Crypto-News 2000-2
 

Les nouvelles postérieures au 30 juillet 2000 sont ici
 
 

Le gouvernement néo-zélandais préparerait une loi facilitant l'interception des e-mails
2000/07/30
Selon le New Zealand Herald, le gouvernement néo-zélandais préparerait une loi permettant à la police d'intercepter plus facilement les e-mails des suspects.
A noter qu'une telle législation vient d'être votée en Angleterre, pendant qu'aux Etats-Unis le système d'interception "Carnivore" a déjà, malgré l'absence d'une législation précise, été mis en place chez certains fournisseurs d'accès à Internet.
 

Le site Cryptome est accessible à une nouvelle adresse
2000/07/29
Le site web d'information Cryptome.org, consacré notamment à la cryptographie, et qui avait publié des informations préjudiciables au Ministère de la Défense américain et était devenu difficilement joignable depuis plusieurs jours, est à nouveau accessible à l'adresse http://216.167.120.50/.
 

Disparition
2000/07/28
C'est avec une grande tristesse que nous apprenons le décès de notre camarade Emilio Oriente, traducteur en français des manuels PGP 2.6.3i, PGP 6.0.2i, Scramdisk 2.0.2H, et militant de la première heure pour la cryptographie libre.
 

Le Conseil constitutionnel valide l'obligation pour tout particulier de révéler ses noms et adresses lorsqu'il s'exprime publiquement sur le web
2000/07/28
Le Conseil constitutionnel a rendu le 27 juin sa décision sur le recours concernant la loi dite "sur la liberté de communication". Plusieurs dispositions ont été censurées (dont celle relative à la responsabilité pénale des hébergeurs n'ayant pas procédé aux " diligences appropriées" lorsqu'ils ont été saisis par un tiers estimant le contenu illicite) mais le Conseil n'a pas remis en cause l'obligation pour tout particulier de fournir ses noms et adresses lorsqu'il s'exprime publiquement sur le web (Art. 43-10 de la loi).
A noter que cette loi s'applique uniquement aux sites webs et forums localisés sur le territoire français.
Voir nos brève et commentaire du 18 juin.
 

Thawte abandonne le support des clefs PGP
2000/07/28
Thawte, un des principaux fournisseurs de certificats digitaux, qui a été racheté par Verisign il y a quelques mois, abandonne le support des clefs publiques PGP. La raison en est la migration de Thawte vers le logiciel Verisign qui lui n'a jamais supporté PGP.
 

La loi RIP votée en Angleterre va limiter l'utilisation de la cryptographie
2000/07/28
La très controversée loi RIP a été votée le 26 juillet par le Parlement anglais. Une de ses dispositions impose la fourniture de ses clefs de déchiffrement en cas d'enquête. Tout oubli du mot de passe, destruction ou disparition des clefs peut être puni en lui-même d'une peine de deux ans de prison. Cet accès du gouvernement aux clefs (GAK) fait du chiffrement une opération périlleuse pour les utilisateurs et va tendre à limiter l'utilisation de la cryptographie aux seules transactions où elle s'avère indispensable.
La loi RIP prévoit aussi une surveillance policière permanente du trafic Internet passant chez les fournisseurs d'accès.
Le projet de loi avait été condamné par Amnesty International.
Extrait de l'article de TheStandard :
"Home Office minister Clarke stressed that "propaganda is needed" to re-educate the public about the provisions of the bill and asked the House with help in promoting "the interests of this country's businesses when the time comes." "
 

L'interdiction de Napster pourrait accélérer la diffusion de Gnutella et des sous-réseaux décentralisés
2000/07/27
Un tribunal américain a ordonné la fermeture temporaire de Napster, le réseau centralisé de partage de fichiers MP3. Cet arrêt de Napster va obliger ses 20 millions d'utilisateurs à se tourner vers les réseaux distribués non centralisés et pourrait accélérer la diffusion de Gnutella et Freenet.
A noter que les serveurs OpenNap pourraient aussi constituer une alternative à Napster.
 

Angleterre : une liste de contre-mesures permettant de contourner la future loi "RIP"
2000/07/27
Deux cryptographes publient un papier ("The Regulation of Investigatory Powers Bill – Technically inept: ineffective against criminals while undermining the privacy, safety and security of honest citizens and businesses") dressant une liste des contre-mesures techniques permettant de contourner la future loi anglaise RIP (Regulation of Investigatory Powers) et qui montre que RIP serait inapplicable.
Le projet de loi RIP actuellement en discussion devant le Parlement anglais prévoit une écoute permanente des liaisons Internet des particuliers et des entreprises, ainsi qu'une obligation de livrer ses clefs de déchiffrement (même si on les a effacé ou égaré) sous peine de prison. Le texte, que certains rapprochent des législations en vigueur dans l'URSS, a fait l'objet le 13 juin dernier d'une lettre ouverte d'Amnesty International mettant en garde la Chambre des Lords. 
Voir l'article de Libération (22 juillet) : Le gouvernement britannique réinvente Big Brother
 

Une courte histoire d'Echelon par Duncan Campbell
2000/07/26
Le webzine Telepolis publie un article du journaliste spécialisé Duncan Campbell sur le réseau d'espionnage anglo-saxon Echelon : "Inside Echelon (The history, structure and function of the global surveillance system known as Echelon)"
 

"Blocks", un nouveau système de fichiers distribué et anonyme
2000/07/26
Blocks est un prototype de système de fichiers distribué et anonyme (Windows, source crossplatform). Il requiert une connexion Internet permanente DSL ou câble et 1 Gb d'espace disque
Blocks fait suite aux projets similaires FreeHaven, Freenet, Publius et Fling.
Caractéristiques (extraits) : 
"- All ‘uploaded’ files are split into small 64Kb blocks.
- ‘File advertisements’ are broadcast through out the network. Your Blocks application needs to be running to see them. When you do a ‘search’ you are actually searching the local list maintained by your Blocks application, searches are never broadcast. 
- The data blocks are routed from server to server rather than from point to point, with content being replicated through out the ‘network’. IP addresses are not associated with uploads or downloads in any way. 
- Each Blocks application acts as a potential client, server, and caching proxy for data blocks. 
- Blocks uses a large disk bound cache (1-64Gb) that is protected by a 128bit block cipher using a random key based on a strong Pseudo Random Number Generator (entropy provided by user), and the cache is deleted and recreated each time the Blocks server is stopped or started. Therefore, even after a crash or abnormal termination, the disk cache cannot be used to ascertain what data has been downloaded or was being served. 
- All network connections are protected by a 128bit stream cipher using a session key created from a 512bit Diffie-Hellman key exchange. So, network logs cannot be used to identify what network passed through the system."
 

