Un logiciel qui met le Mac à nu !, Réactions à la news du 30-04-2007

[Martin.s]

En tout cas bravo a ceux qui vendent cette clef USB pour $500

oui il sont forts ... surtout que l'on peut arriver exactement au même résultat avec le DVD d'installation ... qui est lui fournit gratuitement

Comment un logiciel peut permettre de récupérer tous ces codes? En effet, dans le trousseau, j'ai besoin de rentrer mon mot de passe administrateur pour le dévérouiller? Il y aurait une faille majeur dans OsX? Cela est vraiment inquiétant ...

et meme TRES difficile a croire !

peut etre faudrait il prendre le temps de lire le topic ... nan ?

je reste zen ... et clic ...

et j'aurait lus quoi ?

(jai lus le topic, + la description du produit), et j'avait raison.

Ce qui m'etonne c'est que cela n'existait pas avant... Un exemple: légalement tout éditeur de logiciel de cryptage doit donner aux gouvernements le moyen de le casser...

oui, meme en france.

j'ai écrit Fileguard, la DGSE peut déchiffrer tout les fichiers de mes clients français (si j'en ai encore

[-eliot-]

Comment un logiciel peut permettre de récupérer tous ces codes? En effet, dans le trousseau, j'ai besoin de rentrer mon mot de passe administrateur pour le dévérouiller? Il y aurait une faille majeur dans OsX? Cela est vraiment inquiétant ...

et meme TRES difficile a croire !

et j'aurait lus quoi

je plussois cest tout ...
cette clef USB exploite la méconnaissance et/ou la faignantise de l'utilisateur ... ce n'est en aucun cas un faille de sécurité ...

je reste zen ... et clic ...

[ParanoX]

oui, meme en france.

j'ai écrit Fileguard, la DGSE peut déchiffrer tout les fichiers de mes clients français (si j'en ai encore

Sur le territoire français c'est la DST, la DGSE c'est le "contre espionage" (le 1er en défense interieur l'autre en contre attaque d'où que cela vienne dirigé contre les "interêts" de la France)

Ce message a été modifié par ParanoX - 30 Apr 2007, 15:42.

[Guest_ps1024_*]

j'ai écrit Fileguard, la DGSE peut déchiffrer tout les fichiers de mes clients français (si j'en ai encore

Ce qui signifie que vous le pouvez également, et que donc "on" pourrait toujours essayer de vous convaincre / contraindre à révéler le secret, ce qui rend la sécurité offerte par ce logiciel, fermé je suppose, quasi nulle.

La méthode employée serait-elle possible avec un logiciel ouvert ?

[SpacetitoX]

si tu fais tout ça à priori tu devrais être tranquille
mais tu seras bon pour racheter un Mac...

Je prefère racheté une machine 2500 euros plutot que 10000 euros d'amande ou plus.. Si jamais j'avais bien évidement quelque chose a cacher.


Un truc super marrant a faire, le branchement d'un port USB a l'envers entraine la destruction d'une clef USB...

Ce message a été modifié par SpacetitoX - 30 Apr 2007, 15:08.

[Martin.s]

oui, meme en france.

j'ai écrit Fileguard, la DGSE peut déchiffrer tout les fichiers de mes clients français (si j'en ai encore

Sur le territoire français c'est la DST, la DGSE c'est le "contre espionage" (le 1er en défense interieur l'autre en contre attaque d'où que cela vienne dirigé contre les "interêts" de la Freance)

je pense avoir visité un bureau de la DGSE, je peut me tromper.

le type travaillait directement pour le premier ministre.

ils considèrent que le cryptage est une arme de guerre, ou plutot une façon de dissimuler et d'importer une arme de guerre.

on avait 3 choix:

1 retirer le programme du marché
2 crypter la cléf de l'utilisateur avec leur cléf publique, et la rajouter au fichiers (seuls eux peuvent la décrypter)
3 continuer a vendre le programme tel quel, et avoir la visite d'un char d'assault chez notre importateur (le typé éxagérait, mais c'est ce qu'il a dit)

c'était extremement désagréable, j'ai refusé de changer le programme, on l'a retiré du marché pendant plus d'un an.

ensuite on l'a adapté, mais en limitant la modif a la version française.

[agon]

Heu... Il est où le problème?
Il faut un accès physique. Laissez-vous n'importe qui pénétrer chez vous pour s'installer devant votre ordi?
Aucun client ne s'est mis à ma place pour bosser sur mon ordi.
Les cas d'espionnage industriel sont-il si courants? Si oui, il défrayent moins la chronique que l'activité des peoples, apparement.
Personnellement j'assume la responsabilité de tout ce qui est sur mon ordi. Si quelqu'un arrive à voir son contenu, tant pis pour lui, je ne lui payerais pas le spy .

