Voir le
sommaire
des archives des news.
Aux
USA, les services de police concilient la liberté de chiffrement
avec la pratique d'écoutes téléphoniques et numériques
2001/05/08
Selon le Rapport
américain sur les écoutes 2000 cité par le webzine
Transfert,
l'utilisation libre de chiffrement fort aux Etats-Unis n'empêche
pas les services de police de pratiquer les écoutes téléphoniques
et numériques qu'ils souhaitent.
En France, actuellement un débat très vif
bien que peu médiatisé oppose les tenants du droit au secret
de la correspondance à certaines administrations qui souhaitent
pouvoir définir et réglementer la notion de "cryptologie"
dans la future Loi sur la Société de l'Information (LSI)
et argumentent sur leur besoin des écoutes téléphoniques
et numériques - Voir notre brève
et notre commentaire du 20 mars
Extraits :
"Public Law 106-197 amended 18 U.S.C. 2519(2)(b) to
require that beginning with the 2000 Wiretap Report, reporting should reflect
the number of wiretap applications granted for which encryption was encountered
and whether such encryption prevented law enforcement officials from obtaining
the plain text of communications intercepted pursuant to the court orders.
In 2000, encryption was reported to have been encountered in 22 wiretaps;
however, in none of these cases was encryption reported to have prevented
law enforcement officials from obtaining the plain text of communications
intercepted."
Version
0.20 de WinPT, le clone de "PGPtray" pour utiliser GnuPG sous Windows
2001/05/08
Une version WinPT 0.20 est disponible
pour Windows 95/98, Me, NT, 2000.
WinPT est un clone de PGPtray pour utiliser GnuPG sous Windows.
PGP
Security Inc. joue son va-tout sur le futur PGP 7.1 et lance un beta-test
public
2001/05/05
PGP Security Inc., la filiale de Network Associates (NAI), annonce
le lancement d'un beta-test
public pour "PGP Corporate Desktop Security Suite Beta 7.1".
Après le départ de Phil Zimmermann et les
critiques de certains utilisateurs contre les versions 7.0 (code-source
gardé secret, lourdeur et instabilité du logiciel), et alors
que "Pretty Good Privacy" fêtera le mois prochain les dix ans de
sa création, PGP Security Inc. tente de restaurer la confiance des
utilisateurs en repensant la conception du logiciel : à l'énorme
"suite" de sécurité succèdent quatre programmes distincts
: PGPmail (Email and File Security), PGPdisk (Disk Security), PGPvpn (IPsec
Virtual Private Networking), PGPfire (Personal Firewall and Personal IDS).
Cependant, si le code-source de PGP 7.1 n'est pas intégralement
publié, tous ces efforts resteront vains.
Par ailleurs, on remarque que seules sont prévues
des versions Windows et Mac OS 8, PGP Security Inc. ayant visiblement choisi
d'ignorer les systèmes Unix comme Linux et Mac OS X.
Le
site "OpenPGP en français" a été gravé sur
le réseau Freenet
2001/05/04
Un correspondant anonyme nous informe qu'une copie de ce site a
été déposée sur le réseau Freenet à
l'adresse freenet:MSK@OpenPGP//
Freenet est
une sorte de Gnutella perfectionné : c'est un sous-réseau
d'Internet dont la caractéristique principale est d'être chiffré,
anonyme, et non censurable : une fois déposés sur Freenet,
les documents ne peuvent pas en être retirés. Depuis quelques
mois le nombre de documents déposés sur Freenet a explosé
et plusieurs sites web entiers y sont désormais consultables.
Rappel : la seule copie valide de ce site est à
l'adresse Internet web http://www.geocities.com/openpgp/
GnuPG
1.0.5 command-line pour Windows 9x/Me/NT/2000
2001/05/03
GnuPG est disponible
pour Windows 9x/Me/NT/2000 en version ligne de commande.
La version graphique (GNU Privacy Assistant) devrait
sortir dans les jours qui viennent.
GnuPG
1.0.5 est enfin disponible (Linux)
2001/04/29
La très attendue version stable 1.0.5 de GnuPG
est disponible (pour Linux).
ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-1.0.5.tar.gz
(Linux/Unix)
Extraits des nouveautés :
"* WARNING: The semantics of --verify have changed
to address a problem with detached signature detection.
* WARNING: Corrected hash calculation for input data
larger than 512M - it was just wrong, so you might notice bad signature
in some very big files.
* Secret keys are no longer imported unless you use
the new option --allow-secret-key-import.
* New command "showpref" in the --edit-key menu to
show an easier to understand preference listing.
* There is now the notation of a primary user ID.
* New --charset=utf-8 to bypass all internal conversions.
* Large File Support (LFS) is now working.
* New options: --ignore-crc-error, --no-sig-create-check,
--no-sig-cache, --fixed_list_mode, --no-expensive-trust-checks, --enable-special-filenames
and --use-agent. See man page.
* New command --pipemode, which can be used to run
gpg as a co-process.
* Keyserver support for the W32 version.
* Rewritten key selection code so that GnuPG can better
cope with multiple subkeys, expire dates and so.
* The verification status of self-signatures are now
cached. "
Une
archive web de la liste de discussion "pgp-users"
2001/04/26
La liste de discussion "pgp-users"
est désormais disponible en ligne sur le web (en lecture seule).
Autres archives intéressantes : les listes anglaises
de
gnupg et la liste francophone open-crypto
(archives sur abonnement).
Le
W3C publie ses premières recommandations sur le chiffrement dans
XML
2001/04/24
Le World Wide Web Consortium (W3C), un des organismes de standardisation
d'Internet, a publié un premier "draft" sur le chiffrement
dans XML.
Voir la page du W3C
XML Encryption Working Group.
XML (Extensible Markup
Language) est un métalangage destiné à remplacer
le langage HTML. Il permettra notamment d'unifier les formats de document
utilisés actuellement. L'inclusion du chiffrement dans XML est donc
un enjeu primordial.
Une
nouvelle version de test pour GnuPG : la 1.0.4h (Linux)
2001/04/19
Une nouvelle version de développement de GnuPG est disponible
en vue de tester une dernière fois les fonctionnalités de
la future 1.0.5.
Nouvelle
version du draft "MIME Security with OpenPGP"
2001/04/12
Une nouvelle version du papier (draft) "MIME
Security with OpenPGP" est mise en ligne par l'IETF (Internet Engineering
Task Force).
Voir les autres
drafts du standard OpenPGP.
Un
bug dans l'armure ASCII touche les versions Windows de PGP
2001/04/11
Un
bug touche les versions Windows de PGP (versions 5 à 7.0.3 incluse).
Ce bug permet dans certaines circonstances d'exécuter du code arbitraire
dans Windows. Ce bug semble davantage lié à Windows qu'à
PGP lui-même.
Extraits de l'alerte :
"The PGP ASCII Armor parser provided with most versions
of PGP (see 'Vulnerable Versions' section below) contains a behaviour that
allows the creation of an arbitrary file in the same directory as the armored
file. Since this file can contain arbitrary bytes, this can easily lead
to the execution of arbitrary code on the Windows platform."
Un patch
pour PGPfreeware 7.0.3 a été diffusé par NAI (mais
aucun patch pour PGP 5 et 6 ne semblent prévus).
NAI
va travailler sur un programme sous licence GPL : la SE Linux de la NSA
2001/04/10
Network Associates Inc. (NAI), par l'intermédiaire de NAI Labs,
une division de PGP Security Inc. (qui n'a toutefois aucun rapport avec
le développement du logiciel de chiffrement PGP®), a signé
un contrat avec la NSA pour travailler sur le développement
de SE Linux, la version Linux de la NSA.
SE Linux étant un programme sous
licence GNU GPL, les apports éventuels de NAI Labs seront librement
réutilisables et modifiables par la communauté Linux..
