Crypto-News 2001 (janvier-mai)
 

  Voir le sommaire des archives des news.
 
 

Aux USA, les services de police concilient la liberté de chiffrement avec la pratique d'écoutes téléphoniques et numériques
2001/05/08
Selon le Rapport américain sur les écoutes 2000 cité par le webzine Transfert, l'utilisation libre de chiffrement fort aux Etats-Unis n'empêche pas les services de police de pratiquer les écoutes téléphoniques et numériques qu'ils souhaitent.
En France, actuellement un débat très vif bien que peu médiatisé oppose les tenants du droit au secret de la correspondance à certaines administrations qui souhaitent pouvoir définir et réglementer la notion de "cryptologie" dans la future Loi sur la Société de l'Information (LSI) et argumentent sur leur besoin des écoutes téléphoniques et numériques - Voir notre brève et notre commentaire du 20 mars
Extraits :
"Public Law 106-197 amended 18 U.S.C. 2519(2)(b) to require that beginning with the 2000 Wiretap Report, reporting should reflect the number of wiretap applications granted for which encryption was encountered and whether such encryption prevented law enforcement officials from obtaining the plain text of communications intercepted pursuant to the court orders. In 2000, encryption was reported to have been encountered in 22 wiretaps; however, in none of these cases was encryption reported to have prevented law enforcement officials from obtaining the plain text of communications intercepted."
 

Version 0.20 de WinPT, le clone de "PGPtray" pour utiliser GnuPG sous Windows
2001/05/08
Une version WinPT 0.20 est disponible pour Windows 95/98, Me, NT, 2000.
WinPT est un clone de PGPtray pour utiliser GnuPG sous Windows.
 

PGP Security Inc. joue son va-tout sur le futur PGP 7.1 et lance un beta-test public
2001/05/05
PGP Security Inc., la filiale de Network Associates (NAI), annonce le lancement d'un beta-test public pour "PGP Corporate Desktop Security Suite Beta 7.1".
Après le départ de Phil Zimmermann et les critiques de certains utilisateurs contre les versions 7.0 (code-source gardé secret, lourdeur et instabilité du logiciel), et alors que "Pretty Good Privacy" fêtera le mois prochain les dix ans de sa création, PGP Security Inc. tente de restaurer la confiance des utilisateurs en repensant la conception du logiciel : à l'énorme "suite" de sécurité succèdent quatre programmes distincts : PGPmail (Email and File Security), PGPdisk (Disk Security), PGPvpn (IPsec Virtual Private Networking), PGPfire (Personal Firewall and Personal IDS).
Cependant, si le code-source de PGP 7.1 n'est pas intégralement publié, tous ces efforts resteront vains.
Par ailleurs, on remarque que seules sont prévues des versions Windows et Mac OS 8, PGP Security Inc. ayant visiblement choisi d'ignorer les systèmes Unix comme Linux et Mac OS X.
 

Le site "OpenPGP en français" a été gravé sur le réseau Freenet
2001/05/04
Un correspondant anonyme nous informe qu'une copie de ce site a été déposée sur le réseau Freenet à l'adresse freenet:MSK@OpenPGP//
Freenet est une sorte de Gnutella perfectionné : c'est un sous-réseau d'Internet dont la caractéristique principale est d'être chiffré, anonyme, et non censurable : une fois déposés sur Freenet, les documents ne peuvent pas en être retirés. Depuis quelques mois le nombre de documents déposés sur Freenet a explosé et plusieurs sites web entiers y sont désormais consultables.
Rappel : la seule copie valide de ce site est à l'adresse Internet web http://www.geocities.com/openpgp/
 

GnuPG 1.0.5 command-line pour Windows 9x/Me/NT/2000
2001/05/03
GnuPG est disponible pour Windows 9x/Me/NT/2000 en version ligne de commande.
La version graphique (GNU Privacy Assistant) devrait sortir dans les jours qui viennent.
 

GnuPG 1.0.5 est enfin disponible (Linux)
2001/04/29
La très attendue version stable 1.0.5 de GnuPG est disponible (pour Linux).
ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-1.0.5.tar.gz (Linux/Unix)
Extraits des nouveautés :
"* WARNING: The semantics of --verify have changed to address a problem with detached signature detection.
* WARNING: Corrected hash calculation for input data larger than 512M - it was just wrong, so you might notice bad signature in some very big files.
* Secret keys are no longer imported unless you use the new option --allow-secret-key-import.
* New command "showpref" in the --edit-key menu to show an easier to understand preference listing.
* There is now the notation of a primary user ID.
* New --charset=utf-8 to bypass all internal conversions.
* Large File Support (LFS) is now working.
* New options: --ignore-crc-error, --no-sig-create-check, --no-sig-cache, --fixed_list_mode, --no-expensive-trust-checks, --enable-special-filenames and --use-agent.  See man page.
* New command --pipemode, which can be used to run gpg as a co-process.
* Keyserver support for the W32 version.
* Rewritten key selection code so that GnuPG can better cope with multiple subkeys, expire dates and so.
* The verification status of self-signatures are now cached. "
 

Une archive web de la liste de discussion "pgp-users"
2001/04/26
La liste de discussion "pgp-users" est désormais disponible en ligne sur le web (en lecture seule).
Autres archives intéressantes : les listes anglaises de gnupg et la liste francophone open-crypto (archives sur abonnement).
 

Le W3C publie ses premières recommandations sur le chiffrement dans XML
2001/04/24
Le World Wide Web Consortium (W3C), un des organismes de standardisation d'Internet, a publié un premier "draft" sur le chiffrement dans XML.
Voir la page du W3C XML Encryption Working Group.
XML (Extensible Markup Language) est un métalangage destiné à remplacer le langage HTML. Il permettra notamment d'unifier les formats de document utilisés actuellement. L'inclusion du chiffrement dans XML est donc un enjeu primordial.
 

Une nouvelle version de test pour GnuPG : la 1.0.4h (Linux)
2001/04/19
Une nouvelle version de développement de GnuPG est disponible en vue de tester une dernière fois les fonctionnalités de la future 1.0.5.
 

Nouvelle version du draft "MIME Security with OpenPGP"
2001/04/12
Une nouvelle version du papier (draft) "MIME Security with OpenPGP" est mise en ligne par l'IETF (Internet Engineering Task Force).
Voir les autres drafts du standard OpenPGP.
 

Un bug dans l'armure ASCII touche les versions Windows de PGP
2001/04/11
Un bug touche les versions Windows de PGP (versions 5 à 7.0.3 incluse). Ce bug permet dans certaines circonstances d'exécuter du code arbitraire dans Windows. Ce bug semble davantage lié à Windows qu'à PGP lui-même.
Extraits de l'alerte :
"The PGP ASCII Armor parser provided with most versions of PGP (see 'Vulnerable Versions' section below) contains a behaviour that allows the creation of an arbitrary file in the same directory as the armored file. Since this file can contain arbitrary bytes, this can easily lead to the execution of arbitrary code on the Windows platform."
Un patch pour PGPfreeware 7.0.3 a été diffusé par NAI (mais aucun patch pour PGP 5 et 6 ne semblent prévus).
 