[Guest_ps1024_*]

2 crypter la cléf de l'utilisateur avec leur cléf publique, et la rajouter au fichiers (seuls eux peuvent la décrypter)

OK, donc une solution typiquement impossible à implémenter dans un logiciel ouvert.

[titou2c]

2 crypter la cléf de l'utilisateur avec leur cléf publique, et la rajouter au fichiers (seuls eux peuvent la décrypter)

OK, donc une solution typiquement impossible à implémenter dans un logiciel ouvert.

c'est pour cela que les logiciels ouverts sont vus d'un mauvais oeil par certains organismes qui veulent pouvoir accéder à tout ce qui serait crypté

[legone]

2 crypter la cléf de l'utilisateur avec leur cléf publique, et la rajouter au fichiers (seuls eux peuvent la décrypter)

OK, donc une solution typiquement impossible à implémenter dans un logiciel ouvert.

Dois je bien comprendre que tout logiciel de cryptage "légal" a une sécurité proche de 0 ???

[lionel2]

J'ai observé une fois dans KeyChain que plusieurs mots de passe d'amis ayant utilisé mon Mac avaient été stoqués... j'avoue maintenant ne pas trop savoir quoi faire sur la sélection de ces infos... j'ai un peu l'impression des fois d'être comme une personne âgée à noter mon numéro de carte bleue sur un bout de papier dans mon porte-feuilles...

[nykk]

Bonjour à tous,
Pour apporter ma contribution à ce sujet, je pose une question : le mot de passe utilisateur n'est pas stocké dans le trousseau, je pense ? En tout cas, je ne le vois pas dans le mien ; par contre, dans /etc/passwd, je vois quelque chose qui y ressemble... Donc, comme tout bon Unix, on ne peut pas récupérer le mot de passe utilisateur, à moins que je ne me trompe....

[iBluelight]

Source : Macquebec

Subrosasoft commercialise un logiciel qui risque de faire froid dans le dos à beaucoup de personnes.
MacLockPick, fourni sur une clé USB, permet à l'insertion de cette dernière de récupérer tous les mots de passe présents sur une machine, que ce soient ceux qui verrouillent un disque Filevault que tous les mots de passe utilisateur des applications, des comptes mail, des comptes utilisateurs...
Il va encore plus loin et fouille les historiques des navigateurs, de Quicktime... pour tout savoir sur l'utilisateur.
Ce logiciel qui coûte 499$ ne sera vendu qu'aux forces de l'ordre et autres personnes habilitées à des investigations.
Mais l'enfer étant pavé de bonnes intentions, il suffira qu'une seule des personnes l'ayant à sa disposition légalement ne joue à le balancer sur le réseau pour qu'il échappe à tout contrôle et ne tombe entre des mains malveillantes.
Souhaitons qu'Apple réagisse fermement à ce qui n'est pour le commun des mortels qu'une faille de sécurité majeure de son système.

Aie Aie Aie et ben en effet, si on me fait ça, j'ai plus rien !!!
C'et une bonne idée je touve mais pour la p'lice simplement...

[mobydivingdick]

A la lecture de ce topic, il me semble clair que l'aspect sous jacent "Big Brother is watching you" en gratte plus d'un, independemment du problème purement technologique.

Ce genre de débat est je crois sans fin car on cherche à concilier deux points de vues inconciliables :

- ceux pour qui la liberté d'expression est un droit sacré pour qui que ce soit, et qui partent donc implicitement du principe que chercher à faire du renseignement actif pour éviter un nouveau 11/09/01 ne justifie pas une entorse quelconque à ce fameux droit

- ceux pour qui la sécurité de la nation ( ou des nations ) est un imperatif sacré et qui partent donc implicitement du principe que faire du renseignement actif pour éviter un nouveau 11/09/01 justifie d'avoir une notion élastique du droit à la propriété privée, ou autre

Ce n'est pas un débat nouveau et on peut remplacer la sécurité de vos données sur vos disques durs et le 11/09/01 par des exemples dans chaque époque ou presque, ou prendre le traffic de drogue comme référent si le terrorisme international semble incongru.

C'est donc sur le fond une question de nuance : ou mets on le curseur ? Vaste débat philosophique et politique.

Personnellement, ayant vécu dans des sociétés ouvertes et démocratiques, je n'ai aucun problème avec la DGSE ou autre DST pouvant venir voir ce qu'il y a sur mon disque dur. J'ai confiance dans les institutions de mon pays. Et si ces gens là trouvent des MP3 ou autres contenus piratés, que pourrai je dire de vraiment valable ??