Une documentation en français sur les liaisons chiffrées TLS
2000/07/25
Une documentation en français sur TLS et Sendmail (chiffrement de sessions réseau) est disponible.
Extraits :
"La version 8.11 de Sendmail intègre l'extension STARTTLS (RFC 2487) permettant l'authentification forte des serveurs SMTP, l'établissement d'une session TLS (chiffrée) entre 2 serveurs, l'authentification forte des clients SMTP, et l'établissement d'une session TLS (chiffrée) entre le client et le serveur. Ceci permet par exemple de faire circuler le courrier dans des canaux chiffrés entre les serveurs d'une même organisation (VPN SMTP), de forcer le mode chiffré vers des destinations identifiées, ou encore d'autoriser le relais après présentation d'une authentification TLS cliente. A terme cette extension permettra de ne plus transporter de courrier en clair."
 

Le logiciel d'anonymat Freedom livre une partie de son code-source
2000/07/25
Le logiciel commercial Freedom lancé il y a sept mois par la société canadienne Zero-Knowledge Systems, et qui fournit une solution payante (US$49.95) d'anonymat sur Internet (remailer, pseudonymes, proxy) a décidé de livrer une partie de son code-source (future version Linux). La licence est GNU GPL.
Voir http://opensource.zeroknowledge.com/
Bien que Freedom soit un logiciel commercial et payant, il est développé par des programmeurs respectés dans le milieu cryptographique et constitue une solution réputée sûre. A noter que le FBI a semblé chercher à exercer des pressions sur la société il y a quelques mois.
 

Netscape PGP Plugin beta 2 est disponible
2000/07/23
Une version beta 2 de Netscape PGP Plugin est disponible
 

Exportations américaines de cryptographie : résumé de la nouvelle réglementation
2000/07/22
Le bureau des exportations américain (BXA) publie un résumé de la nouvelle réglementation concernant la cryptographie.
 

Affaire Carnivore : des cryptographes demandent au FBI de mettre son logiciel en "open source"
2000/07/22
Les cryptographes Matt Blaze et Steve Bellovin proposent au FBI de mettre en "open source" Carnivore, son logiciel d'espionnage des fournisseurs d'accès à Internet, afin de prouver que le logiciel fait bien ce qu'il est censé faire, et d'en étudier la sécurité.
 

Netscape 4.74 est disponible en version 128 bits
2000/07/19
Netscape Communicator 4.74 (Windows, Linux, Mac, Unix) est disponible par défaut avec des clefs de chiffrement de 128 bits (version "d" pour "domestic encryption", par opposition à "e" pour "export encryption" limitée à des clefs de 40 bits).
 

Les restrictions américaines des exportations de cryptographie sont de nouveau assouplies
2000/07/18
Le gouvernement américain a décidé d'assouplir davantage encore les restrictions à l'exportation en dehors des USA de matériels et logiciels de cryptographie. Cette décision doit être reliée à celle identique prise en juin par l'Union Européenne (voir nos brèves des 23 et 24 mai).
Extraits :
"Under the new policy, U.S. companies can export under license exception (i.e., without a license) any encryption product to any end user in the 15 nations of the European Union as well as Australia, Norway, Czech Republic, Hungary, Poland, Japan, New Zealand and Switzerland. Previous distinctions between government and non-government end users are removed for these countries. Further, U.S. exporters will be permitted to ship their products to these nations immediately after they have submitted a commodity classification request for their product to the Department of Commerce. Exporters no longer have to wait for a completed technical review or incur a 30-day delay to ship their encryption products to customers in these nations. 
These updates track with recent regulations adopted by the European Union that ease encryption exports to the same countries. Consistent with the Administration's January 2000 commitment, U.S. companies can continue to compete effectively in these markets."
 

"Carnivore", le dispositif d'écoutes légales du FBI, suscite un tollé en Amérique
2000/07/17
Le FBI a révélé l'existence chez les fournisseurs d'accès à Internet du dispositif "Carnivore", un logiciel de tri des informations envoyées et reçues par les internautes suspectés. Le procédé suscite une grande émotion aux Etats-Unis et l'association de défense des libertés individuelles ACLU a décidé de se saisir du dossier.
Voir l'article de )Transfert : Un Carnivore dans leurs ordis.
Voir l'article de ZDNet : Carnivore, l'outil espion du FBI, révolte les américains.
 

GnuPG 1.0.2 pour Linux/Unix est disponible
2000/07/13
GnuPG 1.0.2 pour Linux/Unix est disponible (sources + version française).
Version française compilée, au format RPM pour Linux RedHat ou Mandrake :
ftp://crypto.ferrara.linux.it/pub/gpg/gnupg-1.0.2-1rh61.i386.rpm
Voir l'annonce.
Parmi les nouveautés :
* The user is now asked for the reason of revocation as required by the new OpenPGP draft.
* There is a ~/.gnupg/random_seed file now which saves the state of the internal RNG and increases system performance somewhat.  This way the full entropy source is only used in cases were it is really required.
Use the option --no-random-seed-file to disable this feature.
* The entropy.dll is not anymore used by the W32 version but replaced by code derived from Cryptlib.
* Encryption is now much faster: About 2 times for 1k bit keys and 8 times for 4k keys.
* New command --export-secret-subkeys which outputs the the _primary_ key with it's secret parts deleted.  This is useful for automated decryption/signature creation as it allows to keep the real secret primary key offline and thereby protecting the key certificates and allowing to create revocations for the subkeys.  See the FAQ for a procedure to install such secret keys.
 