NAI va travailler sur un programme sous licence GPL : la SE Linux de la NSA
2001/04/10
Network Associates Inc. (NAI), par l'intermédiaire de NAI Labs, une division de PGP Security Inc. (qui n'a toutefois aucun rapport avec le développement du logiciel de chiffrement PGP®), a signé un contrat avec la NSA pour travailler sur le développement de SE Linux, la version Linux de la NSA.
SE Linux étant un programme sous licence GNU GPL, les apports éventuels de NAI Labs seront librement réutilisables et modifiables par la communauté Linux..
Ce type de contrat entre NAI et les agences gouvernementales américaines existe depuis la création de NAI et a toujours alimenté les rumeurs parmi certains utilisateurs de PGP®, même si les équipes de développement de PGP® sont indépendantes.
Voir notre brève du 25 mars
 

GnuPG : une nouvelle version beta 1.0.4g (Linux)
2001/04/06
Une nouvelle version beta 1.0.4g de GnuPG pour Linux/Unix est disponible. Ce devrait être la dernière beta avant la version stable 1.0.5 prévue ce mois d'avril.
Parmi les changements : Secret keys are no longer imported unless you use the new option --allow-secret-key-import ; Corrected hash calculation for some inputs greater than 512M.
 

Patch cryptographique pour Linux 2.4.3
2001/04/06
Le patch cryptographique dit "international" 2.4.3.1 pour le noyau Linux 2.4.3 est disponible. Il permet d'ajouter la cryptographie au système de fichiers pour créer et utiliser des containers chiffrés.
Voir le mode d'emploi sur notre page Linux.
 

GPA 0.4.1 est disponible (Linux/Unix)
2001/04/05
La version 0.4.1 de GNU Privacy Assistant, l'interface graphique de GnuPG est disponible pour Linux/Unix.
Package RPM pour Linux-Mandrake 7.2.
Cette version est compatible avec GnuPG 1.0.4f.
 

Le projet de loi LSI aura notamment pour objectif d'interdire la liberté de chiffrement
2001/04/05
Selon Le Monde, le Secrétaire d'Etat à l'industrie, M. Christian Pierret, a signé le 30 mars 2001 le texte quasi-définitif du projet de Loi sur la société de L'information (LSI), qui va maintenant être examiné pour avis consultatif par le Conseil d'Etat.
Voir l'article du Monde : "Le gouvernement donne le coup d'envoi à la société de l'information".
Voir l'article de Transfert : "La LSI, (avant) dernière".

Le projet LSI a renoncé à libéraliser totalement la cryptologie, comme l'avait pourtant annoncé M. Lionel Jospin en janvier 1999. Un des objectifs du projet de loi sera au contraire de limiter la diffusion du chiffrement et d'interdire la liberté de fourniture, donc la liberté d'utilisation, des outils de chiffrement (qu'ils soient informatiques ou non).
Ce choix se situe dans la continuité d'une tradition française d'encadrement de la partie des mathématiques appliquée à la cryptologie, tradition motivée principalement par les besoins des écoutes téléphoniques et des nouvelles écoutes numériques (communications Internet).
Voir notre commentaire du 20 mars
Extraits de l'article du Monde :
"Les prestataires de services ont l'obligation de faire une déclaration aux services du premier ministre et tenir à leurs dispositions une description des caractéristiques techniques des moyens de cryptage utilisés. Lorsque la cryptologie ne porte pas uniquement sur l'authentification, une demande d'autorisation préalable est nécessaire."
 

La mise en place d'une "preuve numérique" en France suscite des interrogations
2001/04/04
Après la parution des décrets entérinant la modification des dispositions du Code civil sur  la preuve et instaurant une "preuve numérique", des interrogation se font jour, concernant notamment la sécurité des protocoles cryptographiques qui seront utilisés. Par ailleurs, numériser la preuve civile et commerciale, c'est lui communiquer tous les risques informatiques actuels, tant les risques de malveillance (piratage, intrusion, virus), que les risques de bugs des logiciels.

D'une part, au niveau des standards de signature utilisés : le standard le plus analysé au monde, OpenPGP, pourrait être exclu de la liste car il est basé sur une confiance non centralisée dite "web of trust" (par opposition aux systèmes à certification centralisée qui seront nécessaires dans l'hypothèse des "preuves numériques" légales). En outre, bien que très surveillé par des centaines de cryptographes, de petites failles de sécurité y sont régulièrement détectées (voir la récente attaque tchèque sur les signatures). Le choix d'un autre standard qu'OpenPGP posera au moins autant de problèmes de sécurité cryptographique ; et le ou les standards retenus devront avoir eu leur code-source publié, être surveillés publiquement en permanence, et être suspendus immédiatement en cas de découverte d'une faille.

D'autre part, au niveau des certificateurs : depuis l'affaire Verisign de mars 2001, on sait que les autorités de certifications ne sont pas fiables.

Rappelons enfin qu'actuellement, la communauté Internet utilise un système volontaire de signature numérique reposant sur le réseau de confiance (le "web of trust"), et symbolisé notamment par PGP : par exemple, pour les logiciels informatiques (les mises à jour d'antivirus sont souvent signées en PGP par le fabricant d'antivirus), ou les alertes sur le piratage informatique (les mises en garde du CERT ou celles de Microsoft sont signées en PGP).

A lire aussi :
LMI : Un décret publié mais inapplicable
ZDNet : La signature électronique pourrait empoisonner France Télécom
Transfert : Signature électronique : sous le signe du business
 

Parution au J.O. du décret sur la signature électronique
2001/03/31
Le décret n°2001-272 du 30 mars 2001 relatif à la signature électronique est paru au Journal Officiel.
 

GPGMail est disponible (MacOS X)
2001/03/29
Un plugin pour l'application Apple de Courrier ("Mail Viewer/Mail") est disponible : GPGMail. (MacOS X Server / MacOS X).
Sortie également de l'installateur Easy Install GnuPG en version 1.0.4p1.
 

PGP Security Inc. renonce à fournir un patch contre l'attaque Klima/Rosa
2001/03/29
PGP Security Inc. (NAI) publie sur son site un avertissement au sujet de l'attaque des tchèques Klima et Rosa sur les signatures au format OpenPGP. Après avoir rassuré les utilisateurs, la compagnie annonce que PGP ne sera protégé contre l'attaque que dans sa prochaine version prévue vers le milieu de l'année.
Extraits :
"We acknowledge the vulnerability theoretically exists, but want to assure our users that to exploit the vulnerability requires physical access to the computer and modification of files. Since the first tenant of security and privacy is to maintain control of the computer, if this basic requirement is met, any threat is minimal. (...)
PGP acknowledges that this could possibly be exploited, and we will be implementing measures to prevent this in the next release of the product, which will be available mid-year. "
 

Une version beta GnuPG 1.0.4f propose une protection contre l'attaque Klima/Rosa
2001/03/27
Une version GnuPG 1.0.4f est disponible (Linux). Elle propose un patch contre l'attaque des tchèques Klima et Rosa. Voir le message de Werner Koch.
Extraits :
"Some bugs are fixed, a lot of things changed, a protection against the Klima/Rosa attack has been implemented, expiration checking should work better now, some things are slower, some things are faster."
Attention : même si les versions de développement de GnuPG sont réputées pour leur grande stabilité, il s'agit là d'une version beta.
ftp://ftp.gnupg.org/pub/gcrypt/devel/gnupg-1.0.4f.tar.gz
ftp://ftp.gnupg.org/pub/gcrypt/devel/gnupg-1.0.4f.tar.gz.sig
 

Un projet de loi anglais veut limiter la liberté d'information sur la cryptologie et la sécurité informatique
2001/03/27
Selon un message du cryptographe Ross Anderson posté sur la liste de discussion "ukcrypto", le projet de loi "Private Security Industry Bill" proposé par le gouvernement anglais veut limiter la liberté d'information sur la cryptologie et la sécurité informatique.  Des listes de discussion comme bugtraq, pgp-users, ou ukcrypto, seraient alors concernées.
Extrait du message :
"If this bill passes, you will need a licence from the Home Office to consult on information security or cryptography. It introduces controls on `the giving of advice about the taking of security precautions in relation to any risk to property or to the person' (...)
There are exemptions for lawyers, accountants and management consultants. There's even a training exemption that might be interpreted as a get-out for academics teaching security courses. But there is no exemption for the ordinary systems analyst who has to specify information protection mechanisms as part of his job. (The directors of his company can go to jail, too.)
Some parts of the Bill have exemptions for journalists (e.g., the part on private eyes, schedule 2, part 1, 4). However, the part that deals with security consulting has no such exemption. SO even if material is destined for publication - newspaper articles, postings to ukcrypto, my next security book - it seems that the author may need to get a licence, if the bill is interpreted as meaning what it says."
 