Maintenant, il est clair que si au lieu d'être français j'étais chinois ou russe ou cambodgien, j'aurai peut etre une autre vision de ce problème et de la confiance nécéssaire dans les insitutions de mon pays.

Et chacun aura une idée sur la position idéale du curseur... qui à mon sens variera dans le temps.

Pour finir on est quand meme un peu loin de l'univers Mac à proprement parler.

[titou2c]

2 crypter la cléf de l'utilisateur avec leur cléf publique, et la rajouter au fichiers (seuls eux peuvent la décrypter)

OK, donc une solution typiquement impossible à implémenter dans un logiciel ouvert.

Dois je bien comprendre que tout logiciel de cryptage "légal" a une sécurité proche de 0 ???

proche de 100% si tes données sont exposées au commun des mortels, proches de zéro en effet si ce n'est pas le commun des mortels qui cherche à les décrypter

[ParanoX]

je pense avoir visité un bureau de la DGSE, je peut me tromper.

c'etait certainement pas les bureaux de la DGSE ou alors que la "vitrine", mais si ton soft n'était pas vendu que sur le territoire FR c'etait certainement la DGSE (comme la CIA qui n'est pas censé agir sur le territoire)...
bref on passe il y en a qui vont encore nous dire qu'on s'imagine vivre des films de James Bond...

Maintenant, il est clair que si au lieu d'être français j'étais chinois ou russe ou cambodgien, j'aurai peut etre une autre vision de ce problème et de la confiance nécéssaire dans les insitutions de mon pays.

Sauf si t'es réfugié politique issu de ces pays "sensible" ou ayant un "faible quotient de libertés"

Ce message a été modifié par ParanoX - 30 Apr 2007, 15:52.

[Bajeminn]

Maintenant, il est clair que si au lieu d'être français j'étais chinois ou russe ou cambodgien, j'aurai peut etre une autre vision de ce problème et de la confiance nécéssaire dans les insitutions de mon pays.

Sauf si t'es réfugié politique issu de ces pays "sensible" ou ayant un "faible quotient de libertés"

C'est pas parce qu'on est français, belge ou suisse qu'on ne tient pas à ses libertés essentielles....

Pour ma part, je n'ai pas grand chose à caché, mais pourtant ça ne m'empèche pas de refuser que l'on fouille dans mes affaires...

Ce message a été modifié par eneas - 26 May 2007, 23:11.

[marc_os]

Et puis, c'est vraiment utile de programme? Il n'y a qu'à suivre les feuilletons à la télé pour voir qu'un ordinateur ne risque pas longtemps à nos limiers! A moins de planquer le disque dur.

Ah la référence !
Si c'est fait dans un feuilleton à la télé, alors....
Dis, on peut dire la même chose des films un peu plus grands que les feuilletons ?
Dis, on peut donc alors faire des voyages interplanétaires et coloniser des planètes ? Ils font ça dans les films, donc c'est possible !

Ce message a été modifié par marc_os - 30 Apr 2007, 16:06.

[legone]

proche de 100% si tes données sont exposées au commun des mortels, proches de zéro en effet si ce n'est pas le commun des mortels qui cherche à les décrypter

Si c'est le commun des mortels, zipper le fichier et changer l'extension ca suffit
Sinon avoir un système (qui plus est un logiciel payant) de cryptage qui possède un moyen simple de le casser c'est un peu fou quand même. Il me semble que tout les bons systèmes de cryptage doivent ne surtout pas etre basé sur un "secret" (genre la clef de decryptage est placée dans le fichier au bit 4597) sinon ils sont trop facilement cassables...

[dulrich]

A la lecture de ce topic, il me semble clair que l'aspect sous jacent "Big Brother is watching you" en gratte plus d'un, independemment du problème purement technologique.

Ce genre de débat est je crois sans fin car on cherche à concilier deux points de vues inconciliables :
...
Pour finir on est quand meme un peu loin de l'univers Mac à proprement parler.

Disons que le vrai débats n'est pas là (du moins il ne doit pas être là sur macbidouille).... et qu'en fait y a jamais eu de débat car :
- il est impossible de décrypter en brut force du 256 bits (le soleil ne fournirait pas assez d'énergie pour faire fonctionner les ordinateurs pendant les quelques milliards d'années nécessaires)
- il n'existe pas de magic key pouvant faire sauter les cryptages que l'on trouve habituellement pour le transfert et stockage de données sensibles
- il n'existe pas de machine miracle qui permette de passer par dessus tout ces faits (ni de petit génie)

Tout ceux qui vous soutiendrons le contraire vous donnerons des ouïe-dire ou des papiers vaseux pour justifier leurs propos.