GnuPG 1.0.2 pour Windows est disponible en version stable
2000/07/12
GnuPG 1.0.2 pour Windows 95/98, NT et 2000 est disponible. Cette version est la première à ne plus être une version de test, mais reste en ligne de commande. L'interface graphique GPA, déjà disponible pour Unix, sera portée prochainement sous Windows.
GnuPG est la version logiciel libre du standard OpenPGP.
Voir notre page de présentation de GnuPG pour Windows.
 

Un projet Scramdisk pour Linux est lancé
2000/07/11
Andy Jeffries, auteur de Scramdisk Delphi, annonce qu'il entame le portage de Scramdisk sur Linux.
Voir le message dans alt.security.scramdisk.
 

Réseaux anti-censure, suite : les projets "Fling" et "Free Haven"
2000/07/10
Annonce du projet Fling, un système basé sur une suite de cinq protocoles internet permettant d'assurer des fonctions de DNS, TCP, et UDP de manière intraçable et non interceptable. Le slogan du projet est "Speech without limits" mais aucun papier descriptif ou code source n'est encore disponible.

Parallèlement, le projet Free Haven, lancé il y a quelques mois par un étudiant du cryptographe Ron Rivest, prend de l'essor et publie un nouveau papier (qui sera présenté à la fin du mois à Berkeley).
A noter aussi l'existence de Publius, et bien sûr de Freenet (actuellement le plus avancé). 
Voir notre page de présentation de Freenet.
 

GnuPG pour Mac OSX
2000/07/07
Un message posté sur la liste gnupg-users signale l'existence d'un patch pour Mac OSX et d'une page GPG for OSX.
A noter que le portage de GnuPG sur Mac "normal", envisagé un moment, semble actuellement arrêté.
 

Eraser 4.1 est disponible
2000/07/07
La version 4.1 du nettoyeur ("wipe") de disque dur Eraser (pour Windows 95/98, NT, 2000), écrit par Sami Tolvanen, est disponible. A noter qu'Eraser est maintenant sous licence GNU GPL
 

La loi sur "la liberté de communication" fait l'objet d'un recours devant le Conseil constitutionnel
2000/07/06
La loi sur "la liberté de communication" voté par le Parlement le 28 juin, qui encadrait strictement la liberté d'expression sur Internet, fait l'objet d'un recours devant le Conseil constitutionnel, indique dans un communiqué l'association IRIS, à la pointe de la protestation contre le texte.
Voir notre brève du 29 juin
 

Le Parlement européen choisit de fermer les yeux sur Echelon
2000/07/06
Selon le webzine allemand Telepolis, le Parlement Européen réuni en session plénière a rejeté mercredi 5 juillet la proposition d'une commission d'enquête sur le réseau d'espionnage anglo-saxon Echelon. Le Parlement a estimé qu'il valait mieux opter pour une mission d'information chargée de "vérifier l'existence du système d'interception des communications connu sous le nom d'Echelon".

Extraits de Telepolis :
"The Greens believe the big political parties have bowed for the individual EU governments wishes not to take a strong position on the Echelon issue. 'The vote proved that most of the conservative, socialists and liberals member of parliament are unwilling to go against the wishes of certain EU governments,' according to the Greens."

Voir les deux décisions du Parlement (textes "echelon" du 05/07/2000).
Extraits
"Décision B5-0594/2000 : Le Parlement européen (...) entérine la décision de la Conférence des Présidents de ne pas proposer la constitution d'une commission temporaire d'enquête." 
 

L'EPFL suisse met en évidence une faiblesse dans SSL et S/MIME
2000/07/05
Des chercheurs de l'EPFL de Lausanne menés par Serge Vaudenay ont trouvé une faiblesse importante dans les protocoles SSL et S/MIME.
Voir la page du Laboratoire de sécurité et de cryptographie (LASEC).
Extraits du communiqué de presse :
"L'équipe du professeur Serge Vaudenay est parvenue, en quatre mois, à mettre au point un mode d'attaque mettant en évidence une faiblesse du protocole de cryptage SSL. L'attaque permet de rétablir deux segments du texte original, à condition que le texte soit d'une taille suffisante et soit rédigé dans une langue redondante comme l'anglais. 
L'attaque est efficace également contre le protocole S/MIME de cryptage des e-mails et contre tous les procédés recourant au chiffrage par block en mode CBC. Elle peut être menée à partir d'un ordinateur personnel ordinaire et nécessite moins d'une heure d'opérations pour un message d'1 gigabits." 
 

Echelon : le Parquet a ouvert une enquête préliminaire confiée à la DST
2000/07/04
Sous le titre de une "La DST contre l'espionnage américain", le quotidien Le Figaro du 4 juillet révèle que le Parquet de Paris a ouvert une enquête préliminaire sur le système d'espionnage électronique Echelon.
Extraits :
"Le procureur de la République de Paris, Jean-Pierre Dintilhac, a saisi de cette enquête la Direction de la surveillance du territoire (DST) le 24 mai dernier. "Les services du contre-espionnage sont tenus de vérifier la pratiques d'écoutes illégales par Echelon, susceptibles, selon le Parquet, de revêtir la qualification d'"atteintes aux intérêts fondamentaux de la nation et d'atteintes au secret des correspondances émises par voir de télécommunications" (art. 411.6 et 226.15 du Code pénal)."
 

Une mise à jour de PGP Certificate Server
2000/07/03
Un article de MSNBCrevient sur une faille de PGP Certificate Server 2.5 (un serveur de clefs et certificats PGP) pouvant permettre une attaque de type "DoS". Une mise à jour du logiciel est disponible.
Voir l'annonce de Security Focus.
A noter que TIS, la filiale de NAI qui distribue PGP Certificate Server, a placé le patch sur un serveur restreignant les exportations hors USA, bien que la législation américaine ait levé les restrictions en janvier 2000 et surtout que PGP Certificate Server ne contienne pas de cryptographie (une distribution de PGP Certificate Server est disponible sur le serveur US du MIT).
 

Le site web de Freenet est disponible en français
2000/07/02
La première version internationale du site web de Freenet est française grâce à une traduction de Jean-Sébastien Lebacq : http://www.freenet-project.fr.st.
 