La vice-présidente de la CNIL voit dans le chiffrement "un outil de protection de la vie privée et un droit reconnu"
2001/03/27
Lors d'un colloque sur "le chiffre, le renseignement et la guerre" qui s'est tenu le week-end dernier à l'Historial de la Grande Guerre à Péronne (Somme), Mme Louise Cadoux, vice-présidente de la Commission Nationale de l'Informatique et des Libertés (CNIL), a considéré que le chiffrement est "un outil de protection de la vie privée, un droit reconnu sans hésitation mais dont le contenu et le périmètre sont mal identifiés". Elle a aussi déclaré que le chiffrement assure également la revendication du "droit à l'anonymat", un droit "directement issu d'un très vieux proverbe : `pour vivre heureux, vivons caché' ".

On relèvera que M. Jean-Louis Desvignes, l'ancien chef du SCSSI, aujourd'hui Directeur de l'Ecole des Transmissions, avait tenu à assister à ce colloque; lui et d'autres y ont dénoncé  notamment la libéralisation partielle de la cryptologie en 1999 comme une "abdication" qui "sonne sans doute le glas du contrôle démocratique de notre société", et ont expliqué que "la justification des écoutes et des interceptions est souvent la sécurité nationale où la lutte contre "les quatre cavaliers de l'infocalypse" (le crime organisé dont les narco-trafiquants, les terroristes, les blanchisseurs d'argent et les pédophiles)."
 

Freenet pour Mac
2001/03/26
Une interface graphique Mac (OS 9 et OS X) est disponible pour le serveur Freenet 0.3.7.2 : MacFrenet.
Voir la nouvelle présentation du site français de Freenet.
 

Deuxième partie de l'article "Uncovering the secrets of SE Linux"
2001/03/25
La deuxième partie de l'article "Uncovering the secrets of SE Linux" sur la distribution Linux de la NSA, est disponible sur le site d'IBM.
Voir notre brève du 9 mars.
A noter aussi le début de polémique sur les véritables projets de la NSA autour du noyau Linux.
 

L'autorité de certification Verisign accorde à un pirate deux certificats numériques au nom de Microsoft
2001/03/24
L'autorité de certification Verisign, première entreprise mondiale de son secteur, a accordé fin janvier 2001 à un pirate deux certificats numériques au nom de Microsoft. Ces certificats sont utilisés pour signer les logiciels et en garantir la provenance lors de la mise à jour de Microsoft Windows (Windows Update, Office Update) ou pour signer les contrôles ActiveX utilisés par les sites web lors du surf avec Microsoft Internet Explorer. Le pirate a pu utiliser et peut encore utiliser ces certificats numériques Verisign pour signer des virus et les installer dans les ordinateurs utilisant Windows, Office, ou Internet Explorer. Microsoft prévoit de publier un patch.
Il est conseillé de récupérer au plus vite le certificat de révocation (le sauver sur le disque puis faire un clic-droit sur le fichier CRL et choisir "installer") qu'a mis en ligne Verisign.
Il s'agit d'une atteinte grave portée à la crédibilité de la société Verisign et plus généralement au concept d'autorité de certification.
Voir l'alerte du CERT.
Voir l'article de Transfert.
 

Bien que difficilement exploitable dans la pratique, l'attaque tchèque sur les signatures de PGP met en lumière des faiblesses inquiétantes dans le module de signature OpenPGP
2001/03/23
L'attaque réalisée par les tchèques Klima et Rosa est difficilement exploitable dans la pratique. L'attaquant doit avoir la triple possibilité de lire le fichier trousseau de clefs secrètes, de modifier ce fichier, puis d'intercepter une signature effectuée par le propriétaire de la clef à l'aide du fichier modifié. Dans la réalité, l'attaquant aura plus vite fait de mettre sur l'ordinateur visé un cheval de troie ou un enregistreur de touches du clavier pour capturer la phrase de passe de l'utilisateur.
Ajoutons que seule la fonction de signature d'OpenPGP est prise en défaut, et pas celle de confidentialité (un message chiffré ne peut pas être décrypté grâce à cette attaque).
Voir l'analyse du cryptographe Hal Finney.

Le conseil qui a toujours été donné par les manuels d'utilisation de PGP et GnuPG et qui devient maintenant impératif est : protégez vos trousseaux de clefs ! Toute clef privée qui a pu être lue et copiée par un inconnu doit être considérée comme perdue et doit être révoquée.

A l'heure actuelle, les premières analyses sur la liste de discussion ietf-openpgp semblent estimer que l'attaque est astucieuse, que les versions de PGP et GnuPG vont être difficiles à patcher, et que le format OpenPGP actuel de signature est mis en question.
 

"The attack to private signature keys in OpenPGP format" est disponible
2001/03/22
L'étude détaillée des deux cryptographes tchèques Vlastimil Klima et Tomas Rosa, "The attack to private signature keys in OpenPGP format, PGP program and other OpenPGP based applications", sur une faille dans les signature digitales d'OpenPGP, est disponible. Une FAQ a aussi été mise en ligne.
Voir les commentaires sur les listes de discussion ietf-openpgp et gnupg-users / gnupg-devel .
 

Deux chercheurs tchèques considèrent qu'une faille existe dans le format des messages OpenPGP
2001/03/21
Deux chercheurs tchèques ont annoncé qu'ils avaient trouvé une faille dans le format des messages OpenPGP.
Voir l'annonce.
Voir la réponse de Jon Callas (du groupe de travail OpenPGP).
Voir l'article de SiliconValley.com et de Wired
 

PGP Desktop Security 7.0.4
2001/03/20
PGP Security Inc. (NAI) publie une version d'évaluation de PGP Desktop Security 7.0.4 (Windows).
PGP 7.0.4 est la première version de PGP publiée par NAI depuis le départ de Phil Zimmermann.
 

Le gouvernement continue à vouloir légiférer sur la notion de "cryptologie"
2001/03/20
La nouvelle version de l'avant-projet sur la LSI ne contient toujours pas un article unique abrogeant toutes les dispositions actuelles de la législation consacrées à la cryptologie. A l'inverse, la LSI a fait le choix de définir et réglementer ce domaine de l'informatique et du savoir (l'enseignement de la cryptologie pourrait notamment être concerné de manière indirecte)


"Les Echos" publient un second état du texte du futur projet de loi concernant la cryptologie
2001/03/19
Le quotidien Les Echos publie un second état du texte de l'avant-projet du gouvernement pour la Loi sur la Société de l'Information (LSI), notamment le passage concernant la cryptologie.
Télécharger le texte au format PDF
Voir notre brève du 7 février
 

Le projet Freenet choisit de faire appel aux donations
2001/03/18
Le projet Freenet, qui cherche à mettre en place un sous-réseau chiffré et anonyme aussi simple à utiliser que le réseau Internet, a choisi de faire appel aux donations pour assurer son développement.
La version 0.3.7.2 de Freenet est sortie au début du mois. Freenet est notamment utilisé par Espra, un logiciel d'échange de fichiers MP3 "à la Napster", mais anonyme et résistant aux attaques.
 