Ce type de contrat entre NAI et les agences gouvernementales
américaines existe depuis la création de NAI et a toujours
alimenté les rumeurs parmi certains utilisateurs de PGP®, même
si les équipes de développement de PGP® sont indépendantes.
Voir notre brève du 25
mars
GnuPG
: une nouvelle version beta 1.0.4g (Linux)
2001/04/06
Une nouvelle version beta 1.0.4g de GnuPG pour Linux/Unix est disponible.
Ce devrait être la dernière beta avant la version stable 1.0.5
prévue ce mois d'avril.
Parmi les changements : Secret keys are no longer
imported unless you use the new option --allow-secret-key-import ; Corrected
hash calculation for some inputs greater than 512M.
Patch
cryptographique pour Linux 2.4.3
2001/04/06
Le patch cryptographique dit "international" 2.4.3.1 pour le noyau
Linux 2.4.3 est disponible. Il permet
d'ajouter la cryptographie au système de fichiers pour créer
et utiliser des containers chiffrés.
Voir le mode d'emploi sur notre page Linux.
GPA
0.4.1 est disponible (Linux/Unix)
2001/04/05
La version 0.4.1 de GNU Privacy Assistant, l'interface graphique de
GnuPG est disponible
pour Linux/Unix.
Package RPM
pour Linux-Mandrake 7.2.
Cette version est compatible avec GnuPG 1.0.4f.
Le
projet de loi LSI aura notamment pour objectif d'interdire la liberté
de chiffrement
2001/04/05
Selon Le Monde, le Secrétaire d'Etat à l'industrie, M.
Christian Pierret, a signé le 30 mars 2001 le texte quasi-définitif
du projet
de Loi sur la société de L'information (LSI), qui va
maintenant être examiné pour avis consultatif par le Conseil
d'Etat.
Voir l'article du Monde : "Le
gouvernement donne le coup d'envoi à la société de
l'information".
Voir l'article de Transfert : "La
LSI, (avant) dernière".
Le projet LSI a renoncé à libéraliser totalement
la cryptologie, comme l'avait pourtant annoncé M. Lionel Jospin
en janvier 1999. Un des objectifs du projet de loi sera au contraire de
limiter la diffusion du chiffrement et d'interdire la liberté de
fourniture, donc la liberté d'utilisation, des outils de chiffrement
(qu'ils soient informatiques ou non).
Ce choix se situe dans la continuité d'une tradition
française d'encadrement de la partie des mathématiques appliquée
à la cryptologie, tradition motivée principalement par les
besoins des écoutes téléphoniques et des nouvelles
écoutes numériques (communications Internet).
Voir notre commentaire
du 20 mars
Extraits de l'article du Monde :
"Les prestataires de services ont l'obligation de
faire une déclaration aux services du premier ministre et tenir
à leurs dispositions une description des caractéristiques
techniques des moyens de cryptage utilisés. Lorsque la cryptologie
ne porte pas uniquement sur l'authentification, une demande d'autorisation
préalable est nécessaire."
La
mise en place d'une "preuve numérique" en France suscite des interrogations
2001/04/04
Après la parution des décrets entérinant la modification
des dispositions du Code civil sur la preuve et instaurant une "preuve
numérique", des interrogation se font jour, concernant notamment
la sécurité des protocoles cryptographiques qui seront utilisés.
Par ailleurs, numériser la preuve civile et commerciale, c'est lui
communiquer tous les risques informatiques actuels, tant les risques de
malveillance (piratage, intrusion, virus), que les risques de bugs des
logiciels.
D'une part, au niveau des standards de signature utilisés : le standard le plus analysé au monde, OpenPGP, pourrait être exclu de la liste car il est basé sur une confiance non centralisée dite "web of trust" (par opposition aux systèmes à certification centralisée qui seront nécessaires dans l'hypothèse des "preuves numériques" légales). En outre, bien que très surveillé par des centaines de cryptographes, de petites failles de sécurité y sont régulièrement détectées (voir la récente attaque tchèque sur les signatures). Le choix d'un autre standard qu'OpenPGP posera au moins autant de problèmes de sécurité cryptographique ; et le ou les standards retenus devront avoir eu leur code-source publié, être surveillés publiquement en permanence, et être suspendus immédiatement en cas de découverte d'une faille.
D'autre part, au niveau des certificateurs : depuis l'affaire Verisign de mars 2001, on sait que les autorités de certifications ne sont pas fiables.
Rappelons enfin qu'actuellement, la communauté Internet utilise un système volontaire de signature numérique reposant sur le réseau de confiance (le "web of trust"), et symbolisé notamment par PGP : par exemple, pour les logiciels informatiques (les mises à jour d'antivirus sont souvent signées en PGP par le fabricant d'antivirus), ou les alertes sur le piratage informatique (les mises en garde du CERT ou celles de Microsoft sont signées en PGP).
A lire aussi :
LMI : Un
décret publié mais inapplicable
ZDNet : La
signature électronique pourrait empoisonner France Télécom
Transfert : Signature
électronique : sous le signe du business
Parution
au J.O. du décret sur la signature électronique
2001/03/31
Le décret n°2001-272 du 30 mars 2001 relatif à la
signature électronique est
paru au Journal Officiel.
GPGMail
est disponible (MacOS X)
2001/03/29
Un plugin pour l'application Apple de Courrier ("Mail Viewer/Mail")
est disponible : GPGMail.
(MacOS X Server / MacOS X).
Sortie également de l'installateur Easy
Install GnuPG en version 1.0.4p1.
PGP
Security Inc. renonce à fournir un patch contre l'attaque Klima/Rosa
2001/03/29
PGP Security Inc. (NAI) publie sur son site un avertissement
au sujet de l'attaque des tchèques Klima et Rosa sur les signatures
au format OpenPGP. Après avoir rassuré les utilisateurs,
la compagnie annonce que PGP ne sera protégé contre l'attaque
que dans sa prochaine version prévue vers le milieu de l'année.
Extraits :
"We acknowledge the vulnerability theoretically exists,
but want to assure our users that to exploit the vulnerability requires
physical access to the computer and modification of files. Since the first
tenant of security and privacy is to maintain control of the computer,
if this basic requirement is met, any threat is minimal. (...)
PGP acknowledges that this could possibly be exploited,
and we will be implementing measures to prevent this in the next release
of the product, which will be available mid-year. "
Une
version beta GnuPG 1.0.4f propose une protection contre l'attaque Klima/Rosa
2001/03/27
Une version GnuPG 1.0.4f est disponible (Linux). Elle propose un patch
contre l'attaque des tchèques Klima et Rosa. Voir le message
de Werner Koch.
Extraits :
"Some bugs are fixed, a lot of things changed, a protection
against the Klima/Rosa attack has been implemented, expiration checking
should work better now, some things are slower, some things are faster."
Attention : même si les versions de développement de GnuPG
sont réputées pour leur grande stabilité, il s'agit
là d'une version beta.
ftp://ftp.gnupg.org/pub/gcrypt/devel/gnupg-1.0.4f.tar.gz
ftp://ftp.gnupg.org/pub/gcrypt/devel/gnupg-1.0.4f.tar.gz.sig
Un
projet de loi anglais veut limiter la liberté d'information sur
la cryptologie et la sécurité informatique
2001/03/27
Selon un message du cryptographe Ross
Anderson posté sur la liste de discussion "ukcrypto", le projet
de loi "Private Security Industry Bill" proposé par le gouvernement
anglais veut limiter la liberté d'information sur la cryptologie
et la sécurité informatique. Des listes de discussion
comme bugtraq, pgp-users, ou ukcrypto, seraient alors concernées.
Extrait du message :
"If this bill passes, you will need a licence from
the Home Office to consult on information security or cryptography. It
introduces controls on `the giving of advice about the taking of security
precautions in relation to any risk to property or to the person' (...)
There are exemptions for lawyers, accountants and
management consultants. There's even a training exemption that might be
interpreted as a get-out for academics teaching security courses. But there
is no exemption for the ordinary systems analyst who has to specify information
protection mechanisms as part of his job. (The directors of his company
can go to jail, too.)