Une interview vidéo du créateur de Freenet
2000/07/01
L'intervention de Ian Clarke lors du Colloque "MP3 Summit" à San Diego les 20 et 21 juin dernier, est intégralement disponible en flux vidéo (mais Windows indispensable).
Durant plus d'une heure, Ian Clarke, keynote speaker III lors de la journée du 21 juin, explique les enjeux du projet Freenet et répond aux questions, le tout avec beaucoup d'humour.
 

Publius : un nouveau système pour contrer la censure sur Internet
2000/06/30
Après l'apparition de Freenet au premier trimestre 2000, trois chercheurs américains annoncent pour juillet la mise en place de Publius, un système de publication sur Internet résistant à toute censure.
A noter que deux des chercheurs font partie des laboratoires de AT&T qui a annoncé que pour le moment le projet était autorisé à continuer.
Voir l'article du Washington Post : Online and Unidentifiable?
Voir le papier en PDF.
Extraits :
"Why this is important.
The publication of written words has long been a tool for spreading new (and sometimes controversial) ideas, often with the goal of bringing about social change. Thus the printing press, and more recently, the World Wide Web, are powerful revolutionary tools. But those who seek to suppress revolutions possess powerful tools of their own.
(...)
How it works.
Our system consists of publishers who post Publius content to the web, servers who host random-looking content, and retrievers who browse Publius content on the web. At present the system supports any static content such as HTML pages, images, and other files such as postscript, pdf, etc. Javascript also works. We assume that there is a static, system-wide list of available servers. Publius content is encrypted by the publisher and spread over some of the web servers. In our current system, the set of servers is static. The publisher takes the key, K that is used to encrypt the file and splits it into n shares, such that any k of them can reproduce the original K, but k-1 give no hints as to the key. Each server receives the encrypted Publius content and one of the shares. At this point, the server has no idea what it is hosting -- it simply stores some random looking data. To browse content, a retriever must get the encrypted Publius content from some server and k of the shares."

 

L'interface graphique de GnuPG devient utilisable
2000/06/29
L'interface graphique de GnuPG, GPA(GNU Privacy Assistant), est disponible en version beta 0.31 (Unix) et devient utilisable.
Voir des captures d'écran.
 

Vote définitif d'une loi risquant de limiter la liberté d'expression des particuliers sur Internet
2000/06/29
Le vote définitif par l'Assemblée Nationale de la loi sur la "liberté de communication" est intervenu hier soir. 
Selon plusieurs associations, ses articles sur l'identification des auteurs de sites web et la responsabilité des hébergeurs de ces sites risquent de limiter la liberté d'expression des particuliers sur Internet.
Altern.org, pionnier français dans l'hébergement gratuit et indépendant de sites web, a décidé de fermer jusqu'à plus ample informé.
Le site web "PGP en français" signe la déclaration des acteurs de l'Internet lancée par les associations IRIS et R@S.
Voir notre brève du 18 juin
 

Une version beta GnuPG 1.0.1h
2000/06/28
Une version de test GnuPG 1.0.1h est disponible. Elle répare quelques bugs mais reste destinée avant tout au beta-test.
Parmi les nouveautés :
- Support for the new MDC encryption packets.  To create them either --force-mdc must be use or cipher algorithm with a blocksize other than 64 bits is to be used.  --openpgp currently disables MDC packets entirely.
 

Selon Le Monde, PGP est un élément de la régulation d'Internet
2000/06/28
Dans le dossier de son supplément "Interactif" consacré à la régulation sur Internet, le quotidien Le Monde daté du 28 juin dresse une liste de 4 mots résumant la régulation : "Jon Postel", "Netiquette", "Communication Decency Act", et "Pretty Good Privacy" (PGP). Freenet, opérationnel depuis trois mois seulement, n'est pas cité.
 

Freenet : publication de plusieurs articles dans la presse anglo-saxonne
2000/06/27
Les articles consacrés à Freenet se multiplient dans la presse, notamment anglo-saxonne. C'est le cas de Time, The Guardian, et The Economist
Extraits de "The Economist" :
"The model for FreeNet is that of a traveller in a prehistoric society in which there is no central government and no maps: he relies on the advice of those he meets. By asking somebody where another place is and following that advice, the traveller should get somewhat closer to where he wants to go. By repeating this process, he should eventually arrive at his destination.
On FreeNet, the “travellers” are requests for files. They first try the most likely path to find the data, backtracking if they get stuck and then trying another. Those they ask for advice along the way are PCs on the network. These “nodes”  forward requests they cannot satisfy to the node they think is “closest” to the desired information. If it cannot pass on the request, it informs the preceding node, which then tries the “second-closest” node, then the “third-closest” and so on.
Unlike travelling, however, distance on FreeNet is not geographic but lexicographic. Files put on the network are associated with a “key”, usually some form of description of the content that is encoded for security reasons. Nodes use the key of a desired file to decide where to send a request: they may, for example, forward it first to the node that has previously been the source of data with the most similar key."
 

Un système européen d'écoute du réseau Internet serait en préparation
2000/06/22
Dans une longue enquête titrée "Les réseaux européens sur écoute", Jérome Thorel, journaliste à ZDNet, révèle les projets européens d'écoute électronique du réseau Internet. 
L'Institut européen des normes en télécommunications (l'ETSI) est notamment mis en cause pour avoir établi des normes précises pour un espionnage systématique d'Internet. L'ensemble des moyens d'écoutes français, nommé par certains "Frenchelon", est aussi étudié.
Extraits :
"« L'objectif est de placer à des fins policières des machines Unix dans tous les centraux téléphoniques, toutes les  passerelles d'échanges entre opérateurs et tous les principaux “nœuds” du réseau internet », explique Erich Moechel, un expert autrichien qui surveille les travaux de l'ETSI. (...) « Si cela se met en place, reprend Moechel, les forces de l'ordre n'auront plus qu'à lancer une commande Unix pour contrôler l'ensemble des réseaux à tout moment. »"
Voir aussi :
Le document de l'ETSI (au format PDF)
"Frenchelon, les grandes oreilles made in France"
"Echelon et ses alliés… parfois officieux"
 

Scramdisk 3.01r3c
2000/06/21
Une mise à jour "release 3c" de Scramdisk 3.01 est disponible. 
Elle corrige quelques bugs (fixes "screen flicker during mount", loss of focus from child form, progress bar on consequent creation, blue screen errors on formatting, clipped listviews, "Amnesia of container size when stepping back from final create wizard dialog box", multiple passboxs and mount boxes if menu option selected whilst in the option.)
 