L'armée allemande aurait décidé de retirer ses logiciels Microsoft pour des raisons de sécurité
2001/03/18
Selon le journal allemand "Der Spiegel" cité par le webzine anglais "TheRegister" dans un article intitulé "German armed forces ban MS software, citing NSA snooping", la Bundeswehr, l'armée allemande, aurait décidé de retirer de ses services sensibles les logiciels édités par Microsoft en raison du soupçon de manipulation par la NSA des versions compilées fournies par le fabricant américain.
A noter que selon des rumeurs, le système d'exploitation Microsoft Windows NT serait utilisé sur de nombreux ordinateurs de l'armée française.
Màj du 21/03/2001 : voir les articles de Wired et ZDNet.fr (l'armée allemande dément les informations du "Spiegel", mais un hacker du CCC les confirme).
Extraits :
"The German foreign office and Bundeswehr are pulling the plugs on Microsoft software, citing security concerns, according to the German news magazine Der Spiegel. Spiegel claims that German security authorities suspect that the US National Security Agency (NSA) has 'back door' access to Microsoft source code, and can therefore easily read the Federal Republic's deepest secrets."
 

GnuPG sur Mac : un patch pour Mac OS X et un projet MacGPG
2001/03/12
Le site MacSecurity a publié un patch Mac OS X pour GnuPG 1.0.4. Par ailleurs, un projet Mac GPG vient d'être lancé pour automatiser l'installation et le paramétrage de GnuPG sur MacOS X (voir script),  et créer une interface graphique Mac.
 

Un nouveau noyau crypto 2.4.2-6mdk non-officiel pour Linux-Mandrake
2001/03/10
Michel Bouissou a compilé un nouveau noyau crypto basé sur le 2.4.2-6mdk fourni par MandrakeSoft, et créé des "packages" RPM prêts à utiliser.
Ces RPM ont été testés sur Linux-Mandrake 7.2 mais ne sont pas supportés officiellement par MandrakeSoft. Lire la documentation pour l'installation et l'utilisation de containers chiffrés (voir notre page Linux).
Packages RPM ftp://ftp.i-quake.com/pub/linux/kernel-crypto/Mandrake-unofficial/RPMS/ (le fichier "source" de 20 Mo est facultatif)
Sources SRPMS : ftp://ftp.i-quake.com/pub/linux/kernel-crypto/Mandrake-unofficial/SRPMS/
Voir notre brève du 11 janvier
 

Un premier examen du code de la version NSA de Linux ("SE Linux")
2001/03/09
Un article sur le site d'IBM se livre à un examen de la distribution Linux sécurisée de la NSA : SE Linux.
Fin décembre 2000, la NSA a publié sous licence GNU GPL une distribution Linux intitulé "Security-Enhanced Linux" (SE Linux) incluant des patchs de sécurité. La NSA ayant une mission janusienne (assurer la sécurité de certains systèmes et compromettre la sécurité d'autres systèmes), un long examen du code-source fourni par la NSA est nécessaire.
 

Plus de 100.000 visites sur la page d'accueil de ce site
2001/03/09
Ce site a reçu plus de 100.000 visites sur sa page d'accueil en deux ans (date de mise en place d'un compteur).
Ce chiffre montre l'intérêt des internautes francophones pour PGP et la cryptographie en général.
 

Eraser 5.0 est disponible (Windows)
2001/03/08
La version 5.0 d'Eraser est disponible (pour Windows). Eraser sert à effacer de façon sécurisée (wipe) les données présentes sur un disque dur. Le code-source est fourni et la licence est GNU GPL.
Voir la traduction française de la FAQ d'Eraser sur le site "Bug Brother".
 

La plus grande partie des communications de la Commission Européenne ne serait pas chiffrée de manière satisfaisante
2001/03/07
Selon le Bulletin Lambda 7.02 (mars 2001), un site web indépendant, la NSA n'aurait pas directement vérifié le système de chiffrement de la Commission Européenne, contrairement à ce qui avait été dit. Mais on apprend que le chiffrement des e-mails n'est pas prévu par le système informatique et que les rares outils de chiffrement utilisés ont été achetés il y a dix ans à la société Siemens (voir aussi l'article de Transfert).
Voir notre brève du 1er mars.

Par ailleurs, selon une rumeur, les ordinateurs personnels des fonctionnaires de la Commission Européenne utiliseraient non seulement le système d'exploitation Microsoft Windows NT (programme d'origine américaine et dont les codes-sources sont gardés secrets), mais aussi le logiciel de messagerie Microsoft Outlook (particulièrement vulnérable aux virus et aux chevaux de Troie), et surtout des certificats Outlook comme outil de chiffrement (forte probabilité d'affaiblissement par la NSA).
On notera que les mêmes fonctions pourraient être assurées sur les ordinateurs personnels des fonctionnaires à l'aide du système d'exploitation Linux dont la licence est gratuite et le code-source public (par exemple Linux-Mandrake ou SuSE-Linux), avec un environnement de bureau convivial pour les débutants en informatique (KDE ou Gnome), et des outils de messagerie comme KMail ou Evolution, avec des logiciels de chiffrement libres dont la résistance a été vérifiée publiquement par la communauté informatique (GnuPG, OpenSSL).

Extraits du bulletin Lambda :
"La NSA américaine n'a pas directement certifié tout ou partie des systèmes de chiffrement communautaires. Mais elle a bien certifié un algorithme nommé Saville, dont s'est servi Siemens pour concevoir un système de chiffrement vendu en 1991 à la CE et employé depuis. Rien n'indique donc, par extension, que la NSA aurait eu les clés de décryptage des systèmes européens, comme l'a laissé entendre le papier de Libération. (...)
Perkins a révélé que tous les courriers électroniques émanant de la CE, comme ceux échangés entre ses 129 délégations ne sont pas protégés. Et en plus, les e-mails chiffrés ne risquent pas d'être opérationnels avant 2 ans! Les seuls systèmes de cryptage en activité sont, apparemment, limités au téléphone et aux fax. (...)
La moitié seulement des délégations de la CE équipées des systèmes de chiffrement, les emails qui circulent en clair dans la maison comme lors d'échanges avec le monde extérieur, tout cela ne fait pas très sérieux. "
 

KDE 2.1 (Linux) offre un support OpenPGP pour les forums (KNode) et le courrier (KMail)
2001/03/02
La nouvelle version 2.1 de l'environnement de bureau pour Linux/Unix KDE contient le logiciel pour forums de discussion KNode 0.4 (nouvelle fonction de signature / vérification des messages OpenPGP), et l'outil de courrier électronique KMail 1.2 (amélioration du support OpenPGP + correction du bug de la version française 1.1.99).
 

Le responsable du chiffrement des communications de la Commission Européenne aurait livré des informations à un employé de la NSA
2001/03/01
Selon un article publié par le quotidien Libération dans son édition datée du 1er mars, le "chef du bureau chargé du cryptage des communications au sein de l'exécutif européen", le Britannique Desmond Perkins, aurait reconnu publiquement avoir informé en détail un employé de la NSA des dispositifs techniques utilisés pour le chiffrement des communications de la Commission Européenne.
Extraits :
"C'est le chef du bureau chargé du cryptage des communications au sein de l'exécutif européen, le Britannique Desmond Perkins, qui l'a lui-même reconnu: «J'ai toujours eu de très bons contacts avec la NSA à Washington. Elle vérifie régulièrement nos systèmes (de cryptage) pour voir s'ils sont bien verrouillés et s'ils sont correctement utilisés.» "
Màj du 02/03/2001 :
Voir les explications de la Commission.
Voir l'article du Monde : "Les curieuses accointances du responsable des opérations de cryptage de Bruxelles".
 