Some parts of the Bill have exemptions for journalists
(e.g., the part on private eyes, schedule 2, part 1, 4). However, the part
that deals with security consulting has no such exemption. SO even if material
is destined for publication - newspaper articles, postings to ukcrypto,
my next security book - it seems that the author may need to get a licence,
if the bill is interpreted as meaning what it says."
La
vice-présidente de la CNIL voit dans le chiffrement "un outil de
protection de la vie privée et un droit reconnu"
2001/03/27
Lors d'un colloque
sur "le chiffre, le renseignement et la guerre" qui s'est tenu le week-end
dernier à l'Historial de la Grande Guerre à Péronne
(Somme), Mme Louise Cadoux, vice-présidente de la Commission Nationale
de l'Informatique et des Libertés (CNIL),
a considéré que le chiffrement est "un outil de protection
de la vie privée, un droit reconnu sans hésitation mais dont
le contenu et le périmètre sont mal identifiés".
Elle a aussi déclaré que le chiffrement assure également
la revendication du "droit à l'anonymat", un droit "directement
issu d'un très vieux proverbe : `pour vivre heureux, vivons caché'
".
On relèvera que M. Jean-Louis Desvignes, l'ancien
chef du SCSSI, aujourd'hui Directeur de l'Ecole des Transmissions, avait
tenu à assister à ce colloque; lui et d'autres y ont dénoncé
notamment la libéralisation partielle de la cryptologie en 1999
comme une "abdication" qui "sonne sans doute le glas du contrôle
démocratique de notre société", et ont expliqué
que "la justification des écoutes et des interceptions est souvent
la sécurité nationale où la lutte contre "les quatre
cavaliers de l'infocalypse" (le crime organisé dont les narco-trafiquants,
les terroristes, les blanchisseurs d'argent et les pédophiles)."
Freenet
pour Mac
2001/03/26
Une interface graphique Mac (OS 9 et OS X) est disponible pour le serveur
Freenet 0.3.7.2 : MacFrenet.
Voir la nouvelle présentation du site
français de Freenet.
Deuxième
partie de l'article "Uncovering the secrets of SE Linux"
2001/03/25
La deuxième partie de l'article "Uncovering
the secrets of SE Linux" sur la distribution Linux de la NSA, est disponible
sur le site d'IBM.
Voir notre brève du 9 mars.
A noter aussi le début de polémique
sur les véritables projets de la NSA autour du noyau Linux.
L'autorité
de certification Verisign accorde à un pirate deux certificats numériques
au nom de Microsoft
2001/03/24
L'autorité de certification Verisign, première entreprise
mondiale de son secteur, a accordé fin janvier 2001 à un
pirate deux certificats numériques au nom de Microsoft. Ces certificats
sont utilisés pour signer les logiciels et en garantir la provenance
lors de la mise à jour de Microsoft Windows (Windows Update, Office
Update) ou pour signer les contrôles ActiveX utilisés par
les sites web lors du surf avec Microsoft Internet Explorer. Le pirate
a pu utiliser et peut encore utiliser ces certificats numériques
Verisign pour signer des virus et les installer dans les ordinateurs utilisant
Windows, Office, ou Internet Explorer. Microsoft prévoit de publier
un patch.
Il est conseillé de récupérer au
plus vite le certificat de révocation
(le sauver sur le disque puis faire un clic-droit sur le fichier CRL et
choisir "installer") qu'a mis en ligne Verisign.
Il s'agit d'une atteinte grave portée à la crédibilité
de la société Verisign et plus généralement
au concept d'autorité de certification.
Voir l'alerte du CERT.
Voir l'article de Transfert.
Bien
que difficilement exploitable dans la pratique, l'attaque tchèque
sur les signatures de PGP met en lumière des faiblesses inquiétantes
dans le module de signature OpenPGP
2001/03/23
L'attaque
réalisée par les tchèques Klima et Rosa est difficilement
exploitable dans la pratique. L'attaquant doit avoir la triple possibilité
de lire le fichier trousseau de clefs secrètes, de modifier ce fichier,
puis d'intercepter une signature effectuée par le propriétaire
de la clef à l'aide du fichier modifié. Dans la réalité,
l'attaquant aura plus vite fait de mettre sur l'ordinateur visé
un cheval de troie ou un enregistreur de touches du clavier pour capturer
la phrase de passe de l'utilisateur.
Ajoutons que seule la fonction de signature d'OpenPGP est prise en
défaut, et pas celle de confidentialité (un message chiffré
ne peut pas être décrypté grâce à cette
attaque).
Voir l'analyse
du cryptographe Hal Finney.
Le conseil qui a toujours été donné par les manuels d'utilisation de PGP et GnuPG et qui devient maintenant impératif est : protégez vos trousseaux de clefs ! Toute clef privée qui a pu être lue et copiée par un inconnu doit être considérée comme perdue et doit être révoquée.
A l'heure actuelle, les premières analyses sur la liste de discussion
ietf-openpgp
semblent estimer que l'attaque est astucieuse, que les versions de PGP
et GnuPG vont être difficiles à patcher, et que le format
OpenPGP actuel de signature est mis en question.
"The
attack to private signature keys in OpenPGP format" est disponible
2001/03/22
L'étude détaillée
des deux cryptographes tchèques Vlastimil Klima et Tomas Rosa, "The
attack to private signature keys in OpenPGP format, PGP program and other
OpenPGP based applications", sur une faille dans les signature digitales
d'OpenPGP, est disponible. Une FAQ
a aussi été mise en ligne.
Voir les commentaires sur les listes de discussion ietf-openpgp
et gnupg-users / gnupg-devel .
Deux
chercheurs tchèques considèrent qu'une faille existe dans
le format des messages OpenPGP
2001/03/21
Deux chercheurs tchèques ont annoncé qu'ils avaient trouvé
une faille dans le format des messages OpenPGP.
Voir l'annonce.
Voir la réponse de Jon
Callas (du groupe de travail OpenPGP).
Voir l'article de SiliconValley.com
et de Wired
PGP
Desktop Security 7.0.4
2001/03/20
PGP Security Inc. (NAI) publie une version d'évaluation de PGP
Desktop Security 7.0.4 (Windows).
PGP 7.0.4 est la première version de PGP publiée
par NAI depuis le départ de Phil Zimmermann.
Le
gouvernement continue à vouloir légiférer sur la notion
de "cryptologie"
2001/03/20
La nouvelle
version de l'avant-projet sur la LSI ne contient toujours pas un article
unique abrogeant toutes les dispositions actuelles de la législation
consacrées à la cryptologie. A l'inverse, la LSI a fait le
choix de définir et réglementer ce domaine de l'informatique
et du savoir (l'enseignement de la cryptologie pourrait notamment être
concerné de manière indirecte)
"Les
Echos" publient un second état du texte du futur projet de loi concernant
la cryptologie
2001/03/19
Le quotidien Les
Echos publie un second état du texte de l'avant-projet du gouvernement
pour la Loi sur la Société de l'Information (LSI), notamment
le passage concernant la cryptologie.
Télécharger le texte au format
PDF
Voir notre brève du 7 février
Le
projet Freenet choisit de faire appel aux donations
2001/03/18
Le projet Freenet, qui cherche
à mettre en place un sous-réseau chiffré et anonyme
aussi simple à utiliser que le réseau Internet, a choisi
de faire appel aux donations pour assurer son développement.
La version 0.3.7.2 de Freenet est sortie au début
du mois. Freenet est notamment utilisé par Espra,
un logiciel d'échange de fichiers MP3 "à la Napster", mais
anonyme et résistant aux attaques.