Un plug-in PGP dans StarOffice 5.2
2000/06/21
La suite bureautique gratuite StarOffice 5.2 (Windows et Linux) contient un module de courrier (plug-in) pour PGP 6.5.1 (Java nécessaire dans la version Linux).
Voir un tableau de tous les plug-ins PGP.
 

Le Parlement Européen va voter sur la question d'une commission d'enquête sur Echelon
2000/06/19
Selon le webzine Telepolis, le Parlement Européen décidera courant juillet s'il créé une commission d'enquête sur le réseau d'espionnage électronique Echelon
 

La liberté d'expression des français sur Internet pourrait être limitée par le Parlement
2000/06/18
Selon plusieurs associations de défense des internautes, dont IRIS, la "Loi sur la liberté de communication" actuellement en discussion au Parlement risque de limiter la liberté d'expression des français (et résidents en France) sur Internet. L'obligation de décliner son identité est notamment dénoncée.
Par ailleurs, Valentin Lacambre, le fondateur et responsable d'Altern, un des derniers hébergeurs gratuits indépendants, a annoncé qu'il envisageait de fermer son serveur si ces dispositions législatives étaient adoptées.
Voir http://www.altern.org

  • Commentaire de "PGP en français" : Notre site étant géré par des personnes restant anonymes, il est directement concerné par le projet de loi. Le texte imposerait à toute personne créant un site web de signaler sur celui-ci son identité. La loi vise, selon ses défenseurs, à permettre au droit de s'appliquer intégralement sur Internet, c'est-à-dire empêcher que soit possible sur Internet ce que la loi interdit dans la presse (journaux, télévisions). Un tel dessein fera sourire quiconque s'intéresse aux derniers développements d'Internet, tels que le sous-réseau crypté Freenet, ou la bataille perdue des grandes maisons de disques contre la prolifération des copies pirates de musique MP3. Mais le problème est ailleurs : même si cette loi est inapplicable, son possible vote montre que les responsables politiques et économiques considèrent Internet comme un "média" et non comme un instrument de libre parole en démocratie ; le texte s'appelle d'ailleurs "Loi sur la liberté de communication" et non "sur la liberté d'expression" comme cela aurait dû être le cas s'agissant d'Internet (quand vous discutez avec vos voisins de palier, vous ne faites pas de la "communication"...). L'incompréhension entre les internautes et les pouvoirs politiques ou économiques est donc totale, ce qui n'est pas de bon augure. 


Un mathématicien français propose un concept à base de données aléatoires pour contrer la censure d'Internet
2000/06/18
Selon Erik Moeller, un des contributeurs de la liste Freenet-chat, le papier intitulé "A method of free speech on the Internet : random pads", et publié début mars par David Madore, un mathématicien français de l'ENS, propose un concept qui pourrait garantir la liberté d'expression sur Internet. 
Tout repose sur la possibilité de distribuer légalement des fichiers ne contenant que du "white noise" (du bruit, des données aléatoires).
Extraits de la news :
"He introduces a system of so-called pads, chunks of random data that are used to encrypt controversial information.
Every byte in the source file is XOR'd with exactly one byte in the random file. The result file, by itself, is totally indistinguishable from white noise, provided that the pad used is truly random. Madore now suggests that users store pads on different servers and use several of them in combination to encrypt data.
A FTP or WWW site that stores one of the pads could argue that they are only storing random noise, and another might do the same. It would be mathematically impossible to prove them guilty of storing illegal information (unless there is a way to prove that one pad was created after the other). Only by the combination of the two (or more) files I am able to retrieve the original controversial information."
 

OpenBSD 2.7 est disponible
2000/06/16
La version 2.7 d'OpenBSD est disponible.
OpenBSD est un Unix libre (à la manière de Linux) dont une des caractéristiques est l'utilisation systématique de la cryptographie.
Parmi les nouveautés :
- OpenSSH supporte les protocoles SSH1 et SSH2.
- Support pour le matériel cryptographique pour accélérer les performances IPSEC,PowerCrypt. 
- De nombreuses améliorations dans le support USB. 
- Support du chiffrement de la swap. 
- Support pour les gros systèmes de fichiers FAT32. 
 

Un mini moteur de recherche pour le réseau Freenet
2000/06/16
Un index des clefs Freenet est disponible, avec une fonction "search" permettant d'effectuer des recherches sur le réseau.
Voir notre page de présentation de Freenet.
 

Changement de e-mail pour "PGP en français"
2000/06/14
Geocities fermant son serveur de courrier, l'adresse <pplf@geocities.com> disparaît et le contact e-mail pour ce site devient pgpenfrancais@bigfoot.com.
 

Un papier de Peter Gutmann sur les générateurs aléatoires dans les logiciels de cryptographie
2000/06/14
Le cryptographe Peter Gutmann publie une nouvelle version de son papier intitulé "Software Generation of Practically Strong Random Numbers", qui étudie notamment le cas du générateur aléatoire de PGP et traite du bug trouvé récemment dans PGP 5.0 Unix.
 

"Freenet News" hebdomadaires
2000/06/11
Premier numéro des "Freenet News", un résumé hebdomadaire des échanges sur les différentes listes de discussion consacrées au réseau Freenet.
Entre autres informations : un concours est lancé pour créer un logo Freenet.
 

PGP 7.0 beta est disponible sur Freenet
2000/06/09
La version beta 176 du futur PGP 7.0 est disponible sur le réseau anonyme Freenet à l'aide de la commande Freenet :
frequest -serverAddress tcp/209.163.147.89:19114 /crypto/pgp/7.0/beta/windows/PGP_7.0_Beta_Windows.zip PGP_7.0_Beta_Windows.zip
(où tcp/209.163.147.89:19114 est un point d'entrée sur le réseau Freenet).
Cette version beta a aussi été miroitée par des inconnus sur un FTP situé en Europe. 
Voir notre page de présentation de Freenet.
 