Publication du draft FIPS pour l'algorithme AES
2001/03/01
Le draft de standardisation FIPS (Federal Information Processing Standard) pour le nouvel algorithme AES a été publié par le NIST américain.
Le standard AES a été désigné en octobre dernier et s'est fixé sur l'algorithme belge Rijndael.
Voir notre brève du 2 octobre 2000
 

GNU Privacy Assistant (GPA) est disponible en version française beta (Windows & Linux)
2001/02/28
GNU Privacy Assistant (GPA), l'interface graphique de GnuPG, est disponible en version française beta 0.40. L'archive Windows fait environ 2 Mo, et contient à la fois GnuPG et GPA, ainsi qu'une installation automatique en français.
Windows 9x/Me/NT/2000 (GnuPG fourni)
Linux / BSD (binaire GnuPG nécessaire).
Voir nos captures d'écran
 

Un patch pour la compilation de PGPfreeware 6.5.8 pour Linux
2001/02/27
Le code-source Linux de PGPfreeware 6.5.8 livré par NAI et distribué par le MIT ne compilait pas correctement.
Len Sassaman et Ian Goldberg ont mis au point un patch pour corriger le problème.
Voir notre brève du 23 septembre 2000
 

Seahorse 0.50 pour GnuPG (Linux)
2001/02/26
Seahorse 0.50, une interface graphique Ximian-Gnome (Linux) pour GnuPG, est disponible.
 

Une interview de Phil Zimmermann
2001/02/26
Phil Zimmermann a accordé une courte interview à ZDNet USA. Il annonce qu'il a en projet un logiciel de chiffrement pour téléphone (en Java), et il s'explique plus avant sur sa décision de quitter NAI.
Extraits :
"I've had a long-standing position on publishing source code for crypto software. They didn't necessarily agree with that. I've been working on the same project [PGP] for 10 years, and as long as I continued to work there, they would own everything I do. I can't stay there forever. "
 

EudoraGPG : un plugin Eudora 4.x et 5.x pour GnuPG (Windows)
2001/02/24
Sortie d'une version beta d'EudoraGPG, un plug-in GnuPG pour le logiciel de courrier Eudora 4.x et supérieur (Windows). Il fonctionne notamment avec la version freeware Eudora 5.0.2.
 

En quittant NAI, Phil Zimmermann condamne PGP® et accélère le développement d'OpenPGP, un standard ouvert et libre
2001/02/19
Phil Zimmermann a posté dans les  forums de discussion un message aux utilisateurs de PGP expliquant les causes de son départ de PGP Security Inc. / Network Associates Inc. (NAI). Il annonce qu'il rejoint Hush Communications et qu'il lance le consortium OpenPGP pour promouvoir l'adoption du standard de chiffrement du même nom.

Phil Zimmermann explique qu'il quitte la compagnie car durant les trois dernières années NAI a développé une vision différente du futur de PGP, et qu'il veut retrouver un travail plus en accord avec ses propres objectifs de protection de la vie privée.
Il précise aussi que NAI a fait le choix, extrêmement surprenant, de ne pas publier les codes-sources de PGP 7.0.3 et des futures versions de PGP, ce qui revient de facto à tuer la crédibilité du produit, y compris l'actuel PGPfreeware 7.0.3.

Extraits :
"In the past three years, NAI has developed a different vision for PGP's future, and it's time for me to move on to other projects more fitting with my own objectives to protect personal privacy.
Let me assure all PGP users that all versions of PGP produced by NAI, and PGP Security, a division of NAI, up to and including the current (January 2001) release, PGP 7.0.3, are free of back doors. (...)
New senior management assumed control of PGP Security in the final months of 2000, and decided to reduce how much PGP source code they would publish. (...)
I am also launching the OpenPGP Consortium (http://openpgp.org), to facilitate interoperability of different vendors' implementations of
the OpenPGP standard, as well as to help guide future directions of the OpenPGP standard."
 


 

GnuPG version graphique pour Windows est disponible en beta
2001/02/19
Jan-Oliver Wagner a mis en ligne une beta de test de la version graphique 1.0.4-17 de GnuPG.
 

La diffusion du sous-réseau chiffré Freenet pourrait être accélérée par Espra, un clone décentralisé de Napster
2001/02/16
Sortie d'une version beta de Espra, un système de partage de fichiers musicaux MP3 à la Napster, basé sur le sous-réseau chiffré et anonyme Freenet. La version beta n'est disponible pour l'instant que sous Windows.
Voir des détails sur le site infoAnarchy.
Voir la Homepage de Freenet.
Cette sortie intervient au moment où en Belgique de grandes compagnies audiovisuelles viennent de faire arrêter par la police des utilisateurs individuels de Napster pour infraction à la législation sur la propriété intellectuelle.
 

Carnivore : le système d'écoutes numériques du FBI change de nom et devient "DCS"
2001/02/15
Le FBI a annoncé que son système d'écoutes des communications Internet "Carnivore" a changé de nom et s'appelle dorénavant DCS (Digital Collection System). Malgré la ferme condamnation du dispositif par les ONG concernées, le FBI n'a pas souhaité le supprimer.
Sur Carnivore-DCS, voir le site de l'EPIC.
 

aTrans, un logiciel de chiffrement des communications IP (Windows)
2001/02/14
Une nouvelle version de aTrans, un logiciel de chiffrement des communications IP, est disponible pour Windows. La licence est libre (mais pas GNU GPL). Le code-source est disponible sur simple demande.
Fonctionnalités : Connexion en 2 clicks sur réseaux IP, Transfert de fichiers chiffrés, Notes Chiffrées, Conversation Chiffrées, Compression à la volée, Connexions bidirectionnelles indépendantes multiples simultanées, Carnet d'adresse, Envoi de fichier par glisser-déposer, Chiffrement des flux par Rijndael 128 bits (AES), Authentification et négociation des clés : Diffie-Hellman/RSA 1024 bits, Compression (ZIP), Migration propre avec création d'une archive de réinstallation autoextractible, comprimée et chiffrée, Autour de 400 kilobytes, se ballade facilement sur une disquette, Disponible en anglais et en français, Gratuit, Parfaitement testé sur réseaux IP standards, Première version avec support NAT.
 

Le logiciel e-mail Sylpheed supporte GnuPG (Windows)
2001/02/13
Jan-Oliver Wagner a mis en ligne une version anglaise 0.4.60 alpha du logiciel de courrier Sylpheed (version Windows) qui supporte GnuPG Win32. L'installation préalable de GnuPG est requise. Attention, ce n'est encore qu'une version alpha (instable).
Voir la homepage de Sylpheed.
 

L'Association des Utilisateurs d'Internet (AUI) voit dans l'avant-projet de loi sur la Société de l'Information les signes d'une "Société de Surveillance"
2001/02/09
Laurent Pelé, le trésorier de l'AUI (Association des Utilisateurs d'Internet), publie un communiqué dans lequel il exprime sa profonde inquiétude concernant l'avant-projet de loi LSI.
Extraits :
"Déguisé sous le titre de "société de l'information", Jospin veut instaurer la "société de surveillance" sur Internet (...).
Au lieu de libéraliser la cryptographie, une nouvelle réglementation verrait le jour où des agréments seraient attribués non pas à des produits mais à des personnes méritantes et complaisantes, ce qui est discriminatoire et sans fondement. De plus la possibilité pour le juge de réclamer des clés de chiffrement sous peine de prison est la porte ouverte à des abus. "
 

Projet de loi LSI : l'association IRIS craint la "politique du pire"
2001/02/09
L'association IRIS a publié un communiqué suite à la révélation par "Transfert" des premiers éléments du projet de Loi sur la Société de l'Information (LSI). IRIS considère que l'avant-projet, qui contient notamment des dispositions qui cherchent à régir la notion de "cryptologie", constitue un bon indicateur de la tendance choisie par le gouvernement. L'association exprime sa crainte que "le gouvernement adopte la politique du pire".
On notera que selon le quotidien Libération, 'les dispositions de l'avant-projet concernant le durcissement des lois sur la cybercriminalité ont été remaniées depuis, et devraient faire l'objet d'un arbitrage du Premier Ministre dans les jours à venir'.

