Voir le sommaire des archives des news.
 
 

Profitant du silence de l'opinion publique et du contexte de l'après 11-Septembre, le Parlement Européen ouvre la boîte de Pandore de la surveillance généralisée des citoyens
- Les Etats pourraient faire face à une fronde des techniciens et des scientifiques
2002/05/30
Malgré une intense campagne de mise en garde menée par de nombreuses ONG regroupées dans la coalition GILC, le Parlement Européen a choisi de réviser la Directive Européenne sur la "rétention des données" de communications et d'étendre dans des proportions importantes la durée de conservation et la nature des données conservées, créant de facto une surveillance généralisée des communications et des déplacements géographiques (via les relais des téléphones portables).
Cette décision, très surprenante en regard des valeurs fondatrices de l'Union Européenne, ouvre la porte à une surveillance de tous les faits et gestes des citoyens européens équivalente à celle déjà pratiquée dans des pays totalitaires comme la Chine.

Faute d'avoir été écoutés, plusieurs techniciens et scientifiques, notamment en Angleterre et en France, pourraient choisir de désobéir aux nouveaux textes. Ainsi du projet de système d'exploitation anonyme et chiffré M-o-o-t, conçu exclusivement pour faire échec à la loi de surveillance anglaise RIP, ou du FAI français no-log.org, lancé par une association et soutenu par des organisations de défense des libertés fondamentales.

Voir les articles de ZDNet.fr :
"Pas de surprise à Bruxelles: les eurodéputés votent pour la rétention des données"
"Le système d'exploitation M-o-o-t nargue le gouvernement anglais"

Voir l'article de 01net : "L'Europe place les internautes sous surveillance"

Voir aussi l'article du Monde, précédant le vote : "Le droit au respect de la vie privée risque de perdre de sa substance"
 

Surveillance des "allées et venues" électroniques : le FAI anti big-brother "no-log.org" annonce qu'il respectera la loi mais protégera au maximum les citoyens
2002/05/22
Dans une déclaration au webzine ZDNet.fr, le FAI anti big-brother no-log.org annonce qu'il conformera son service associatif et gratuit de connexion à Internet aux éventuels futurs décrets de surveillance des connexions Internet, mais qu'il fera le maximum pour protéger les citoyens, et qu'il les informera du danger qui menace leurs libertés fondamentales.
A noter que les grands FAI restent actuellement discrets sur la surveillance des citoyens qu'ils exercent ou pourraient exercer dans le futur.
 

Les gouvernements des grands pays industrialisés chercheraient à étendre la surveillance des communications Internet
2002/05/19
Le webzine ZDNet.fr a mis au jour une série de communiqués de presse qui font apparaître que le sommet du G8 réuni dernièrement au Canada aurait été l'occasion pour les gouvernements des grands pays industrialisés d'envisager ensemble l'extension de la surveillance des communications Internet, notamment en développant le traçage des communications privées entre internautes.
Ainsi, aurait été dressée une liste de de données techniques à prendre en compte pour les réseaux IP : "le «serveur de courriel» (journal SMTP) est concerné surtout pour repérer «message-ID (msgid), expéditeur (login@domain), destinataire (login@domain), (...) adresse IP du client connecté au serveur, ID utilisateur, dans certains cas, renseignements sur le courriel récupéré»".

Voir l'article fouillé de ZDNet.fr : "Loin des capitales, le G8 se mobilise pour traquer les communications".

Voir aussi sur Libertés Immuables, le site des ONG Human Rights Watch, RSF et FIDH : "L'Union européenne souhaite contrôler les communications de ses citoyens ".

Sur l'inefficacité des dispositions de la loi LSQ imposant la conservation des logs de connexion par les FAI, voir l'article de 01net à propos du FAI associatif gratuit "no-log" : "No-log.org, un FAI gratuit anti-Big Brother".
 

GnuPG 1.0.7 pour MacOS X est disponible
2002/05/11
La version 1.0.7 de GnuPG pour MacOS X est disponible, ainsi que l'interface graphique GPGkeys.
 