La Mandrake 7.1 ne contient pas GnuPG
2000/06/08
La nouvelle version 7.1 de la distribution Linux Mandrake ne contient toujours pas GnuPG dans sa version standard, contrairement à ses concurrentes RedHat et SuSE (RedHat notamment disponible sur des FTP français).
 

Un refuge de données situé "offshore" pour déjouer la censure
2000/06/07
Une société nommée HavenCo veut offrir un "refuge de données" sur des serveurs sécurisés situés dans la Principauté autoproclamée de Sealand, une île au large de l'Angleterre, dans le but de déjouer la censure des grands pays.
Voir l'article de Libération : Les corsaires du Net
 

Une licence commerciale de PGP 5.5 offerte par le RIPE
2000/06/07
Une licence commerciale pour PGP 5.5.5 est offerte aux administrateurs de domaines par le RIPE Network Coordination Center pour sécuriser l'enregistrement et la gestion des noms de domaines Internet.
 

Les nouveautés de PGP 7.0
2000/06/06
Au vu des versions beta, PGP 7.0 se présente comme un simple toilettage des versions 6.02 et 6.5.x. 
Côté esthétique, les écrans PGP ont été modifiés et mis en accord avec le nouveau logo de PGP Security Inc. Côté fonctionnalités, le nettoyeur d'espace libre (free space wiper) a été renforcé. L'algorithme Twofish (256 bits) a été ajouté et les clefs RSA possèdent de nouvelles propriétés. 
A noter que dans la version "Desktop Security", des fonctionnalités non cryptographiques ont été ajoutées à PGP, en l'occurrence un firewall (pare-feu).
PGP 7.0 devrait sortir durant l'été.
 

Une version de PGP 7.0 beta est disponible sur le réseau gnutellaNet
2000/06/05
Une version de PGP 7.0 (pour Windows), actuellement en phase de beta-test, a été mise sur le réseau gnutellaNet (gNet) par des inconnus. Elle a aussi été miroitée sur un FTP européen.
Gnutella est un logiciel de partage de fichiers permettant de relier des ordinateurs individuels entre eux en dehors de toute structure centralisée. Il a été créé à l'origine pour suppléer aux lacunes du logiciel Napster, qui était uniquement réservé aux fichiers musicaux MP3 et piloté depuis un serveur central. L'apparition d'une beta de PGP 7.0 sur Gnutella montre la difficulté à contrôler les nouvelles formes privatives du réseau Internet. 
Voir les informations postées dans le forum "alt.security.pgp".
Voir Gnutellafrance.
Voir l'article de )Transfert : "Gnutella ne peut pas être inactivé".
 

Le CERT confirme la faille de sécurité dans la génération de clefs de PGP 5.0 et PGP 5.0i Unix/Linux
2000/05/31
Le CERT (Computer Emergency Response Team), publie une alerte sur la faille de sécurité dans la génération de clefs de PGP 5.0
PGP Security Inc. confirme aussi l'analyse et conseille la révocation immédiate des clefs générées par PGP 5.0 et 5.0i Unix ou Linux dans les conditions décrites, ainsi que le re-chiffrement des documents et leur re-signature avec de nouvelles clefs.
Sont affectés :
  - Les systèmes UNIX ayant un /dev/random
  - Les versions PGP 5.0, U.S. Commercial et U.S. Freeware, et PGP 5.0i Internationales
  - Les clefs crées de manière non-interactive sur un tel système
  - Les documents chiffrés avec de telles clefs
  - Les signatures générées avec de telles clefs
Ne sont pas touchées : les versions PGP 1.x, PGP 2.x, PGP 4.x, toutes les autres versions PGP 5.x, les versions PGP 6.x, PGP 7.x.

Extrait de l'alerte du CERT :
"PGP v5.0, including U.S. Commercial, U.S. Freeware, and International versions, contains a flaw in reading the information provided by /dev/random. This is not a flaw in /dev/random but instead is the result of a flaw in how PGP processes the information returned from /dev/random. Thus, when a key is generated non-interactively using a command such as

 pgpk -g <DSS or RSA> <key-length> <user-id> <timeout> <pass-phrase> 
it does not contain sufficient randomness to prevent an attacker from guessing the key. If such a command were issued on a system with no available randseed.bin file, then the resulting key may be predictable."
  • Commentaire de "PGP en français" : La faille de sécurité trouvée dans PGP 5.0 Unix est importante. Elle touche le générateur pseudo-aléatoire, qui est le coeur du logiciel de cryptographie et elle concerne la paire de clefs publique/privée elle-même, pouvant ainsi compromettre tous les messages chiffrés ou signés. Cette faille peut dans certaines circonstances diminuer la sécurité d'une paire de clefs et rendre tout message chiffré avec la clef publique vulnérable à une attaque cryptanalytique. Dans le doute, mieux vaut révoquer toute clef générée à l'aide de PGP 5.0 et PGP 5.0i Unix ou Linux (souvent des clefs créées entre 1997 et 1999). Ce problème met en évidence au moins deux choses. 1) La publication du code-source ne suffit pas pour rendre sûr un logiciel ; encore faut-il que ce code soit examiné soigneusement. Le code de PGP 5.0i a été publié en août 1997 et la faille n'est mise en évidence qu'en mai 2000, soit près de trois ans après. 2) PGP Security Inc. se trouve fragilisé sur le terrain professionnel des systèmes Unix alors que ses versions PGP 6.5.1 n'ont pas convaincu (aucune interface graphique, des problèmes de compilation du code 6.5.1i Unix) et que GnuPG s'est imposé avec un produit de grande qualité et GNU (logiciel libre, modifiable et gratuit) qui tourne sur Linux, BSD, SunOS, SCO, HP-UX, AIX, IRIX, etc. Le conseil reste donc : sous Unix, migrez de PGP à GnuPG.