Extraits du communiqué d'IRIS :
"La Commission européenne souffre d'un certain libéralisme politique sur les questions d'anonymat, de protection de la confidentialité et de la vie privée, et de cybercriminalité. C'est donc du Conseil de l'Europe que la France se fait plutôt disciple en cette matière, non sans emprunter « le meilleur du répressif » instauré par certains pays (USA, Royaume-Uni). On notera en particulier le choix de conserver tous types de données (y compris données de navigation) pendant une année."
Voir notre brève du 7 février
 

Volte-face du gouvernement : la cryptologie ne serait pas libéralisée totalement - La notion de cryptologie continuerait d'être définie et régie par la loi
2001/02/07
Selon les informations, à prendre au conditionnel, du magazine Transfert, l'avant-projet de loi sur la Société de l'Information (LSI) ne libéraliserait pas totalement la cryptologie, contrairement aux engagements pris par M. Lionel Jospin en 1999.

La partie concernant la cryptologie n'aurait dû logiquement contenir qu'un seul article abrogeant les différentes dispositions françaises qui ont encadré pendant des années cette partie des sciences mathématiques et leur application informatique, ce qui aurait permis à la France de se retrouver dans la situation normale des autres pays européens. Au contraire, le texte disponible contient une longue série de dispositions réglementant l'usage et la diffusion de cryptographie (et même une obligation de décryptage).
Voir l'article de Transfert : "Crypto : présumée coupable"

Extraits du projet :
"Art. 3.11 - On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes ou pour réaliser l'opération inverse de cette transformation avec ou sans convention secrète. "
 

"Transfert" publie le texte du futur projet de loi concernant la cryptologie
2001/02/06
Le webzine "Transfert" publie un état du texte de l'avant-projet du gouvernement pour la Loi sur la Société de l'Information (LSI), notamment le passage concernant la cryptologie.
http://www.transfert.net/fr/cyber_societe/article.cfm?idx_rub=87&idx_art=3960
 

PGPfreeware 7.0.3 est disponible pour Windows et Mac
2001/02/03
PGPfreeware 7.0.3 est disponible pour Windows (98, Millennium Edition, NT, 2000) et MacOS 8.6 et + (PowerPC). Aucune version pour les utilisateurs de Linux n'est prévue pour l'instant (ces derniers utilisant dans leur majorité le logiciel libre GnuPG).
Dans la version Windows, nous déconseillons l'installation du module PGPnet (sauf besoin impératif de ses fonctionnalités).
Voir l'annonce officielle.

NOTE d'"OpenPGP en français" : nous désapprouvons les choix effectués par les développeurs de PGP Security dans la version 7.0.3 freeware pour Windows, nous regrettons certains bugs étonnants (comme la copie automatique de l'ancien trousseau de clefs secrètes dans "C:\Mes_Documents"), et nous confirmons les propos de notre lettre-ouverte de septembre 2000 : "Qu'est devenu PGP® ?"

Màj 2002 : le code-source de PGP 7.0 ayant été gardé secret par NAI, cette version est fortement déconseillée pour d'évidentes raisons de sécurité.
 

Phil Zimmermann quitte Network Associates Inc.
2001/02/01
Bien que l'intéressé n'ait pas souhaité commenter l'information, deux éléments permettent de penser que Phil Zimmermann, le créateur de PGP, a quitté PGP Security Inc., la filiale de Network Associates Inc. (NAI).
D'une part, l'adresse http://www.pgp.com/phil, qui constituait depuis 1996 la page personnelle de Phil, est redirigée automatiquement vers la page d'accueil de PGP Security Inc.
D'autre part, la nouvelle homepage du créateur de PGP, hébergée par le MIT, ne le présente plus comme un employé de NAI et précise dans sa biographie : "[PGP Inc.] was acquired by Network Associates Inc (NAI) in December 1997, where he stayed on for three years as Senior Fellow. Zimmermann is currently consulting with a number of companies and industry organizations on matters cryptographic. "
Voir aussi : http://www.philzimmermann.com
 

Traité Cybercriminalité : la Commission Européenne est favorable au libre-usage de cryptographie
2001/01/31
Dans le cadre de l'élaboration du Traité contre la Cybercriminalité, la Commission des Communautés Européennes a fait une communication intitulée "Créer une société de l'information plus sûre en renforçant la sécurité des infrastructures de l'information et en luttant contre la cybercriminalité" au Conseil de l'Europe, dans laquelle elle se déclare notamment favorable au libre-usage de cryptographie.
Voir notre brève du 13 décembre 2000
Extraits :
"La diffusion de produits de sécurité dans l'ensemble de l'Union européenne, y compris de produits de chiffrement résistants, certifiés, au besoin, sur la base de critères d'évaluation acceptés par tous, renforcerait à la fois les possibilités de prévention d'actes criminels et la confiance des utilisateurs dans les technologies de la société de l'information. (...)
La Commission va continuer à oeuvrer en faveur de la sécurité et de la confiance dans le cadre de l'initiative eEurope, du plan d'action Internet, du programme IST et du prochain programme-cadre de RDT. Ces actions consisteront notamment à faciliter la mise à disposition de produits et de services présentant un niveau de sécurité satisfaisant et à encourager la libéralisation de l'usage du chiffrement résistant par un dialogue entre toutes les parties intéressées."
 

Affaire DVD-DeCSS / 2600 : des cryptographes dénoncent un danger pour la liberté d'expression
2001/01/29
Dans la complexe affaire DeCSS, du nom d'un programme permettant de casser le code de protection des DVD vidéo, le célèbre webzine de "hackers" 2600 a été condamné il y a quelques mois pour avoir hébergé sur son site web le code-source de DeCSS.
Aujourd'hui, dans cette même affaire, un groupe de cryptographes de renom témoigne du danger que font peser sur la recherche scientifique, et plus globalement sur la liberté d'expression, la loi américaine et les décisions judiciaires interdisant la rétro-ingénierie de dispositifs informatiques de sécurité.
Les signataires du témoignage sont Steven M. Bellovin, Matt Blaze, Dan Boneh, Dave Del Torto, Ian Goldberg, Bruce Schneier, Frank Andrew Stevenson, et David Wagner.

Extraits :
"Computer  code is expressive speech essential to  scientific exploration  and  communication among cryptographers,  speech  on which  the  District  Court?s injunction imposes  an  unjustified restriction. Thus  Section  1201?s  purported  prohibition on decryption  code is properly analyzed with strict scrutiny. The DMCA?s  vague,  content-based anticircumvention  provisions  fail even intermediate scrutiny, however.

The  statutory ?encryption research? exception  of  Section 1201(g)  does not alleviate the harms to amici. In  the  cramped interpretation of the District Court, the ?good faith  encryption research?  exception applies to virtually no one. The  criteria and  ?factors? in determination of  its applicability arbitrarily restrict  those who may discuss encryption technologies  and  set unconstitutional  prior  licensing conditions  on  speech. Even cryptographers  whose  own speech is not  restricted  by  Section 1201?s  provisions will be hampered by the inability  to  receive the communications of those who are chilled by the statute.

Amici propose a reading of Section 1201 more tailored to fit the  statute?s  language and the demands of the First  Amendment. Specifically, amici contend that 1201 cannot apply to enjoin  the publication  and dissemination of a computer program  unless  the standards of strict scrutiny under the First Amendment,  as  well as the procedural protections applicable to injunctions under the First Amendment, have been met."