L'armée
allemande aurait décidé de retirer ses logiciels Microsoft
pour des raisons de sécurité
2001/03/18
Selon le journal allemand "Der Spiegel" cité par le webzine
anglais "TheRegister" dans un article intitulé "German
armed forces ban MS software, citing NSA snooping", la Bundeswehr,
l'armée allemande, aurait décidé de retirer de ses
services sensibles les logiciels édités par Microsoft en
raison du soupçon de manipulation par la NSA des versions compilées
fournies par le fabricant américain.
A noter que selon des rumeurs, le système d'exploitation Microsoft
Windows NT serait utilisé sur de nombreux ordinateurs de l'armée
française.
Màj du 21/03/2001 : voir les articles de Wired
et ZDNet.fr
(l'armée allemande dément les informations du "Spiegel",
mais un hacker du CCC les confirme).
Extraits :
"The German foreign office and Bundeswehr are pulling
the plugs on Microsoft software, citing security concerns, according to
the German news magazine Der Spiegel. Spiegel claims that German security
authorities suspect that the US National Security Agency (NSA) has 'back
door' access to Microsoft source code, and can therefore easily read the
Federal Republic's deepest secrets."
GnuPG
sur Mac : un patch pour Mac OS X et un projet MacGPG
2001/03/12
Le site MacSecurity a publié un patch
Mac OS X pour GnuPG 1.0.4. Par ailleurs, un projet Mac
GPG vient d'être lancé pour automatiser l'installation
et le paramétrage de GnuPG sur MacOS X (voir script),
et créer une interface graphique Mac.
Un
nouveau noyau crypto 2.4.2-6mdk non-officiel pour Linux-Mandrake
2001/03/10
Michel Bouissou a compilé un nouveau noyau crypto basé
sur le 2.4.2-6mdk fourni par MandrakeSoft, et créé des "packages"
RPM prêts à utiliser.
Ces RPM ont été testés sur Linux-Mandrake
7.2 mais ne sont pas supportés officiellement par MandrakeSoft.
Lire la documentation
pour l'installation et l'utilisation de containers chiffrés (voir
notre page Linux).
Packages RPM ftp://ftp.i-quake.com/pub/linux/kernel-crypto/Mandrake-unofficial/RPMS/
(le fichier "source" de 20 Mo est facultatif)
Sources SRPMS : ftp://ftp.i-quake.com/pub/linux/kernel-crypto/Mandrake-unofficial/SRPMS/
Voir notre brève du 11 janvier
Un
premier examen du code de la version NSA de Linux ("SE Linux")
2001/03/09
Un article sur le site d'IBM se livre à un examen
de la distribution Linux sécurisée de la NSA : SE Linux.
Fin décembre 2000, la NSA a publié sous
licence GNU GPL une distribution Linux intitulé "Security-Enhanced
Linux" (SE Linux) incluant des patchs de sécurité. La
NSA ayant une mission janusienne (assurer la sécurité de
certains systèmes et compromettre la sécurité d'autres
systèmes), un long examen du code-source fourni par la NSA est nécessaire.
Plus
de 100.000 visites sur la page d'accueil de ce site
2001/03/09
Ce site a reçu plus de 100.000 visites sur sa page
d'accueil en deux ans (date de mise en place d'un compteur).
Ce chiffre montre l'intérêt des internautes
francophones pour PGP et la cryptographie en général.
Eraser
5.0 est disponible (Windows)
2001/03/08
La version 5.0 d'Eraser
est disponible (pour Windows). Eraser sert à effacer de façon
sécurisée (wipe) les données présentes sur
un disque dur. Le code-source est fourni et la licence est GNU GPL.
Voir la traduction française de la FAQ
d'Eraser sur le site "Bug Brother".
La
plus grande partie des communications de la Commission Européenne
ne serait pas chiffrée de manière satisfaisante
2001/03/07
Selon le Bulletin Lambda 7.02 (mars
2001), un site web indépendant, la NSA n'aurait pas directement
vérifié le système de chiffrement de la Commission
Européenne, contrairement à ce qui avait été
dit. Mais on apprend que le chiffrement des e-mails n'est pas prévu
par le système informatique et que les rares outils de chiffrement
utilisés ont été achetés il y a dix ans à
la société Siemens (voir aussi l'article de Transfert).
Voir notre brève du 1er mars.
Par ailleurs, selon une rumeur, les ordinateurs personnels des fonctionnaires
de la Commission Européenne utiliseraient non seulement le système
d'exploitation Microsoft Windows NT (programme d'origine américaine
et dont les codes-sources sont gardés secrets), mais aussi le logiciel
de messagerie Microsoft Outlook (particulièrement vulnérable
aux virus et aux chevaux de Troie), et surtout des certificats Outlook
comme outil de chiffrement (forte probabilité d'affaiblissement
par la NSA).
On notera que les mêmes fonctions pourraient être
assurées sur les ordinateurs personnels des fonctionnaires à
l'aide du système d'exploitation Linux
dont la licence est gratuite et le code-source public (par exemple Linux-Mandrake
ou SuSE-Linux), avec un environnement de bureau convivial pour les débutants
en informatique (KDE ou Gnome), et des outils de messagerie comme KMail
ou Evolution, avec des logiciels de chiffrement libres dont la résistance
a été vérifiée publiquement par la communauté
informatique (GnuPG, OpenSSL).
Extraits du bulletin Lambda :
"La NSA américaine n'a pas directement certifié
tout ou partie des systèmes de chiffrement communautaires. Mais
elle a bien certifié un algorithme nommé Saville, dont s'est
servi Siemens pour concevoir un système de chiffrement vendu en
1991 à la CE et employé depuis. Rien n'indique donc, par
extension, que la NSA aurait eu les clés de décryptage des
systèmes européens, comme l'a laissé entendre le papier
de Libération. (...)
Perkins a révélé que tous les
courriers électroniques émanant de la CE, comme ceux échangés
entre ses 129 délégations ne sont pas protégés.
Et en plus, les e-mails chiffrés ne risquent pas d'être opérationnels
avant 2 ans! Les seuls systèmes de cryptage en activité sont,
apparemment, limités au téléphone et aux fax. (...)
La moitié seulement des délégations
de la CE équipées des systèmes de chiffrement, les
emails qui circulent en clair dans la maison comme lors d'échanges
avec le monde extérieur, tout cela ne fait pas très sérieux.
"
KDE
2.1 (Linux) offre un support OpenPGP pour les forums (KNode) et le courrier
(KMail)
2001/03/02
La nouvelle version 2.1 de l'environnement de bureau pour Linux/Unix
KDE
contient le logiciel pour forums de discussion KNode 0.4 (nouvelle fonction
de signature / vérification des messages OpenPGP), et l'outil de
courrier électronique KMail 1.2 (amélioration du support
OpenPGP + correction du bug de la version française 1.1.99).
Le
responsable du chiffrement des communications de la Commission Européenne
aurait livré des informations à un employé de la NSA
2001/03/01
Selon un article publié par le quotidien Libération
dans son édition datée du 1er mars, le "chef du bureau chargé
du cryptage des communications au sein de l'exécutif européen",
le Britannique Desmond Perkins, aurait reconnu publiquement avoir informé
en détail un employé de la NSA des dispositifs techniques
utilisés pour le chiffrement des communications de la Commission
Européenne.
Extraits :
"C'est le chef du bureau chargé du cryptage
des communications au sein de l'exécutif européen, le Britannique
Desmond Perkins, qui l'a lui-même reconnu: «J'ai toujours eu
de très bons contacts avec la NSA à Washington. Elle vérifie
régulièrement nos systèmes (de cryptage) pour voir
s'ils sont bien verrouillés et s'ils sont correctement utilisés.»
"
Màj du 02/03/2001 :
Voir les explications de la Commission.
Voir l'article du Monde : "Les
curieuses accointances du responsable des opérations de cryptage
de Bruxelles".
Publication
du draft FIPS pour l'algorithme AES
2001/03/01
Le draft de standardisation FIPS (Federal Information Processing Standard)
pour le nouvel algorithme AES a été
publié par le NIST américain.