PGP for EPOC version beta 1.02F
2000/05/31
Une mise à jour beta 1.02F de PGP for EPOC est disponible pour les Psion et machines compatibles EPOC. La compatibilité Revo a été améliorée.
 

Le Monde choisit le site de Freenet comme web du jour
2000/05/27
Sous le titre "Un nouveau sous-réseau crypté et décentralisé garantit la liberté d'expression", Le Monde daté du 27 mai consacre la rubrique "web" de son antépénultième page (édition papier) à http://freenet.sourceforge.net/.
Extrait :
" 'Ma philosophie est simple : j'estime que toute censure est néfaste, sans exception, quelles que soient les intentions de départ. La liberté de l'information doit être absolue.' Ian Clarke, informaticien anglais de vingt-trois ans, ne fait pas dans la nuance. Selon lui, il était temps de créer au sein de l'Internet un nouveau sous-réseau capable de garantir la liberté d'expression mieux que ne le fait le World Wide Web. Après plus d'un an de travail, et grâce à l'aide d'une vingtaine de bénévoles européens et américains, il est en passe de réussir son pari."
 

PGP 5.0i Unix peut contenir une faiblesse dans la génération de la paire de clefs publique/privée
2000/05/24
Selon Germano Caronni, PGP 5.0i pour Linux/Unix peut, dans certaines circonstances, générer des paires de clefs ne possédant pas un aléa suffisant. La version Windows n'est pas concernée. Toutes les clefs générées avec une version 5.0i Linux/Unix seraient susceptibles de ne pas être sûres et il peut être nécessaire de les révoquer.
Voir l'annonce de Securityfocus.
 

Rectificatif : l'Union Européenne n'a pas encore levé les restrictions à l'exportation de cryptographie
2000/05/24
Contrairement aux informations parues dans Telepolis, le Financial Times et ZDNet.fr, les ministres européens des Affaires étrangères n'ont pas voté la levée complète des restrictions à l'exportation de cryptographie le 22 mai à Bruxelles. Selon ZDNet.fr, la décision a été ajournée au dernier moment car un pays (apparemment pas la France) a fait blocage.

Màj du 19/07/2000 : le Conseil Européen a finalement levé les restrictions à l'exportation de cryptographie le 22 juin, signale ZDNet dans son édition du 20 juillet 2000 :
Extrait de ZDNet :
"Selon nos sources, ce retard s'explique par un délai exigé par deux États membres : le Danemark et le Royaume-Uni, mais concernant des produits à double usage autres que ceux de chiffrement."
 

L'Union Européenne impose sa politique de libre circulation du chiffrement face aux Etats-Unis
2000/05/23
Selon ZDNet.fr, les ministres des Affaires étrangères de l'Union Européenne, réunis hier à Bruxelles, ont décidé de lever les dernières barrières techniques à l'exportation de logiciels de cryptographie vers des pays extérieurs à l'Union. Les licences d'exportation ont notamment été supprimées pour les 10 principaux grands pays. 
Cette importante décision européenne intervient au moment où les Etats-Unis continuent à essayer de limiter la libre circulation de cryptographie dans le monde.
Voir aussi l'article de Telepolis
 

Le réseau Freenet, remède à la censure sur le réseau Internet
2000/05/23
Sous le titre "L'anarchie est au bout du clavier", le quotidien Libération consacre un article au réseau Freenet. Le responsable du projet, Ian Clarke, considère dans une interview que son réseau est le seul remède à une régulation autoritaire du réseau Internet.
Freenet (site principal en anglais)
Voir notre brève du 23 mars
Extraits de l'interview :
"Freenet a été conçu pour le bénéfice de tous, et si certains s'avèrent être des criminels, nous n'y pouvons rien. Est-ce que l'industrie agroalimentaire se soucie du fait que la nourriture qu'elle produit peut être consommée par des criminels (leur donnant ainsi l'énergie de commettre des crimes)?"
 

Le point sur GnuPG pour Windows
2000/05/22
Dans un message posté sur la liste de discussion "gnupg-users", Werner Koch, le responsable du développement de GnuPG, fait le point sur l'état d'avancement de la version Windows. Il annonce que la prochaine version 1.0.2 devrait être utilisable sous Windows de la même façon que la version Unix.
 

AES : PGP Security Inc. vote Twofish
2000/05/21
Le nouvel algorithme symétrique de PGP 7.0 est Twofish
Twofish est avec Rijndael et Serpent l'un des trois candidats favoris parmi les finalistes pour la désignation cet été de l'algorithme AES (Advanced Encryption Standard), futur standard cryptographique officiel américain (et de facto, international) chargé de remplacer le standard DES. Twofish est également désigné par la rumeur comme le gagnant de l'AES car il a été conçu par un américain (Bruce Schneier).
Dans un message posté sur la liste PGP-Users, Will Price, de PGP Security Inc., explique le choix de l'équipe de PGP. 
Jusqu'à PGP 7.0, les algorithmes symétriques de PGP avaient été IDEA (PGP 2.x), CAST et Triple-DES (PGP 5.x et 6.x). La sortie de PGP 7.0 est annoncée pour juillet.
 

GnuPG dispose d'une interface graphique (beta) : GPA
2000/05/17
Une interface graphique nommée GPA (Gnu Privacy Assistant) est disponible en version beta 0.30 (Linux) sur le site de GnuPG. Une version Windows est en préparation.
GnuPG est la version logiciel libre de PGP (voir notre page de présentation).
 

Un trou de sécurité dans le module chiffré (SSL) de Netscape 4.72 et inférieurs
2000/05/13
Selon le CERT (Computer Emergency Response Team), le protocole chiffré SSL utilisé par Netscape versions 4.07 à 4.72 incluse ne vérifie pas convenablement l'authenticité du certificat d'un site web chiffré. La version 4.73 corrige le trou de sécurité.
Extraits :
"Our team has discovered a flaw in Netscape Navigator that allows bypassing of warning about an invalid SSL certificate. SSL protection is used in most major Internet-based financial services (e-banking, e-commerce). The flaw we have found effectively disables one of the two basic SSL functionalities: to assure users that they are really communicating with the intended web server - and not with a fake one. Using this flaw, the attacker can make users send secret information (like credit card data and passwords) to his web server rather than the real one - EVEN IF THE COMMUNICATION IS PROTECTED BY SSL PROTOCOL."
 