Voir aussi sur le site de l'AFUL la traduction française d'un échange entre Ron Rivest (inventeur de l'algorithme RSA) et John Gilmore (fondateur de l'EFF) : "Sur la protection des contenus digitaux : la dérive du droit aux USA".
Dans le domaine plus général de l'appropriation de l'information et de la diffusion, voir en France la contestation de la taxe perçue par les sociétés d'auteurs sur les ventes de CD -ROM vierges (effective) et de disques durs (en projet) par l'APRIL et le site "Vache à lait".com.
Voir également le texte de fiction écrit par Richard Stallman : "Le droit de lire".
 

Phil Zimmermann réagit à titre personnel aux rumeurs
2001/01/26
Phil Zimmermann publie une réaction personnelle à la suite des rumeurs sur PGP propagées par un responsable de Network Associates France.
(Précision : la date de diffusion qu'il indique, le 20 janvier, correspond à la date de rediffusion par Canal + du reportage en question.)
Extraits :
"As the creator of PGP, I just want to set the record straight and say that nothing could be further from the truth.  PGP has no back door, not for the French government, not for any government. (...) No version of PGP that I have ever heard of has ever had a back door for government access. That applies to all versions of PGP up to and including the current version, PGP 7.0.3, released in January 2001."
 

"Seul l'utilisateur de PGP possède les clefs" déclare le Président de PGP Security (NAI) , qui dément catégoriquement l'existence d'une "backdoor" dans PGP
2001/01/24
Dans un communiqués'adressant aux utilisateurs, le Président de PGP Security Inc. (filiale de Network Associates Inc.) dément catégoriquement l'existence d'une backdoor dans PGP. Il estime que les propos tenus sur Canal + par le responsable de Network Associates France ont été mal interprétés.
Extraits :
"This memo is to clarify some confusion caused by statements made by Frederic Braut during a televised broadcast on Canal-Plus in France on January 15. Braut mistakenly stated that PGP Security products enable some governments to covertly decrypt mail messages. (...)
There is not, nor has there ever been, a back door into any of the PGP Security products. (...)
The important distinction is that there are no technical tools in PGP products that would allow anyone to decrypt messages secretly, and without the knowledge and consent of the authorized owners of the property in question. It is also impossible for us (PGP Security) to provide law enforcement officials with keys to help the law enforcement agency decrypt messages/data for a PGP customer. The PGP customer owns those keys, and we do not have any access to those keys."


Network Associates France minimise la diffusion par un de ses responsables de rumeurs sur PGP
2001/01/24
Répondant aux questions du webzine "Transfert", Network Associates France s'explique sur les déclarations faites par un de ses responsables dans un reportage télévisé diffusé en début de semaine dernière sur Canal +.
La société qui est chargée de diffuser les produits PGP en France déclare à cette occasion que M. Frédéric Braut n'est pas le "PDG de Network Associates" mais le "responsable du secteur virus informatiques", et que lorsqu'il a parlé de "clef de déchiffrement" il voulait dire "code-source".
Voir l'article de Transfert : "Sur Canal Plus, le scoop était crypté"
Voir notre brève du 17 janvier
 

Echelon : publication en France d'un livre de Duncan Campbell
2001/01/23
Publication en France de "Surveillance électronique planétaire" (éditions Allia, 176 pp., 6,10 ), un livre écrit par le journaliste spécialisé Duncan Campbell à propos du réseau d'écoutes Echelon.
Voir l'article et l'interview dans "Libération" :  "Echelon n'est pas invincible"
Extraits de l'interview :
"Il est vrai que l'utilisation de PGP (logiciel pour crypter ses e-mails, ndlr) est encore complexe : je m'en rends compte lorsque je communique avec certains journalistes. Je dois toujours leur expliquer comment faire. Si j'envoie un e-mail pour dire «allons boire un verre», il devrait être crypté. Non parce qu'il s'agit d'une information confidentielle, mais parce que vous et moi ne devrions pas avoir à nous dire qu'il est compliqué de préserver sa vie privée. "
 

PGP est disponible dans les grandes surfaces françaises (sous le nom de McAfee Viruscan Deluxe)
2001/01/22
Depuis quelques jours, PGP Personal Privacy (Windows) est disponible à la vente dans les enseignes d'une des plus grandes chaînes françaises de magasins spécialisés.
PGP est proposé comme un élément de l'antivirus McAfee Viruscan Deluxe (vendu 67,08 ).
 

PGPwireless for Palm OS 1.0 est disponible
2001/01/19
PGP Security Inc. (NAI) annonce PGPwireless for Palm OS 1.0.
Il est précisé qu'il n'y aura pas de version freeware. Le code-source n'est pas disponible.
Lire l'annonce sur la liste "pgp-users".
Pour une version libre de PGP sur Palm, voir OpenPGP for Palm.
 

Confusion parmi les utilisateurs après les déclarations d'un responsable de NAI-France affirmant que le gouvernement français possède une clef de déchiffrement pour PGP
2001/01/17
Au cours de l'émission "Tous fliqués" diffusée lundi soir 15 janvier sur la chaîne de télévision Canal + dans le cadre d'une soirée intitulée "Tous parano", un intervenant présenté comme "Frédéric Braut, PDG de Network Associates France" a affirmé dans une interview que les versions françaises de PGP contenaient une porte dérobée (backdoor) du gouvernement.
Malgré l'évidente erreur faite par le responsable de NAI-France dans l'interprétation de l'autorisation de commercialisation accordée par le SCSSI au logiciel, une telle déclaration a suscité une certaine émotion et des interrogations parmi les utilisateurs de PGP (notamment dans le forum "fr.misc.cryptologie" et sur la liste "open-crypto").

Rappellons que jusqu'à plus ample informé, les versions officielles de PGP diffusées par Network Associates Inc. (NAI) ne possèdent pas de porte dérobée d'un quelconque gouvernement, et il s'agit donc là une fois de plus d'une rumeur précisément "paranoïaque".
On notera avec étonnement que cette fois c'est le distributeur français de PGP, un logiciel qui a fondé sa réputation mondiale sur l'absence de piège, qui affirme publiquement que son produit contient une telle sorte de piège.

Voir notre page sur les PGP et les rumeurs
Voir notre page sur l'histoire de PGP
Voir notre page sur la législation française actuelle depuis mars 1999

Extraits de l'interview :
" Frédéric Braut, PDG de Network Associates France : "les instruments de sécurité très puissants, comme nous le proposons, comme PGP par exemple, l'état français possède les clefs de décryption qui permettent d'analyser ce produit et de pouvoir le déchiffrer et de l'utiliser, l'état français aujourd'hui possède les clefs de notre produit PGP qui est un produit d'encryption donc l'état français peut à tout moment décrypter parce qu'il a les clefs, on est obligé, c'est une obligation légale. Et je pense que cette obligation légale est valable dans tous les pays industrialisés, je pense que le gouvernement allemand, ou américain, possède eux aussi ces clefs, on est obligé. Donc effectivement, les états, quels qu'ils soient, sont capables de regarder ce qui se passe sur le réseau même si les utilisateurs utilisent des produits d'encryption. C'est une obligation légale." "
 

Une nouvelle clef publique, une nouvelle adresse e-mail, et une nouvelle homepage pour Philip Zimmermann
2001/01/13
Philip Zimmermann vient de mettre en circulation une nouvelle clef publique PGP comportant sa nouvelle adresse e-mail <prz@mit.edu>. La clef est signée par Will Price (PGP Security Inc.), Stale Schumacher (pgpi.org), Jeffrey Schiller (MIT) et Teun Nijssen (pgpi.org). La nouvelle homepagede Philip Zimmermann est aussi hébergée par le MIT (Massachusetts Institute of Technology).
Voir aussi : http://www.philzimmermann.com
 

Une version TCFS 3.0b pour le chiffrement sous Linux
2001/01/13
Une nouvelle série 3.0 de Transparent Cryptographic File System (TCFS) est disponible pour les noyaux Linux 2.2.x.
TCFS existe aussi pour OpenBSD et NetBSD.


