Voir le sommaire des archives des news.
 
 

Crypto sous Linux : "mkcryptfs", un script pour la création facile de containers chiffrés
2002/03/22
"Mkcryptfs" est un script mis au point par Michel Bouissou afin de permettre la création facile de containers chiffrés sous Linux, notamment Mandrake 8.2 et SuSE 7.2.
Mkcryptfs est compatible avec loop-aes, cryptoapi et kerneli.
Télécharger le script.
 

Faille dans le format de compression "zlib" : un patch pour GnuPG est disponible (Windows, Linux)
2002/03/18
Afin de corriger la faille dans la librairie de compression "zlib", utilisée par GnuPG et PGP, des versions corrigées de GnuPG sont disponibles.
La version ligne de commande GnuPG 1.0.6-2 (Windows).
Le patch (Linux).
 

L'Allemagne intensifie sa campagne d'incitation à l'utilisation de cryptographie libre
2002/03/17
À l'occasion du salon informatique CeBIT 2002 de Hanovre, le Ministère de l'Economie allemand annonce la disponibilité des outils de chiffrement fort du "GNU Privacy Project". GnuPP contient GnuPG 1.0.6, GPA 0.5.0 et WinPT 0.5.7. Le projet GnuPP a été lancé par les autorités allemandes il y a maintenant plus de deux ans (voir notre brève du 20 novembre 1999).
Des kits gratuits contenant un CD-ROM de GnuPG et un manuel d'utilisation en allemand ont été distribués. Un outil automatisé d'apprentissage de la cryptographie à clef publique, le robot "Adele" (adele@gnupp.org), a été mis en place pour permettre à tous de se familiariser avec les outils de cryptographie. (Voir GnuPP version anglaise pour Windows).
Voir notre brève du 10 mars.

L'initiative allemande met en lumière le retard du gouvernement français, paralysé par la question des écoutes téléphoniques.
 

Pour Bruce Schneier, "Network Associates a tué PGP"
2002/03/16
Commentant la fin de PGP dans son "Crypto-Gram" de mars 2002, le spécialiste de la sécurité informatique Bruce Schneier estime que "Network Associates a tué PGP" (Network Associates has killed PGP), ajoutant : "Mais cela ne signifie pas que PGP est mort. Le standard OpenPGP, et GPG, se portent parfaitement bien."
 

NAI précise que le code-source de PGP restera sa propriété
2002/03/14
Le site web www.pgp.com a été mis à jour : l'arrêt des produits de chiffrement PGP est confirmé.
Sandra England, ancienne présidente de PGP Security Inc., précise : "La technologie et le code-source de PGP resteront sous le contrôle et la propriété de Network Associates."
 

Avenir de PGP : Will Price appelle à sauver le standard OpenPGP mais attaque GnuPG
2002/03/14
Alors que de nombreux débats agitent la liste "pgp-users" quant à l'avenir de PGP, Will Price, l'ancien responsable du développement de PGP® chez NAI, confirme que NAI a définitivement arrêté le développement. Il ajoute que l'interface graphique (GUI) de PGP avait commencé à être entièrement repensée en juin 2000, mais que NAI a coupé court à ce chantier.
S'interrogeant sur la suite du standard OpenPGP, Will Price estime que GnuPG n'est pas l'avenir d'OpenPGP, précisant même dans une formule qui traduit sans doute une méconnaissance de la licence GNU : "GnuPG est pollué par la GPL" ("GPG is polluted by the GPL"). Will Price, qui a participé à la naissance de PGP 5.x et à PGP Inc., l'ancienne société de Phil Zimmermann, envisage même une réécriture de zéro d'un logiciel au standard OpenPGP ("perhaps a new code base will be the only way to move forward").
Voir les archives de la liste gnupg-users
 