[421]

Est-ce qu'un industriel qui donne aux serruriers les outils pour créer des clés et des serrures peut rajouter un dispositif pour ouvrir toutes les serrures du monde ?

Le Mossad possède des agents spécialisés dans l'ouverture des serrures
C'est pas dur : à chaque fois qu'une serrure est fabriquée, ils l'achète et la décortique, aussi simple ou complexe soit-elle

Plus sérieusement : Pour éviter le piratage industriel, si vous allez en Israël ou dans les pays allant du Moyen à l'extrême-Orient : voyagez avec votre ordinateur avec vous, systême d'exploitation vierge, toutes vos données sur une clé USB
La spécialité de JFK (aéroport de NYC) ou de Ben Gourion (Tel-Aviv) est de "subtiliser" officiellement votre portable sous un prétexte fallacieux et de vous le rendre 1/2h plus tard "intact"; en réalité il est ouvert, le DD est dupliqué puis proprement remis en l'état.
source : une victime

[suJeSelS]

A la lecture de ce topic, il me semble clair que l'aspect sous jacent "Big Brother is watching you" en gratte plus d'un, independemment du problème purement technologique.

Ce genre de débat est je crois sans fin car on cherche à concilier deux points de vues inconciliables :
...
Pour finir on est quand meme un peu loin de l'univers Mac à proprement parler.

Disons que le vrai débats n'est pas là (du moins il ne doit pas être là sur macbidouille).... et qu'en fait y a jamais eu de débat car :
- il est impossible de décrypter en brut force du 256 bits (le soleil ne fournirait pas assez d'énergie pour faire fonctionner les ordinateurs pendant les quelques milliards d'années nécessaires)
- il n'existe pas de magic key pouvant faire sauter les cryptages que l'on trouve habituellement pour le transfert et stockage de données sensibles
- il n'existe pas de machine miracle qui permette de passer par dessus tout ces faits (ni de petit génie)

Tout ceux qui vous soutiendrons le contraire vous donnerons des ouïe-dire ou des papiers vaseux pour justifier leurs propos.

Effectivement, on ne connaît pas de faille mathématique pour casser ce genre de cryptage, les seuls failles qui peuvent exister (et c'est très probable même si elles n'ont pas été nécessairement découverte) sont dans les logiciels implémentants ces algos.

[Pipo68]

Ca n'a rien d'extraordinaire ce truc... c'est plutôt la news qui est rédigé d'une façon hollywoodienne...

[Guest_ps1024_*]

La spécialité de JFK (aéroport de NYC) ou de Ben Gourion (Tel-Aviv) est de "subtiliser" officiellement votre portable sous un prétexte fallacieux et de vous le rendre 1/2h plus tard "intact"; en réalité il est ouvert, le DD est dupliqué puis proprement remis en l'état.
source : une victime

Sans discuter de la véracité de tels témoignages, si le disque contient des données sensibles et qu'il n'est pas encrypté, on peut dire que la victime n'est pas très prudente !

[mobydivingdick]

Disons que le vrai débats n'est pas là (du moins il ne doit pas être là sur macbidouille).... et qu'en fait y a jamais eu de débat car :
- il est impossible de décrypter en brut force du 256 bits (le soleil ne fournirait pas assez d'énergie pour faire fonctionner les ordinateurs pendant les quelques milliards d'années nécessaires)
- il n'existe pas de magic key pouvant faire sauter les cryptages que l'on trouve habituellement pour le transfert et stockage de données sensibles
- il n'existe pas de machine miracle qui permette de passer par dessus tout ces faits (ni de petit génie)

Tout ceux qui vous soutiendrons le contraire vous donnerons des ouïe-dire ou des papiers vaseux pour justifier leurs propos.

- sur la place du débat des libertés fondamentales dans Mac Bidouille : entiérement d'accord avec toi.
- sur l'inviolabilité des clefs en 256 Bits : je suis moins convaincu que toi. J'ai certes une profonde ignorance des réalités techniques dans le détail, mais mon expérience professionelle me me permet pas d'avoir de certitudes en la matière.

En effet, dans un passé récent j'ai été capital risqueur et j'ai donc eu à traiter de dossier d'investissements potentiels dans différentes start up et notamment dans la problèmatique de la sécurité et de l'identification des contrefaçons. Mes certitudes sur ce qu'il est possible ou non de faire ont rapidemment fondues devant les résultats obtenus par ces petits génies des algorythmes... J'en ai retiré un septicisme profond sur l'état réél des connaissances en la matière, entre ce qui est divulgué dans le grand public et ce qui existe dans la pratique confidentielle des laboratoires de ces sociètés.