Des RPM kernel-2.4.0-2mdkcrypto pour la Mandrake 7.2
2001/01/11
Des package RPM non officiels prêts à utiliser du noyau (kernel) Linux 2.4.0-2mdkcrypto.i586.rpm sont disponibles pour la distribution Mandrake 7.2. Voir l'annonce faite sur la liste "open-crypto".  Lire les conseils d'installation.
L'ensemble des fichiers fait environ 10 Mo (le fichier des sources n'est pas indispensable au fonctionnement quotidien du noyau).

Il ne s'agit pas de RPM diffusés par MandrakeSoft, mais de RPM créés par Michel Bouissou, un militant de longue date de la cryptographie libre. Ce dernier a utilisé les fichiers sources Mandrake "Cooker" (développement) kernel-source-2.4.0-2mdk.i586.rpm et les a patchés avec le noyau  international "kerneli". Les archives RPM sont signées avec la clef PGP de M. Bouissou.
Le noyau 2.4.0-2mdkcrypto ajoute à Linux le chiffrement des disques (l'équivalent de Scramdisk ou PGPdisk sous Windows) : il permet d'utiliser des commandes nouvelles de création d'un container chiffré (algorithmes AES, Blowfish, Triple-DES, etc.), et de montage et démontage de celui-ci comme un lecteur normal ("mount") : voir mode d'emploi dans le Linux Encryption HowTo.

C'est la première fois que le noyau crypto "kerneli" est disponible pour une distribution Linux grand public sous forme de RPM prêts à utiliser.
 

PGP Desktop Security 7.0.3 est disponible
2001/01/11
PGP Desktop Security 7.0.3 (Windows) est disponible.
 

Un noyau Linux 2.4.0 patché crypto est diffusé
2001/01/10
Un noyau Linux 2.4.0 patché crypto est diffusé. Il a été testé avec succès sur la distribution Linux-Mandrake 7.2.
Le noyau et les outils annexes sont signés par Michel Bouissou (pour l'installation, voir l'annonce faite sur la liste de discussion "open-crypto").
Voir notre brève du 6 janvier dernier.
 

Le logiciel français SYMPA 3.0 permet de créer des listes de diffusion chiffrées
2001/01/08
La nouvelle version 3.0 du gestionnaire de listes de diffusion Sympa, développé sous licence GNU GPL par le CRU (Comité Réseau des Universités), permet la création de listes de diffusion chiffrées.
Dans le cas d'une liste chiffrée, le contenu de chaque message d'une liste est tout d'abord chiffré avec une "clé publique de la liste" et envoyé au serveur, lequel déchiffre et rechiffre pour la clé publique de chaque abonné avant d'envoyer le message ainsi chiffré à chacun. Ceci peut être particulièrement intéressant pour des listes de diffusion de groupes de travail, ou pour des listes de communautés au contenu éventuellement confidentiel.
Le protocole choisi a été S/MIME, mais OpenPGP devrait être ajouté dans les prochaines versions.
 

Patch cryptographique pour Linux 2.4.0
2001/01/06
Avec quelques heures de retard sur le noyau principal, le patch cryptographique dit "international" 2.4.0.1 du nouveau Linux est disponible. Il permet d'ajouter la cryptographie par défaut au système de fichiers.
Le noyau 2.4.0 est la plus importante mise à jour du coeur de Linux depuis deux ans.
 

PGP Desktop Security 7.0.2 est disponible
2001/01/05
PGP Desktop Security 7.0.2 (Windows) est disponible.
 

Plus de six mois après la sortie du logiciel, le code-source de Scramdisk 3.01R3c (Windows 95/98) est enfin disponible
2001/01/03
Le code-source de Scramdisk 3.01R3c pour Windows 95/98 est enfin disponible.
Il faut noter que le programme est sorti en juin dernier sans que son code-source soit fourni, pratique extrêmement rare dans le domaine de la cryptographie sûre. Seule la réputation de Aman et Sam Simpson, les auteurs de Scramdisk, peut expliquer que les utilisateurs aient gardé confiance 6 mois durant dans un programme à code-source secret. Récemment, plusieurs utilisateurs s'étaient émus dans les forums de discussion de ne pas pouvoir inspecter ce code.
A noter que le code-source de Scramdisk 3.02A pour WinNT/2000 est toujours secret à l'heure actuelle.
Scramdisk est le plus célèbre des logiciels de chiffrement du disque dur pour Windows. Voir notre page Scramdisk.
 

La NSA accepte de rendre publics quelques documents au sujet de la norme de protection TEMPEST
2001/01/02
Le site web Cryptome a obtenu de la NSA américaine la déclassification de certains documents au sujet de la norme TEMPEST (protection des matériels informatiques contre le risque d'écoutes à distance).
Voir aussi l'article de The Register.
 

La version d'évaluation de PGP Desktop Security 7.0.1 disponible en Europe
2001/01/01
Le site FTP néerlandais Zed-Zed-Dot-Net contient une copie de la version d'évaluation de PGP Desktop Security 7.0.1 (Windows).
 

Le piratage des ordinateurs centraux de Microsoft pourrait faire peser une menace sur la sécurité nationale américaine
2001/01/01
Selon CNN, un rapport du "Center for Strategic and International Studies" (CSIS), un cabinet d'études privé dirigé par un ancien haut responsable du Ministère de la Défense américain,  conclut que le gouvernement américain et le secteur privé devraient être inquiets à propos de la loyauté ("trustworthiness") des futurs produits de Microsoft à la suite de l'intrusion informatique à l'intérieur du réseau de la compagnie en octobre dernier.
Voir aussi l'article de Transfert.net
Les codes-sources de Microsoft étant gardé secrets, à l'inverse de ceux de Linux et des programmes GNU GPL, des pirates pourraient avoir modifié ces codes, ou même simplement en avoir pris connaissance et être les seuls à exploiter cette connaissance pour y chercher des bugs de sécurité.
Extraits :
"It is doubtful that the millions (sometimes billions) of lines of code required to power Microsoft's products could readily be sanitized," the CSIS report states. "With most military and government systems powered by Microsoft software and more generally reliant  on [commercial, off-the-shelf systems], this recent development can pose grave national-security-related concerns," the 73-page report concludes. "
 

Ian Clarke s'explique sur la lenteur du développement de Freenet
2001/01/01
Dans un long article intitulé "Vapourware ?", Ian Clarke, le créateur de Freenet, s'explique sur la lenteur du développement et fait le point sur l'état d'avancement du projet.
Extraits :
"Freenet is not a normal project by any means. In fact, when you consider the complexity of the Freenet project, and how ambitious our goals actually are, it is quite impressive how far we have come in such a short time. "
 
 
 


 



Mise à jour : mai 2001
Publié sous licence OpenContent

Copyright (c) 1997-2001, pplf 14A0 4A67 0431 2402 684D 6EBA 537F 664D 3F80 0D58 <pplf@geocities.com>

Verbatim copying and distribution of this entire article is permitted in any medium, provided this notice is preserved.
La reproduction exacte et la distribution intégrale de cet article est permise sur n'importe quel support d'archivage, pourvu que cette notice est préservée.


accueil  |  présentation  |  sommaire  |  histoire  |  version française  |  mode  d'emploinews  |  autre crypto