Version 0.39 du plugin GnuPG "Enigmail" pour Mozilla / Netscape 6 (Windows et Linux)
2002/03/13
Enigmail 0.39 est disponible pour Mozilla 0.9.9 et inférieur (Windows et Linux). Plusieurs fonctionnalités importantes ont été ajoutées (comme le chiffrement par défaut de tous les messages grâce à "encrypt if possible").
Enigmail est un plugin GnuPG pour les modules courrier et newsgroups de Mozilla / Netscape 6.
Voir aussi le groupe de discussions news://news.mozdev.org/public.mozdev.enigmail
 

Linux-Mandrake 8.2 rc1 supporte le chiffrement du système de fichiers, mais MandrakeSoft traverse de graves difficultés financières
2002/03/12
La distribution Linux d'origine française Mandrake, la plus utilisée des distributions Linux dans le monde, sort une nouvelle version 8.2 (release candidate 1) intégrant dans son noyau pré-compilé le support du chiffrement du système de fichiers par "loop-AES". Il s'agit du premier système d'exploitation grand public entièrement sous licence GNU GPL qui contienne un dispositif de chiffrement fort du disque (un équivalent de PGPdisk pour Windows, mais en beaucoup plus sûr).

Voir notre page linux-crypto pour plus d'informations.

Mais au même moment, MandrakeSoft, la société qui édite Linux-Mandrake, rencontre de graves difficultés financières dues en partie à des erreurs de gestion. MandrakeSoft publie un communiqué alarmiste appelant les utilisateurs de Linux-Mandrake à soutenir financièrement la société par des dons et des inscriptions au Club Mandrake, afin de tenter de faire échec à la situation de monopole dans le domaine des systèmes d'exploitation.

Télécharger Mandrake 8.2 (3 images iso de 650 Mo) : ftp://ftp.sunet.se/pub/Linux/distributions/mandrake-iso/i586/
Supporter Linux-Mandrake : Club d'utilisateurs Mandrake.
 

Une version anglaise de GNU Privacy Project 1.1 (Windows) est disponible
2002/03/10
Une version anglaise de GNU Privacy Project (GPP) est disponible pour Windows.
GnuPP 1.1 contient le moteur de chiffrement GnuPG (GNU Privacy Guard), l'interface graphique GPA (GNU Privacy Assistant) et le plug-in courrier générique WinPT (Windows Privacy Tray).
Le projet GNU Privacy, financé par le Ministère de l'Economie et de la Technologie allemand (BMWi), a été développé pour fournir à chacun un accès à un système cryptographique sécurisé, digne de confiance et facile à utiliser. Tous les logiciels de GnuPP sont des logiciels libres sous licence GNU GPL.
 

Phil Zimmermann demande à NAI de passer PGP® sous licence BSD
2002/03/09
Dans une interview au webzine "The Register", Phil Zimmermann, le créateur de PGP, déclare qu'il a demandé à NAI de publier le code-source des versions de PGP® en les mettant sous une licence de type BSD. Il souhaite aussi qu'un grand sponsor aide le développement du standard OpenPGP (certains évoquent les noms d'Apple ou HP).
 

NAI renoncerait à ranimer les outils de chiffrement PGP®
2002/03/07
Selon divers journaux en ligne, NAI aurait abandonné l'idée de trouver un acquéreur pour les outils chiffrement de la société PGP® Security et aurait licencié les 18 personnes qui y travaillaient encore. Il s'agirait donc d'un abandon pur et simple et de la fin de PGP®. En octobre 2001, NAI avait annoncé l'arrêt de PGP® et sa mise en vente.
Bien sûr, le standard OpenPGP continue grâce à GnuPG, WinPT et Mac GPG.
On remarquera que NAI n'a jamais réellement promotionné PGP®, et, au final, entre son rachat à Phil Zimmermann en 1997 et cet arrêt en 2002, a en quelque sorte accompagné la disparition du logiciel le plus détesté par la NSA.