Je suis donc devenu agnostique en la matière, et si demain une socièté quelconque du genre Subrasasoft communique sur le fait que les clefs meme de 512 bits c'est du gateau, je ne tomberai pas de mon siège pour autant.

[ide508]

La spécialité de JFK (aéroport de NYC) ou de Ben Gourion (Tel-Aviv) est de "subtiliser" officiellement votre portable sous un prétexte fallacieux et de vous le rendre 1/2h plus tard "intact"; en réalité il est ouvert, le DD est dupliqué puis proprement remis en l'état.
source : une victime

Oulalalala...
Dupliquer un DD de 100G en une demi heure

Moi aussi je reste zen et ... click (passe)

[frcs]

C'est scandaleux ... moi qui croyais filevault "Inviolable" ... c'est vraiment n'importe quoi.

Ont sais tous que d'ici peu le prog' de cette clef ce baladera sur le net .

Fabricius

il commence à être vétuste

[ycarry]

moi, si un officier de police me demande mon mot de passe, je lui donne; et l’état économise les 500$ de cette clé.
Si c’est pas un officier de police mais un furieux plus costaud que moi - ou un calme avec un cutter, je lui donne aussi; et la Sécu. économise 5000€ de frais hospitaliers.

Qu’est-ce que vous mettez sur vos disques pour être affolé par un hoax(?) de ce genre ?

[dulrich]

- sur l'inviolabilité des clefs en 256 Bits : je suis moins convaincu que toi. J'ai certes une profonde ignorance des réalités techniques dans le détail, mais mon expérience professionelle me me permet pas d'avoir de certitudes en la matière.

En effet, dans un passé récent j'ai été capital risqueur et j'ai donc eu à traiter de dossier d'investissements potentiels dans différentes start up et notamment dans la problèmatique de la sécurité et de l'identification des contrefaçons. Mes certitudes sur ce qu'il est possible ou non de faire ont rapidemment fondues devant les résultats obtenus par ces petits génies des algorythmes... J'en ai retiré un septicisme profond sur l'état réél des connaissances en la matière, entre ce qui est divulgué dans le grand public et ce qui existe dans la pratique confidentielle des laboratoires de ces sociètés.

Je suis donc devenu agnostique en la matière, et si demain une socièté quelconque du genre Subrasasoft communique sur le fait que les clefs meme de 512 bits c'est du gateau, je ne tomberai pas de mon siège pour autant.

Si les clefs de 128/256 bits tombaient comme les fleurs d'un arbre il n'y aurait plus de secret militaire, plus de banques, plus d'assurances, plus de communications professionnelles etc etc....

C'est pas pour rien que les gouvernements interdisent l'utilisation(l'export de ces algorythmes)... Quand les natels D sont sortis en suisse, le gouvernement US a gueulé parce que leurs agences ne pouvaient décoder les conversations....

Le problème du cryptage n'est pas l'objet crypté en lui-même mais plutôt le transport de la clef. C'est là qu'est la faiblesse des cryptages par clef unique...

Pour ceux qui croient aux martiens :
http://www.bugbrother.com/security.tao.ca/crypt.html

Et non, il n'y pas d'algorithme secret qui permettent de faire le pas en arrière.... On est pas en présence d'un secret d'état ni d'un complot mondial....

[421]

Sans discuter de la véracité de tels témoignages, si le disque contient des données sensibles et qu'il n'est pas encrypté, on peut dire que la victime n'est pas très prudente !

La pauvre victime n'était autre qu'un patron de PME qui est devenu très prudent après avoir perdue une "petit" contrat à 1 000 000 d'€ face à un concurrent israëlien...

Oulalalala...
Dupliquer un DD de 100G en une demi heure

Peu de personnes ont aujourd'hui dans leur ordinateur de travail des DD de plus de 100Go et qui a son DD complètement remplis? Dans le cas pré-cité, le DD faisait 60go et était rempli à la moîtié. Il n'a fallu que 13 min aux personnes qui m'ont exposer la chose pour recommencer l'opération. Quand à copier un DD de 100 GO SATA en 1/2 heure, pas de pb avec le matos et les connaissances adéquates dixit la même source officielle (témoignage avec démonstration d'informaticiens de la DST sur le piratage industriel)

Ce message a été modifié par 421 - 30 Apr 2007, 17:50.