins de sciences po.

Écrit par : shawn le messie 19 Jun 2019, 18:07

Tu peux dire ce que tu veux mais chiffrer pour rendre incompréhensible un message, peu importe sa nature, peu importe la clé ou la méthode, c'est correct d'un point de vue scientifique. Crypter ne l'est ni sur le plan du langage ni sur un plan scientifique.

Pas grave, j'abandonne, se comprendre est le principal. Dommage de tirer vers le bas des articles qui se veulent au minimum technique.

Écrit par : SartMatt 19 Jun 2019, 22:21

Tout a fait. Le message à chiffrer est d'abord encodé en une suite de nombres (ce qui est la base de tout stockage informatique d'un message), sur lesquels l'algorithme de chiffrement applique différentes opérations mathématiques mathématiques plus ou moins complexes (ici se fait la différence entre chiffrement et codage, le codage ne faisant que des substitutions) et en intégrant à ces calculs une clé, qui est, elle aussi un nombre. Et le résultat du chiffrement est un nombre, sur lequel il faut à nouveau appliquer des traitements mathématiques avec une clé pour arriver à revenir à la suite de nombre initiale, qui une fois décodée redonnera le message original.

Crypter n'a aucun sens, puisque dans crypter il y a une notion d'inconnu. Alors qu'il n'y a strictement aucune inconnue dans l'opération de chiffrement.

Mais bon, au train où ça va, on ne fera bientôt même plus la différence entre hashage et chiffrement (même sur les sites "techno", il y a déjà un nombre impressionnant de gens qui ne la font pas, y compris parmi les journalistes spécialisé...), alors demander aux gens de comprendre la différence entre chiffrer et décrypter, c'est peut-être un peu trop exigeant...

Écrit par : zero 20 Jun 2019, 01:24

Chiffrer, c'est correct d'un point de vue scientifique ? On a pas forcément besoin de chiffres pour coder un message. Un alphabet ou des symboles spécifiques, une grammaire inventée, etc, tout est bon pour coder un message. La vérité est qu'il y a quelques années ont faisait tout pour que le français ne ressemble pas à l'anglais quitte à trouver des solutions super farfelues.


Bien si puisque c'est le but de crypter. La nature et/ou le sens du message doit devenir inconnue pour les autres ! Et puis, le sens d'un terme est très rarement déteminé par la méthode utilisée de la chose à nommer à ce je sache. Essaie d'en trouver d'ailleurs !

Écrit par : No6 20 Jun 2019, 02:08

ben voyons, les "gens" sont des c**, bravo pour le mépris

Écrit par : zebigbug 20 Jun 2019, 08:01

Non , il ne prends pas les gens pour des C ....
Les mots ont un sens et on les emploie souvent à tort et à travers.
Combien de personnes utilisent le mot choquer par exemple pour tout et n'importe quoi ...

alors que la définition selon larousse
Faire subir un traumatisme, un choc émotionnel à quelqu'un, traumatiser ; commotionner : L'opération l'avait choqué.
J'en déduit que la majorité de journalistes , des hommes politiques ont subit des traumatismes , et donc devrait s'arrêter.

En informatique , on le voit souvent combien de journalistes écrivent des âneries .
On ne parle plus de fond , mais de bréves qui par définition s'oublient vite.

Écrit par : downanotch 20 Jun 2019, 08:13

Le mot choquer a plusieurs sens, comme c'est souvent le cas en français. Le Larousse donne :

• Heurter quelque chose avec plus ou moins de violence : Choquer un meuble.
• Aller à l'encontre des principes moraux de quelqu'un, d'un groupe : Film qui risque de choquer un certain public.
• Déranger les habitudes de quelqu'un, ne pas correspondre à ses goûts en matière esthétique, musicale, etc. : Ses fautes d'orthographe me choquent.
• Faire subir un traumatisme, un choc émotionnel à quelqu'un, traumatiser ; commotionner : L'opération l'avait choqué.
• Donner du mou à un cordage, en le tenant à retour sur un point fixe.

Écrit par : Jack the best 24 Jun 2019, 10:25

C'est choquant ou au minimum mystérieux, cette explication !