Certains messages dans les forums de discussion préconisent en remplacement l'utilisation des versions pirates "ckt" ; nous déconseillons fortement les versions PGP "ckt" qui ont toujours suscité une grande méfiance de la part des connaisseurs de PGP et de Phil Zimmermann (opacité du développement, choix de fonctionnalités discutables, non-respect du standard OpenPGP, viol de la licence propriétaire de NAI, et d'autres raisons).

Voir :
IDG News Service : "Network Associates abandons search for PGP buyer, axes 18"
Slashdot : "Network Associates Gives Up Search for PGP Buyer"
ZDNet : "PGP is dead! Long live PGP? Well, we can hope".
 

Nouvelle version de loop-AES pour le chiffrement du système de fichiers (Linux)
2002/03/05
Une version loop-AES 1.5c est disponible. Loop-AES est un module de chiffrement du système de fichiers pour Linux 2.2 et 2.4. Depuis la fin de l'International Crypto Patch (kerneli), loop-AES est devenu un standard.
Sont aussi fournis dans un fichier distinct des algorithmes supplémentaires (serpent, twofish, blowfish). Voir les détails.
 

Correction d'un problème de sécurité lié à l'outil de chiffrement CFS (Linux)
2002/03/03
Un dépassement de pile (buffer overflow) a été découvert dans le démon de CFS (Cryptographic File System). Cela n'affecte pas la sécurité cryptographique de CFS, mais met en danger l'intégrité de tout le système UNIX sur lequel il tourne. Un correctif est disponible.
CFS, créé en 1992 par Matt Blaze, a été un des premiers outils de chiffrement du disque sous UNIX, et utilise notamment Triple-DES.
 

Tinfoil Hat, une disquette de boot GnuPG pour faire échec aux interceptions "keylogger" ou "TEMPEST"
2002/02/26
Présenté lors de la conférence CodeCon, Tinfoil Hat se veut une solution contre les interceptions de clefs secrètes OpenPGP. Tinfoil Hat sera notamment particulièrement utile pour les utilisateurs de Windows (qui est très sensible aux virus et keyloggers).
Le programme se présente sous la forme d'une disquette de boot qui fonctionne sur tout PC, et qui charge en mémoire un menu convivial basé sur Linux et comprenant GnuPG (et stockant les trousseaux de clefs), un éditeur de texte, et des programmes de sécurité et d'effacement. L'objectif est d'utiliser GnuPG pour chiffrer, déchiffrer, signer, vérifier, tout en évitant l'interception de ses clef secrète et phrase de passe par des virus, des keyloggers (enregistreur de clavier) ou par capture du rayonnement électro-magnétique (TEMPEST).
Voir une présentation avec captures d'écran
Attention, la version actuelle n'existe encore qu'en anglais et se charge avec un clavier qwerty.
 

Peek-A-Booty arrive, Freenet progresse peu à peu : les systèmes d'anonymat sur Internet se multiplient mais peinent à s'imposer
2002/02/18
Le système d'anonymat Peek-A-Booty est disponible en version CVS (beta 0.75) pour Windows XP.
Voir des captures d'écran de Peek-A-Booty.
Freenet, de son côté, fête ses deux années d'existence. Un nouveau protocole 0.4 améliore grandement le système qui, malgré la lenteur de son développement, est devenu un véritable sous-réseau Internet anonyme et incensurable. Un des outils Freenet les plus utilisés est Frost, qui permet l'envoi et la réception d'e-mails, la mise en place de forums de discussions, et l'échange de fichiers MP3.
 

Une nouvelle version de aTrans pour les échanges P2P chiffrés (Windows)
2002/02/12
aTrans, un programme qui permet de chiffrer ses communications P2P, chat, transfert de fichiers, est disponible dans une nouvelle version (Windows). La licence d'aTrans permet une utilisation commerciale et le code-source est disponible.
Voir le message résumant les nouveautés.
 