Le standard AES a été désigné
en octobre dernier et s'est fixé sur l'algorithme belge Rijndael.
Voir notre brève du 2
octobre 2000
GNU
Privacy Assistant (GPA) est disponible en version française beta
(Windows & Linux)
2001/02/28
GNU Privacy Assistant (GPA), l'interface graphique de GnuPG, est disponible
en version française beta 0.40. L'archive Windows fait environ 2
Mo, et contient à la fois GnuPG et GPA, ainsi qu'une installation
automatique en français.
Windows
9x/Me/NT/2000 (GnuPG fourni)
Linux
/ BSD (binaire GnuPG nécessaire).
Voir nos captures d'écran
Un
patch pour la compilation de PGPfreeware 6.5.8 pour Linux
2001/02/27
Le code-source Linux de PGPfreeware 6.5.8 livré par NAI et distribué
par le MIT ne compilait pas correctement.
Len Sassaman et Ian Goldberg ont mis au point un patch
pour corriger le problème.
Voir notre brève du 23
septembre 2000
Seahorse
0.50 pour GnuPG (Linux)
2001/02/26
Seahorse 0.50, une interface graphique Ximian-Gnome (Linux) pour GnuPG,
est
disponible.
Une
interview de Phil Zimmermann
2001/02/26
Phil Zimmermann a accordé une courte interview
à ZDNet USA. Il annonce qu'il a en projet un logiciel de chiffrement
pour téléphone (en Java), et il s'explique plus avant sur
sa décision de quitter NAI.
Extraits :
"I've had a long-standing position on publishing source
code for crypto software. They didn't necessarily agree with that. I've
been working on the same project [PGP] for 10 years, and as long as I continued
to work there, they would own everything I do. I can't stay there forever.
"
EudoraGPG
: un plugin Eudora 4.x et 5.x pour GnuPG (Windows)
2001/02/24
Sortie d'une version beta d'EudoraGPG,
un plug-in GnuPG pour le logiciel de courrier Eudora 4.x et supérieur
(Windows). Il fonctionne notamment avec la version freeware Eudora 5.0.2.
En
quittant NAI, Phil Zimmermann condamne PGP® et accélère
le développement d'OpenPGP, un standard ouvert et libre
2001/02/19
Phil Zimmermann a posté dans les forums de discussion
un message aux utilisateurs de PGP expliquant
les causes de son départ de PGP Security Inc. / Network Associates
Inc. (NAI). Il annonce qu'il rejoint Hush Communications et qu'il lance
le consortium OpenPGP pour promouvoir l'adoption du standard de chiffrement
du même nom.
Phil Zimmermann explique qu'il quitte la compagnie car durant les trois
dernières années NAI a développé une vision
différente du futur de PGP, et qu'il veut retrouver un travail plus
en accord avec ses propres objectifs de protection de la vie privée.
Il précise aussi que NAI a fait le choix, extrêmement
surprenant, de ne pas publier les codes-sources de PGP 7.0.3 et des futures
versions de PGP, ce qui revient de facto à tuer la crédibilité
du produit, y compris l'actuel PGPfreeware 7.0.3.
Extraits :
"In the past three years, NAI has developed a different
vision for PGP's future, and it's time for me to move on to other projects
more fitting with my own objectives to protect personal privacy.
Let me assure all PGP users that all versions of PGP
produced by NAI, and PGP Security, a division of NAI, up to and including
the current (January 2001) release, PGP 7.0.3, are free of back doors.
(...)
New senior management assumed control of PGP Security
in the final months of 2000, and decided to reduce how much PGP source
code they would publish. (...)
I am also launching the OpenPGP Consortium (http://openpgp.org),
to facilitate interoperability of different vendors' implementations of
the OpenPGP standard, as well as to help guide future
directions of the OpenPGP standard."
GnuPG
version graphique pour Windows est disponible en beta
2001/02/19
Jan-Oliver Wagner a mis en ligne une beta de test de la version
graphique 1.0.4-17 de GnuPG.
La
diffusion du sous-réseau chiffré Freenet pourrait être
accélérée par Espra, un clone décentralisé
de Napster
2001/02/16
Sortie d'une version beta de Espra,
un système de partage de fichiers musicaux MP3 à la Napster,
basé sur le sous-réseau chiffré et anonyme Freenet.
La version beta n'est disponible pour l'instant que sous Windows.
Voir des détails sur le site infoAnarchy.
Voir la Homepage de Freenet.
Cette sortie intervient au moment où en Belgique
de grandes compagnies audiovisuelles viennent de faire arrêter
par la police des utilisateurs individuels de Napster pour infraction
à la législation sur la propriété intellectuelle.
Carnivore
: le système d'écoutes numériques du FBI change de
nom et devient "DCS"
2001/02/15
Le FBI a annoncé que son système d'écoutes des
communications Internet "Carnivore" a changé de nom et s'appelle
dorénavant DCS
(Digital Collection System). Malgré la ferme condamnation du
dispositif par les ONG concernées, le FBI n'a pas souhaité
le supprimer.
Sur Carnivore-DCS, voir le site de l'EPIC.
aTrans,
un logiciel de chiffrement des communications IP (Windows)
2001/02/14
Une nouvelle version de aTrans,
un logiciel de chiffrement des communications IP, est disponible pour Windows.
La licence est libre (mais pas GNU GPL). Le code-source est disponible
sur simple demande.
Fonctionnalités : Connexion en 2 clicks sur réseaux
IP, Transfert de fichiers chiffrés, Notes Chiffrées, Conversation
Chiffrées, Compression à la volée, Connexions bidirectionnelles
indépendantes multiples simultanées, Carnet d'adresse, Envoi
de fichier par glisser-déposer, Chiffrement des flux par Rijndael
128 bits (AES), Authentification et négociation des clés
: Diffie-Hellman/RSA 1024 bits, Compression (ZIP), Migration propre avec
création d'une archive de réinstallation autoextractible,
comprimée et chiffrée, Autour de 400 kilobytes, se ballade
facilement sur une disquette, Disponible en anglais et en français,
Gratuit, Parfaitement testé sur réseaux IP standards, Première
version avec support NAT.
Le
logiciel e-mail Sylpheed supporte GnuPG (Windows)
2001/02/13
Jan-Oliver Wagner a mis en ligne une version
anglaise 0.4.60 alpha du logiciel de courrier Sylpheed (version Windows)
qui supporte GnuPG Win32. L'installation
préalable de GnuPG est requise. Attention, ce n'est encore qu'une
version alpha (instable).
Voir la homepage de Sylpheed.
L'Association
des Utilisateurs d'Internet (AUI) voit dans l'avant-projet de loi sur la
Société de l'Information les signes d'une "Société
de Surveillance"
2001/02/09
Laurent Pelé, le trésorier de l'AUI
(Association des Utilisateurs d'Internet), publie un communiqué
dans lequel il exprime sa profonde inquiétude concernant l'avant-projet
de loi LSI.
Extraits :
"Déguisé sous le titre de "société
de l'information", Jospin veut instaurer la "société de surveillance"
sur Internet (...).
Au lieu de libéraliser la cryptographie, une
nouvelle réglementation verrait le jour où des agréments
seraient attribués non pas à des produits mais à des
personnes méritantes et complaisantes, ce qui est discriminatoire
et sans fondement. De plus la possibilité pour le juge de réclamer
des clés de chiffrement sous peine de prison est la porte ouverte
à des abus. "
Projet
de loi LSI : l'association IRIS craint la "politique du pire"
2001/02/09
L'association IRIS
a publié un communiqué suite à la révélation
par "Transfert" des premiers éléments du projet de Loi sur
la Société de l'Information (LSI). IRIS considère
que l'avant-projet, qui contient notamment des dispositions qui cherchent
à régir la notion de "cryptologie", constitue un bon indicateur
de la tendance choisie par le gouvernement. L'association exprime sa crainte
que "le gouvernement adopte la politique du pire".