Netscape 4.73 Linux est disponible en version 128 bits
2000/05/11
Netscape Communicator 4.73 pour Linux est disponible en version US 128 bits.
 

Un plug-in PGP pour Netscape (Windows)
2000/05/10
Un plug-in e-mail (extension courrier) PGP pour Netscape Communicator Messenger  est disponible gratuitement en version alpha. Il est développé par une société américaine, Bear-Software, et fonctionne avec PGP 6.5.x et Netscape 4.x pour Windows.
A noter que son installation doit pour l'instant être faite à la main, et que le code-source n'est pas fourni.
Voir un tableau de tous les plug-ins PGP.
 

Le nouveau PGP Desktop Security 7.0 contient un firewall personnel
2000/05/09
PGP Security Inc. annonce la sortie de PGP Desktop Security 7.0 (vers juillet). Parmi les nouvelles fonctionnalités de PGP, on note la présence d'un firewall (pare-feu) personnel.
Voir notre brève du 21 mars

Autres nouveautés: les algorithmes Twofish (256 bits) et RIPEMD-160 qui étaient déjà inclus dans GnuPG (standard OpenPGP).
Extraits du communiqué de presse :
"PGP Desktop Security 7.0 introduces personal firewall and personal IDS capabilities that create a dual-layer security perimeter around any computer they protect. Personal IDS technology, based on PGP Security's award-winning CyberCop intrusion protection solutions, guards users against common attacks such as SYN and ping floods, Smurf, and Back Orifice.
(...)
PGP Desktop Security 7.0 also includes world-class, strong encryption capabilities for e-mail, disks and files. Building upon PGP Security's Open PKI initiative, version 7.0 gives customers freedom of choice for certificate infrastructure (PGP keys or X.509 v3 certificates). In addition to supporting X.509 v3 certificates from leading PKI vendors such as VeriSign, Entrust and Network Associates, PGP Desktop Security 7.0 adds support for iPlanet Certificate Management System 4.x (formally Netscape CMS 4.x). PGP Desktop Security also raises the bar on ease-of-use by introducing ``single click enrollment'' into PGP and X.509 PKIs."
 

Une réaction d'un développeur de PGP aux rumeurs répandues par le gouvernement allemand
2000/05/08
Dans un message signé posté sur la liste de discussion "PGP-users", Will Price, le responsable du développement de PGP chez NAI (Director of Engineering, PGP Security Inc., a division of Network Associates Inc.), réagit aux rumeurs répandues par le gouvernement allemand à propos de la sécurité de PGP.
Extraits :
"If you're just looking for a random conspiracy theory to believe, remember that PGP development is funded by users, and GPG development is funded by the German government. There is a always a tendency at government levels to prefer domestic solutions to national security concerns."
Voir notre brève du 30 janvier
 

Seahorse 0.45 pour GnuPG est disponible en français
2000/05/08
Sortie de la version 0.45 de Seahorse, l'interface graphique pour GnuPG, la version libre de PGP. Parmi les nouveautés : le support du français.
 

Un projet de traité européen propose la possibilité d'intrusions informatiques ("cyber" perquisitions)
2000/05/05
Le Conseil de l'Europe a rendu public le projetd'une "convention sur la criminalité dans le cyberespace" qui propose notamment d'adopter une notion de "cyber" perquisition qui permettrait aux services de police d'effectuer des intrusions informatiques contre les suspects.
Il faut noter qu'en France, selon les textes actuellement en vigueur toute perquisition doit être effectuée en présence ou avec information de la personne  (pour le domicile uniquement,  les écoutes téléphoniques pouvant elles être effectuées sans information de la personne).
Voir les articles :
Souriez, vous êtes cyberfouillés (Libération)
Bienvenue dans l'ère du téléflicage (Transfert)
Cybercrime Solution Has Bugs (Wired)
 

Scramdisk 3.01r2
2000/05/03
Une mise à jour "release 2" de Scramdisk 3.01A est disponible. Elle corrige quelques bugs mineurs et ajoute quelques fonctions.
 

Scramdisk 3.01 est disponible
2000/05/02
La version 3.01A du logiciel de chiffrement pour disque dur Scramdisk (sous Windows 95/98) est disponible. 
Il s'agit d'une mise à jour majeure du logiciel avec de très nombreuses améliorations, notamment concernant l'interface graphique.
Nouveautés (entre autres) :
- interface graphique entièrement réécrite;
- l'icône de la barre d'outil indique si un disque est monté;
- la barre d'outils a un menu;
- "Traveller" pour une installation sur une disquette floppy ou ZIP;
- containers jusqu'à 4 Gig (FAT32);
- containers à partir de 250 ko;
- assistant de création de disques chiffrés;
- scandisk et defrag peuvent être lancés depuis Scramdisk;
- fonction de "wipe" (nettoyage) entièrement réécrite;
- possibilité de monter un disque en "lecture seule";
- le mot de passe n'est plus mis en cache par le pilote; etc.

Voir :
présentation de Scramdisk 3.01A
présentation de Scramdisk 2.02H
 

Un comparatif des logiciels de chiffrement "à la volée" (pour Windows)
2000/05/02
Sarah Dean a mis en ligne un comparatif très complet des logiciels de chiffrement "on-the-fly" (à la volée) du disque dur pour Windows. Sont traités : BestCrypt, E4M, Invincible Disk, PGPDisk, SAFE Folder, SafeHouse, ScramDisk.
Les notes consacrées à ScramDisk sont notamment très intéressantes (quelques attaques possibles sont aussi pointées pour la version 2.02H).
 
 
 


 


Mise à jour : juillet 2000
© 1997, 1998, 1999, 2000, pplf 14A0 4A67 0431 2402 684D 6EBA 537F 664D 3F80 0D58
pgpenfrancais@bigfoot.com


accueil  |  présentation  |  sommaire  |  histoire  |  version française  |  mode  d'emploinews  |  autre crypto