Enigmail, un plug-in GnuPG pour Mozilla / Netscape 6 (Windows & Linux)
2002/02/11
Enigmail pour Mozilla 0.98 et Netscape 6.x est disponible. Encore en développement alpha, Engimail est un plug-in courrier pour Mozilla 0.9 et Netscape 6 (versions Windows & Linux).
Précision : sous Linux, l'installation multi-utilisateurs dans /usr ne semble pas fonctionner correctement; l'utilisateur doit installer une version de Mozilla dans son propre /home et ensuite y installer Enigmail.
 

Bien que le code-source de PGP 7.0.3 soit gardé secret, une version française pour Mac est diffusée
2002/02/11
A destination des utilisateurs de MacOS 8.x et 9.x, une version francisée (rustine)de PGP 7.0.3 est diffusée par Jean-Pierre Kuypers.
Cependant, il faut noter que pour des raisons évidentes de sécurité nous déconseillons l'utilisation des versions 7.x de PGP tant que leur code-source intégral n'aura pas été rendu public. PGP version 6.5.8 est préférable, ou mieux : le passage en MacOS X (GnuPG pour OS X est disponible grâce à Mac GPG - voir notre brève du 10 février).
 

Mac GPG Keys, une interface graphique pour GnuPG (MacOS X)
2002/02/10
Mac GPG Keys, une interface graphique pour GnuPG sous MacOS X, est disponible en version beta 0.2.
 

Téléphonie chiffrée par Internet : Speak Freely 7.2 (Windows) est disponible
2002/02/05
La version 7.2 de Speak Freely, un programme de téléphonie chiffrée (et gratuite) par Internet, est disponible (Windows). Parmi les nouveautés : une qualité audio accrue.
Une version Unix plus ancienne est aussi disponible (avec une interface graphique en Tcl/Tk).
 

L'année 2001 vue par "OpenPGP en français" : un prix PRO-CRYPTO et un prix ANTI-CRYPTO
2002/01/31
Après plus de quatre années de crypto-news, "OpenPGP en français" souhaite mettre en avant au début de chaque année ceux ou celles qui durant l'année précédente ont le plus, soit promu, soit combattu, la cryptographie libre dont OpenPGP est le symbole depuis sa création en 1991 par Philip Zimmermann. Il en résulte un prix PRO-CRYPTO et un prix ANTI-CRYPTO.
 

Un guide pratique montre comment contourner la cyber-surveillance de la loi LSQ
2002/01/31
Lors des Rencontres No-Zelig, qui se sont tenues à Paris en marge des Big Brother Awards, une communication intitulée "LSQ : sortez couvert" a montré comment contourner la cyber-surveillance de la loi LSQ du 15 novembre 2001, notamment concernant l'interception et le traçage des communications.
Le texte de l'exposé est disponible en ligne et constitue une sorte de guide pratique anti-LSQ.
 

Un Big Brother Award "pour l'ensemble de son oeuvre" sanctionne le gouvernement de Lionel Jospin sur les questions de protection de la vie privée
2002/01/29
Les Big Brother Awards France 2001 ont été remis le 28 janvier à Paris à "5 projets, institutions ou entreprises ayant porté atteinte à la vie privée ou négligé de la protéger, ou fait la promotion de la surveillance individuelle ou collective" durant l'année 2001.
Malgré la proximité des élections législatives, le jury a choisi de remettre un Big Brother Award au gouvernement actuel dans la catégorie "Prix Spécial du Jury pour l'ensemble de son oeuvre". Ce BBA entend dénoncer "le gouvernement et ses services de de sécurité pour avoir commandité des mesures ouvertement anticonstitutionnelles, condamnées par les principales ONG", ainsi que "pour l'affaire du fichier STIC et pour sortir les fichiers de 'souveraineté' de la loi informatique et libertés".
Parmi les autres prix, on note dans la catégorie "Produits, systèmes et dispositifs" la dénonciation de Navigo, testé par la RATP pour tracer les déplacements de ses usagers.
 