On notera que selon le quotidien Libération,
'les dispositions de l'avant-projet concernant le durcissement des lois
sur la cybercriminalité ont été remaniées depuis,
et devraient faire l'objet d'un arbitrage du Premier Ministre dans les
jours à venir'.
Extraits du communiqué d'IRIS :
"La Commission européenne souffre d'un certain
libéralisme politique sur les questions d'anonymat, de protection
de la confidentialité et de la vie privée, et de cybercriminalité.
C'est donc du Conseil de l'Europe que la France se fait plutôt disciple
en cette matière, non sans emprunter « le meilleur du répressif
» instauré par certains pays (USA, Royaume-Uni). On notera
en particulier le choix de conserver tous types de données (y compris
données de navigation) pendant une année."
Voir notre brève du 7 février
Volte-face
du gouvernement : la cryptologie ne serait pas libéralisée
totalement - La notion de cryptologie continuerait d'être définie
et régie par la loi
2001/02/07
Selon les informations, à prendre au conditionnel, du magazine
Transfert,
l'avant-projet de loi sur la Société de l'Information (LSI)
ne libéraliserait pas totalement la cryptologie, contrairement aux
engagements pris par M. Lionel Jospin en 1999.
La partie concernant la cryptologie n'aurait dû logiquement contenir
qu'un seul article abrogeant les différentes dispositions françaises
qui ont encadré pendant des années cette partie des sciences
mathématiques et leur application informatique, ce qui aurait permis
à la France de se retrouver dans la situation normale des autres
pays européens. Au contraire, le texte disponible contient une longue
série de dispositions réglementant l'usage et la diffusion
de cryptographie (et même une obligation de décryptage).
Voir l'article de Transfert : "Crypto
: présumée coupable"
Extraits du projet :
"Art. 3.11 - On entend par moyen de cryptologie tout
matériel ou logiciel conçu ou modifié pour transformer
des données, qu'il s'agisse d'informations ou de signaux, à
l'aide de conventions secrètes ou pour réaliser l'opération
inverse de cette transformation avec ou sans convention secrète.
"
"Transfert"
publie le texte du futur projet de loi concernant la cryptologie
2001/02/06
Le webzine "Transfert" publie
un état du texte de l'avant-projet du gouvernement pour la Loi sur
la Société de l'Information (LSI), notamment le passage concernant
la cryptologie.
http://www.transfert.net/fr/cyber_societe/article.cfm?idx_rub=87&idx_art=3960
PGPfreeware
7.0.3 est disponible pour Windows et Mac
NOTE d'"OpenPGP en français" : nous désapprouvons
les choix effectués par les développeurs de PGP Security
dans la version 7.0.3 freeware pour Windows, nous regrettons certains bugs
étonnants (comme la copie automatique de l'ancien trousseau de clefs
secrètes dans "C:\Mes_Documents"), et nous confirmons les propos
de notre lettre-ouverte de septembre 2000 : "Qu'est
devenu PGP® ?"
Màj 2002 : le code-source de PGP 7.0 ayant été gardé secret par NAI, cette version est fortement déconseillée pour d'évidentes raisons de sécurité.
Phil
Zimmermann quitte Network Associates Inc.
Traité
Cybercriminalité : la Commission Européenne est favorable
au libre-usage de cryptographie
Affaire
DVD-DeCSS / 2600 : des cryptographes dénoncent un danger pour la
liberté d'expression
Extraits :
The statutory ?encryption research? exception
of Section 1201(g) does not alleviate the harms to amici. In
the cramped interpretation of the District Court, the ?good faith
encryption research? exception applies to virtually no one. The
criteria and ?factors? in determination of its applicability
arbitrarily restrict those who may discuss encryption technologies
and set unconstitutional prior licensing conditions
on speech. Even cryptographers whose own speech is not
restricted by Section 1201?s provisions will be hampered
by the inability to receive the communications of those who
are chilled by the statute.
Amici propose a reading of Section 1201 more tailored
to fit the statute?s language and the demands of the First
Amendment. Specifically, amici contend that 1201 cannot apply to enjoin
the publication and dissemination of a computer program unless
the standards of strict scrutiny under the First Amendment, as
well as the procedural protections applicable to injunctions under the
First Amendment, have been met."
Voir aussi sur le site de l'AFUL la traduction française
d'un échange entre Ron Rivest (inventeur de l'algorithme RSA) et
John Gilmore (fondateur de l'EFF) : "Sur
la protection des contenus digitaux : la dérive du droit aux USA".
Phil
Zimmermann réagit à titre personnel aux rumeurs
"Seul
l'utilisateur de PGP possède les clefs" déclare le Président
de PGP Security (NAI) , qui dément catégoriquement l'existence
d'une "backdoor" dans PGP
Echelon
: publication en France d'un livre de Duncan Campbell
PGP
est disponible dans les grandes surfaces françaises (sous le nom
de McAfee Viruscan Deluxe)
PGPwireless
for Palm OS 1.0 est disponible
Confusion
parmi les utilisateurs après les déclarations d'un responsable
de NAI-France affirmant que le gouvernement français possède
une clef de déchiffrement pour PGP
Rappellons que jusqu'à plus ample informé, les versions
officielles de PGP diffusées par Network
Associates Inc. (NAI) ne possèdent pas de porte dérobée
d'un quelconque gouvernement, et il s'agit donc là une fois de plus
d'une rumeur précisément "paranoïaque".
Voir notre page sur les PGP et les
rumeurs
Extraits de l'interview :
Une
nouvelle clef publique, une nouvelle adresse e-mail, et une nouvelle homepage
pour Philip Zimmermann
Une
version TCFS 3.0b pour le chiffrement sous Linux
Il ne s'agit pas de RPM diffusés par MandrakeSoft,
mais de RPM créés par Michel Bouissou, un militant de longue
date de la cryptographie libre. Ce dernier a utilisé les fichiers
sources Mandrake "Cooker" (développement) kernel-source-2.4.0-2mdk.i586.rpm
et les a patchés avec le noyau international "kerneli".
Les archives RPM sont signées avec la clef PGP de M. Bouissou.
C'est la première fois que le noyau crypto "kerneli" est disponible
pour une distribution Linux grand public sous forme de RPM prêts
à utiliser.
PGP
Desktop Security 7.0.3 est disponible
Un
noyau Linux 2.4.0 patché crypto est diffusé
Le
logiciel français SYMPA 3.0 permet de créer des listes de
diffusion chiffrées
Patch
cryptographique pour Linux 2.4.0
PGP
Desktop Security 7.0.2 est disponible
Plus
de six mois après la sortie du logiciel, le code-source de Scramdisk
3.01R3c (Windows 95/98) est enfin disponible
La
NSA accepte de rendre publics quelques documents au sujet de la norme de
protection TEMPEST
La
version d'évaluation de PGP Desktop Security 7.0.1 disponible en
Europe
Le
piratage des ordinateurs centraux de Microsoft pourrait faire peser une
menace sur la sécurité nationale américaine
Ian
Clarke s'explique sur la lenteur du développement de Freenet
2001/02/03
PGPfreeware 7.0.3 est disponible
pour Windows (98, Millennium Edition, NT, 2000) et MacOS 8.6 et + (PowerPC).
Aucune version pour les utilisateurs de Linux n'est prévue pour
l'instant (ces derniers utilisant dans leur majorité le logiciel
libre GnuPG).
Dans la version Windows, nous déconseillons l'installation du
module PGPnet (sauf besoin impératif de ses fonctionnalités).
Voir l'annonce officielle.
2001/02/01
Bien que l'intéressé n'ait pas souhaité commenter
l'information, deux éléments permettent de penser que Phil
Zimmermann, le créateur de PGP, a quitté PGP Security Inc.,
la filiale de Network Associates Inc. (NAI).