WinPT 0.5.5, la version graphique de GnuPG (Windows), est disponible
2002/01/28
WinPT (Windows Privacy Tray) 0.5.5 pour Windows est disponible. Voir la liste des changements.
WinPT 0.5.5 inclut GnuPG et est diffusé sous licence logiciel libre GNU (libre même pour une utilisation commerciale).
A noter qu'une interface graphique pour GnuPG appelée "GPGshell" est diffusée sur Internet ; nous déconseillons fortement son utilisation car ses codes-sources sont gardés secrets alors que le programme participe directement, contrairement à ce que soutient son auteur, aux opérations cryptographiques.
 

Pour la première fois, un appel à désobéir aux lois sur la cryptologie est lancé en France
2002/01/25
Sous le titre "Liberté et confidentialité : prenons le maquis !" , le collectif Samizdat.net, proche des mouvements de contestation sociale et d'anti-globalisation, lance un appel solennel à désobéir aux lois sur la cryptologie et sur la surveillance des communications sur Internet (Loi sur la Sécurité Quotidienne LSQ et projet de Loi sur la Société de l'Information LSI).

Samizdat.net déclare notamment : "au nom du droit imprescriptible de chaque individu à la confidentialité de sa correspondance nous continuerons à utiliser la cryptographie bien au-delà des limites imposées par la loi" et appelle "l'ensemble des usagers des réseaux et des utilisateurs de micro-ordinateurs à s'insurger contres ces lois immondes en pratiquant la désobéissance sociale, en utilisant massivement les instruments de cryptographie et d'anonymat disponibles".

Samizdat.net est né quelques semaines avant le mouvement social de 1995, en tant que lieu de diffusion d'informations relatives, notamment, aux luttes et mouvements sociaux en France et dans le monde. L'appel de Samizdat.net met en lumière l'inquiétude des mouvements syndicaux et associatifs nés avec l'émergence d'Internet, devant le risque d'entrave à leur liberté d'expression (l'interdiction de la confidentialité des échanges, entre autres).
Voir aussi nos remarques de novembre 2001 sur le lien entre liberté d'association (ou de réunion) et liberté de chiffrement.
 

La loi du 15 novembre 2001 (LSQ) est attaquée devant la Commission européenne pour non respect du droit communautaire
2002/01/24
L'association IRIS a déposé fin décembre 2001 une plainte contre la France auprès de la Commission européenne pour non respect du droit communautaire dans la Loi sur la Sécurité Quotidienne (LSQ) du 15 novembre 2001. Cette plainte vient d'être déclarée recevable par la Commission qui va l'examiner sur le fond.
La plainte d'IRIS vise particulièrement l'article 29 de la LSQ sur la conservation des données techniques relatives à une communication, pendant une période pouvant s'étendre jusqu'à un an.

Depuis que le Parlement français l'a voté en urgence à la suite des attentats américains du 11 septembre 2001, la LSQ a suscité en France une très vive opposition de la quasi-totalité des ONG et associations, notamment IRIS, Reporters Sans Frontières, la Ligue des droits de l'homme, le GISTI, le Syndicat des Avocats de France, et le Syndicat de la Magistrature. Voir les sites Libertés-Immuables et LSIjolie .
 

Version française du manuel GnuPG ("GNU Privacy Handbook")
2002/01/23
Le manuel de GnuPG, ou "GNU Privacy Handbook", a été traduit en français par Jean-François Paris.
Disponible aussi en version PDF ou SGML.
 

Les nominés aux Big Brother Awards France 2001
2002/01/21
La liste des nominés aux "Big Brother Awards France 2001", qui seront remis le 28 janvier à Paris au "Flèche d'Or Café" (20e), a été publiée.
Dans la catégorie "Entreprises", on note la présence de Wanadoo Data (groupe France Télécom), "qui use de son quasi-monopole et de son image de service public pour alimenter ses fichiers clients".
Dans la catégorie "Administration", les questions de la controversée loi LSQ du 15 novembre 2001 et des écoutes électroniques massives de type Echelon sont à l'ordre du jour avec la nomination de "L'ensemble des parlementaires (Sénat + Assemblée Nationale), pour avoir profité des attentats aux USA afin d'adopter une loi sécuritaire (la LSQ)" et celle du "Ministère de la défense, qui, pour concurrencer Echelon, le système anglo-saxon d'écoute et interception des télécommunications, cherche à donner une dimension européenne à "Frenchelon", son petit frère français. "
 