D'une part, l'adresse http://www.pgp.com/phil,
qui constituait depuis 1996 la page personnelle de Phil, est redirigée
automatiquement vers la page d'accueil de PGP Security Inc.
D'autre part, la nouvelle homepage du créateur de PGP, hébergée
par le MIT, ne le présente plus comme un employé de NAI et
précise
dans
sa biographie : "[PGP Inc.] was acquired by Network Associates Inc (NAI)
in December 1997, where he stayed on for three years as Senior Fellow.
Zimmermann is currently consulting with a number of companies and industry
organizations on matters cryptographic. "
Voir aussi : http://www.philzimmermann.com
2001/01/31
Dans le cadre de l'élaboration du Traité contre la Cybercriminalité,
la Commission des Communautés Européennes a fait une communication
intitulée "Créer
une société de l'information plus sûre en renforçant
la sécurité des infrastructures de l'information et en luttant
contre la cybercriminalité" au Conseil de l'Europe, dans laquelle
elle se déclare notamment favorable au libre-usage de cryptographie.
Voir notre brève du 13
décembre 2000
Extraits :
"La diffusion de produits de sécurité
dans l'ensemble de l'Union européenne, y compris de produits de
chiffrement résistants, certifiés, au besoin, sur la base
de critères d'évaluation acceptés par tous, renforcerait
à la fois les possibilités de prévention d'actes criminels
et la confiance des utilisateurs dans les technologies de la société
de l'information. (...)
La Commission va continuer à oeuvrer en faveur
de la sécurité et de la confiance dans le cadre de l'initiative
eEurope, du plan d'action Internet, du programme IST et du prochain programme-cadre
de RDT. Ces actions consisteront notamment à faciliter la mise à
disposition de produits et de services présentant un niveau de sécurité
satisfaisant et à encourager la libéralisation de l'usage
du chiffrement résistant par un dialogue entre toutes les parties
intéressées."
2001/01/29
Dans la complexe affaire DeCSS, du nom d'un programme permettant de
casser le code de protection des DVD vidéo, le célèbre
webzine de "hackers" 2600 a été condamné il y a quelques
mois pour avoir hébergé sur son site web le code-source de
DeCSS.
Aujourd'hui, dans cette même affaire, un groupe de cryptographes
de renom témoigne
du danger que font peser sur la recherche scientifique, et plus globalement
sur la liberté d'expression, la loi américaine et les décisions
judiciaires interdisant la rétro-ingénierie de dispositifs
informatiques de sécurité.
Les signataires du témoignage sont Steven M. Bellovin, Matt
Blaze, Dan Boneh, Dave Del Torto, Ian Goldberg, Bruce Schneier, Frank Andrew
Stevenson, et David Wagner.
"Computer code is expressive speech essential
to scientific exploration and communication among cryptographers,
speech on which the District Court?s injunction
imposes an unjustified restriction. Thus Section
1201?s purported prohibition on decryption code is properly
analyzed with strict scrutiny. The DMCA?s vague, content-based
anticircumvention provisions fail even intermediate scrutiny,
however.
Dans le domaine plus général de l'appropriation
de l'information et de la diffusion, voir en France la contestation de
la taxe perçue par les sociétés d'auteurs sur les
ventes de CD -ROM vierges (effective) et de disques durs (en projet) par
l'APRIL
et le site "Vache à lait".com.
Voir également le texte de fiction écrit
par Richard Stallman : "Le
droit de lire".
2001/01/26
Phil Zimmermann publie une réaction
personnelle à la suite des rumeurs sur PGP propagées
par un responsable de Network Associates France.
(Précision : la date de diffusion qu'il indique,
le 20 janvier, correspond à la date de rediffusion par Canal + du
reportage en question.)
Extraits :
"As the creator of PGP, I just want to set the record
straight and say that nothing could be further from the truth. PGP
has no back door, not for the French government, not for any government.
(...) No version of PGP that I have ever heard of has ever had a back door
for government access. That applies to all versions of PGP up to and including
the current version, PGP 7.0.3, released in January 2001."
2001/01/24
Dans un communiqués'adressant
aux utilisateurs, le Président de PGP Security Inc. (filiale de
Network Associates Inc.) dément catégoriquement l'existence
d'une backdoor dans PGP. Il estime que les propos tenus sur Canal + par
le responsable de Network Associates France ont été mal interprétés.
Extraits :
"This memo is to clarify some confusion caused by
statements made by Frederic Braut during a televised broadcast on Canal-Plus
in France on January 15. Braut mistakenly stated that PGP Security products
enable some governments to covertly decrypt mail messages. (...)
There is not, nor has there ever been, a back door
into any of the PGP Security products. (...)
The important distinction is that there are no technical
tools in PGP products that would allow anyone to decrypt messages secretly,
and without the knowledge and consent of the authorized owners of the property
in question. It is also impossible for us (PGP Security) to provide law
enforcement officials with keys to help the law enforcement agency decrypt
messages/data for a PGP customer. The PGP customer owns those keys, and
we do not have any access to those keys."
Network
Associates France minimise la diffusion par un de ses responsables de rumeurs
sur PGP
2001/01/24
Répondant aux questions du webzine "Transfert", Network Associates
France s'explique sur les déclarations faites par un de ses responsables
dans un reportage télévisé diffusé en début
de semaine dernière sur Canal +.
La société qui est chargée de diffuser les produits
PGP en France déclare à cette occasion que M. Frédéric
Braut n'est pas le "PDG de Network Associates" mais le "responsable du
secteur virus informatiques", et que lorsqu'il a parlé de "clef
de déchiffrement" il voulait dire "code-source".
Voir l'article de Transfert : "Sur
Canal Plus, le scoop était crypté"
Voir notre brève du 17 janvier
2001/01/23
Publication en France de "Surveillance électronique planétaire"
(éditions Allia, 176 pp., 6,10 ),
un livre écrit par le journaliste spécialisé Duncan
Campbell à propos du réseau d'écoutes Echelon.
Voir l'article et l'interview dans "Libération"
: "Echelon
n'est pas invincible"
Extraits de l'interview :
"Il est vrai que l'utilisation de PGP (logiciel pour
crypter ses e-mails, ndlr) est encore complexe : je m'en rends compte lorsque
je communique avec certains journalistes. Je dois toujours leur expliquer
comment faire. Si j'envoie un e-mail pour dire «allons boire un verre»,
il devrait être crypté. Non parce qu'il s'agit d'une information
confidentielle, mais parce que vous et moi ne devrions pas avoir à
nous dire qu'il est compliqué de préserver sa vie privée.
"
2001/01/22
Depuis quelques jours, PGP Personal Privacy (Windows) est disponible
à la vente dans les enseignes d'une des plus grandes chaînes
françaises de magasins spécialisés.
PGP est proposé comme un élément de l'antivirus
McAfee
Viruscan Deluxe (vendu 67,08 ).
2001/01/19
PGP Security Inc. (NAI) annonce PGPwireless
for Palm OS 1.0.
Il est précisé qu'il n'y aura pas de version freeware.
Le code-source n'est pas disponible.
Lire l'annonce sur la liste "pgp-users".
Pour une version libre de PGP sur Palm, voir OpenPGP
for Palm.
2001/01/17
Au cours de l'émission "Tous
fliqués" diffusée lundi soir 15 janvier sur la chaîne
de télévision Canal + dans le cadre d'une soirée intitulée
"Tous parano", un intervenant présenté comme "Frédéric
Braut, PDG de Network Associates France" a affirmé dans une interview
que les versions françaises de PGP contenaient une porte dérobée
(backdoor) du gouvernement.
Malgré l'évidente erreur faite par le responsable de
NAI-France dans l'interprétation de l'autorisation
de commercialisation accordée par le SCSSI au logiciel, une
telle déclaration a suscité une certaine émotion et
des interrogations parmi les utilisateurs de PGP (notamment dans le forum
"fr.misc.cryptologie" et sur la liste "open-crypto").