GNU Privacy Assistant 0.4.3 pour GnuPG (Linux) est disponible
2002/01/15
Une version 0.4.3 de GPA (GNU Privacy Assistant), l'interface graphique pour GnuPG (Linux), est disponible.
Au menu, diverses corrections de bugs.
 

Pour le candidat Verts à l'élection présidentielle, les lois sur la cryptographie "portent atteinte au droit à la vie privée et au secret de la correspondance"
2002/01/13
Dans un discours prononcé lors des 6e Rencontres de l'Internet d'Autrans, Noël Mamère, député et candidat des Verts à l'élection présidentielle, a dénoncé la Loi sur la sécurité quotidienne (LSQ) du 15 novembre 2001. Il a notamment fustigé certaines dispositions de la LSQ comme "celles sur la cryptographie (qui) portent atteinte aux libertés les plus élémentaires, au droit à la vie privée et au secret de la correspondance" .
M. Mamère a par ailleurs dénoncé la vision sécuritaire d'Internet, rappelant dans une formule choc : " Derrière chaque internaute ne se cache pas un petit Ben Laden pédo-nazi en puissance" .
 

Geheimnis 1.96 pour GnuPG (Linux) est disponible
2002/01/10
Geheimnis 1.96 est disponible. Geheimnis est un un frontal graphique KDE 2 permettant d'utiliser GnuPG-PGP de manière plus simple sous Linux. Il s'inspire directement du "look and feel" qui était celui de PGP 6 et 7.
 

L'outil d'effacement sécurisé Eraser 5.3 (Windows) est disponible
2002/01/09
Eraser, l'outil d'effacement sécurisé (wipe) des fichiers sous Windows, est disponible en version 5.3 (licence GNU GPL).
Sami Tolvanen confirme par ailleurs que cette version est la dernière qu'il réalise, car il abandonne le système Windows pour un autre système (Linux).
 

Liberté de recherche scientifique et cryptologie : aux USA, le professeur Bernstein relance son action judiciaire contre la réglementation anti-crypto
2002/01/08
L'EFF, une des principales associations américaines de défense des libertés sur Internet, a annoncé que Daniel Bernstein, Professeur au "Department of Mathematics, Statistics, and Computer Science" de l'Université de l'Illinois de Chicago, a renouvelé son action judiciaire tendant à l'annulation des textes réglementaires US sur la cryptologie qui limitent la liberté d'expression, particulièrement la liberté de recherche et d'enseignement de la cryptologie.

En France, plusieurs cryptographes, y compris dans la jeune génération, nous ont confirmé ne pas souhaiter engager d'action, même simplement médiatique, contre la législation en vigueur, qui punit pourtant de lourdes peines toute diffusion non autorisée de matériel cryptologique.
Par ailleurs, les associations françaises de défense des droits de l'homme semblent ne pas souhaiter aller devant les tribunaux sur la question de la cryptologie.
 

Découverte d'une vulnérabilité dans le chiffrement "loop" du disque dur sous Linux
2002/01/03
Le chiffrement "loop", qui est la technique la plus utilisée pour chiffrer le disque dur sous Linux, contient une vulnérabilité , selon une étude qui propose des idées pour écrire un correctif.
Sur le chiffrement "loop", voir notre page Linux et le site "loop-aes".
 
 
 
 

• Archives des Crypto-News

Copyright (c) 1997-2002, pplf

Verbatim copying and distribution of this entire article is permitted in any medium, provided this notice is preserved.
La reproduction exacte et la distribution intégrale de cet article est permise sur n'importe quel support d'archivage, pourvu que cette notice soit préservée.