On notera avec étonnement que cette fois c'est le distributeur
français de PGP, un logiciel qui a fondé sa réputation
mondiale sur l'absence de piège, qui affirme publiquement que son
produit contient une telle sorte de piège.
Voir notre page sur l'histoire
de PGP
Voir notre page sur la législation
française actuelle depuis mars 1999
" Frédéric Braut, PDG de Network Associates
France : "les instruments de sécurité très puissants,
comme nous le proposons, comme PGP par exemple, l'état français
possède les clefs de décryption qui permettent d'analyser
ce produit et de pouvoir le déchiffrer et de l'utiliser, l'état
français aujourd'hui possède les clefs de notre produit PGP
qui est un produit d'encryption donc l'état français peut
à tout moment décrypter parce qu'il a les clefs, on est obligé,
c'est une obligation légale. Et je pense que cette obligation légale
est valable dans tous les pays industrialisés, je pense que le gouvernement
allemand, ou américain, possède eux aussi ces clefs, on est
obligé. Donc effectivement, les états, quels qu'ils soient,
sont capables de regarder ce qui se passe sur le réseau même
si les utilisateurs utilisent des produits d'encryption. C'est une obligation
légale." "
2001/01/13
Philip Zimmermann vient de mettre en circulation une nouvelle clef
publique PGP comportant sa nouvelle adresse e-mail <prz@mit.edu>.
La clef est signée par Will Price (PGP Security Inc.), Stale Schumacher
(pgpi.org), Jeffrey Schiller (MIT) et Teun Nijssen (pgpi.org). La nouvelle
homepagede
Philip Zimmermann est aussi hébergée par le MIT (Massachusetts
Institute of Technology).
Voir aussi : http://www.philzimmermann.com
2001/01/13
Une nouvelle série 3.0 de Transparent
Cryptographic File System (TCFS) est disponible pour les noyaux Linux
2.2.x.
TCFS existe aussi pour OpenBSD et NetBSD.
Des
RPM kernel-2.4.0-2mdkcrypto pour la Mandrake 7.2
2001/01/11
Des package RPM non officiels prêts à utiliser du noyau
(kernel) Linux 2.4.0-2mdkcrypto.i586.rpm sont disponibles
pour la distribution Mandrake 7.2. Voir l'annonce
faite sur la liste "open-crypto". Lire les conseils
d'installation.
L'ensemble des fichiers fait environ 10 Mo (le fichier des sources
n'est pas indispensable au fonctionnement quotidien du noyau).
Le noyau 2.4.0-2mdkcrypto ajoute à Linux le chiffrement
des disques (l'équivalent de Scramdisk ou PGPdisk sous Windows)
: il permet d'utiliser des commandes nouvelles de création d'un
container chiffré (algorithmes AES, Blowfish, Triple-DES, etc.),
et de montage et démontage de celui-ci comme un lecteur normal ("mount")
: voir mode d'emploi dans le
Linux
Encryption HowTo.
2001/01/11
PGP Desktop Security 7.0.3 (Windows) est disponible.
2001/01/10
Un noyau Linux 2.4.0 patché crypto est diffusé. Il a
été testé avec succès sur la distribution Linux-Mandrake
7.2.
Le noyau et les outils annexes sont signés par
Michel Bouissou (pour l'installation, voir l'annonce
faite sur la liste de discussion "open-crypto").
Voir notre brève du 6 janvier dernier.
2001/01/08
La nouvelle version 3.0 du gestionnaire de listes de diffusion Sympa,
développé sous licence GNU GPL par le CRU (Comité
Réseau des Universités), permet la création de listes
de diffusion chiffrées.
Dans le cas d'une liste chiffrée, le contenu de
chaque message d'une liste est tout d'abord chiffré avec une "clé
publique de la liste" et envoyé au serveur, lequel déchiffre
et rechiffre pour la clé publique de chaque abonné avant
d'envoyer le message ainsi chiffré à chacun. Ceci peut être
particulièrement intéressant pour des listes de diffusion
de groupes de travail, ou pour des listes de communautés au contenu
éventuellement confidentiel.
Le protocole choisi a été S/MIME, mais OpenPGP devrait
être ajouté dans les prochaines versions.
2001/01/06
Avec quelques heures de retard sur le noyau principal, le patch cryptographique
dit "international" 2.4.0.1 du nouveau Linux est disponible.
Il permet d'ajouter la cryptographie par défaut au système
de fichiers.
Le noyau 2.4.0 est la plus importante mise à jour
du coeur de Linux depuis deux ans.
2001/01/05
PGP Desktop Security 7.0.2 (Windows) est disponible.
2001/01/03
Le code-source de Scramdisk
3.01R3c pour Windows 95/98 est enfin disponible.
Il faut noter que le programme est sorti en juin dernier sans que son
code-source soit fourni, pratique extrêmement rare dans le domaine
de la cryptographie sûre. Seule la réputation de Aman et Sam
Simpson, les auteurs de Scramdisk, peut expliquer que les utilisateurs
aient gardé confiance 6 mois durant dans un programme à code-source
secret. Récemment, plusieurs utilisateurs s'étaient émus
dans les forums de discussion de ne pas pouvoir inspecter ce code.
A noter que le code-source de Scramdisk 3.02A pour WinNT/2000 est toujours
secret à l'heure actuelle.
Scramdisk est le plus célèbre des logiciels
de chiffrement du disque dur pour Windows. Voir notre page Scramdisk.
2001/01/02
Le site web Cryptome a obtenu de
la NSA américaine la déclassification de certains documents
au sujet de la norme TEMPEST (protection des matériels informatiques
contre le risque d'écoutes à distance).
Voir aussi l'article de The
Register.
2001/01/01
Le site FTP néerlandais Zed-Zed-Dot-Net contient une copie de
la version d'évaluation de PGP
Desktop Security 7.0.1 (Windows).
2001/01/01
Selon CNN,
un rapport du "Center for Strategic and International Studies" (CSIS),
un cabinet d'études privé dirigé par un ancien haut
responsable du Ministère de la Défense américain,
conclut que le gouvernement américain et le secteur privé
devraient être inquiets à propos de la loyauté ("trustworthiness")
des futurs produits de Microsoft à la suite de l'intrusion informatique
à l'intérieur du réseau de la compagnie en octobre
dernier.
Voir aussi l'article de Transfert.net
Les codes-sources de Microsoft étant gardé
secrets, à l'inverse de ceux de Linux et des programmes GNU GPL,
des pirates pourraient avoir modifié ces codes, ou même simplement
en avoir pris connaissance et être les seuls à exploiter cette
connaissance pour y chercher des bugs de sécurité.
Extraits :
"It is doubtful that the millions (sometimes billions)
of lines of code required to power Microsoft's products could readily be
sanitized," the CSIS report states. "With most military and government
systems powered by Microsoft software and more generally reliant
on [commercial, off-the-shelf systems], this recent development can pose
grave national-security-related concerns," the 73-page report concludes.
"
2001/01/01
Dans un long article intitulé "Vapourware
?", Ian Clarke, le créateur de Freenet, s'explique sur la lenteur
du développement et fait le point sur l'état d'avancement
du projet.
Extraits :
"Freenet is not a normal project by any means. In
fact, when you consider the complexity of the Freenet project, and how
ambitious our goals actually are, it is quite impressive how far we have
come in such a short time. "
Mise à jour : mai 2001
Publié sous licence OpenContent
Copyright (c) 1997-2001, pplf 14A0 4A67 0431 2402 684D 6EBA 537F 664D 3F80 0D58 <pplf@geocities.com>
Verbatim copying and distribution of this entire article is permitted
in any medium, provided this notice is preserved.
La reproduction exacte et la distribution intégrale de cet article
est permise sur n'importe quel support d'archivage, pourvu que cette notice
est préservée.
accueil | présentation | sommaire | histoire | version française | mode d'emploi | news | autre crypto