Une faille dans la fonction "wipe" de PGP 7.x sous Windows 2000
2002/05/09
Une faille de sécurité a été trouvée dans la fonction "wipe" (effacement sécurisé) de PGP 7.x. Lorsque le système de fichiers chiffré (EFS) de Windows 2000 est utilisé, le "wipe" de fichiers de PGP 7.x est inefficace. Même si PGP 7.x n'est pas vendu pour fonctionner sous Windows XP, la faille existe probablement aussi sous XP. Voir l'annonce sur Bugtraq.
NAI vient de mettre en ligne un correctif pour PGP 7.x.
 

GnuPG 1.0.7, une mise à jour majeure de la version logiciel libre de PGP, est disponible (Linux)
2002/04/30
GnuPG 1.0.7 est disponible (Linux/UNIX). C'est une mise à jour majeure.
Attention : les utilisateurs de GnuPG 1.0.6 doivent d'abord éditer leur clef pour lui mettre la confiance ultime, puis mettre à jour la base de confiance, avec les commandes "--edit-key", puis "--check-trustdb".

Voir le nouveau manuel de GnuPG 1.0.7.

Extrait de la (longue) liste des nouveautés :

* Secret keys are now stored and exported in a new format which uses SHA-1 for integrity checks. This format renders the Rosa/Klima attack useless. Other OpenPGP implementations might not yet support this, so the option --simple-sk-checksum creates the old vulnerable format.
* The default cipher algorithm for encryption is now CAST5, default hash algorithm is SHA-1. This will give us better interoperability with other OpenPGP implementations.
* Photographic user ID support. This uses an external program to view the images.
* Nonrevocable signatures are now supported. If a user signs a key nonrevocably, this signature cannot be taken back so be careful!
* Multiple signature classes are usable when signing a key to specify how carefully the key information (fingerprint, photo ID, etc) was checked.
* --pgp2 mode automatically sets all necessary options to ensure that the resulting message will be usable by a user of PGP 2.x.
* --pgp6 mode automatically sets all necessary options to ensure that the resulting message will be usable by a user of PGP 6.x.
* Signatures may now be given an expiration date. When signing a key with an expiration date, the user is prompted whether they want their signature to expire at the same time.
* Revocation keys (designated revokers) are now supported if present. There is currently no way to designate new keys as designated revokers.
* --expert mode enables certain silly things such as signing a revoked user id, expired key, or revoked key.
* New tool gpgsplit to split OpenPGP data formats into packets.
* RSA key generation.
* It is now possible to sign and conventional encrypt a message (-cs).
* The status messages GOODSIG and BADSIG are now returning the primary UID, encoded using %XX escaping (but with spaces left as spaces, so that it should not break too much)
* The entire keyring management has been revamped.
* The entire key validation process (trustdb) has been revamped.
* Read only keyrings are now handled as expected.
 

Le chapitre français de la FSF Europe s'apprête à déposer une série de dossiers d'autorisation pour GnuPG, OpenSSL, mcrypt, auprès de la DCSSI
2002/04/24
La législation française actuelle interdit l'utilisation et la diffusion de tout logiciel de cryptographie qui n'aurait pas été d'abord déclaré, voire autorisé, par l'Etat. Cette réglementation est largement ignorée et inappliquée. Dans un souci de clarification, la FSF (Free Software Foundation) Europe-France s'apprête à déposer une série de dossiers de demande d'autorisation pour différents logiciels de crypto, dont le futur GnuPG 1.0.7, auprès de la DCSSI (ex- SCSSI). Sont aussi visés : OpenSSL, mcrypt. Les propositions de logiciels, contributions, et aides sont à faire sur la liste fsfe-france@gnu.org.

La FSFE France met également en ligne un guide sur la déclaration et l'autorisation qui sont théoriquement requises en France pour les logiciels de cryptographie.

La réglementation actuelle de la cryptologie en France, notamment sa libre mise en oeuvre par un utilisateur (par exemple l'écriture de scripts en Perl sur son ordinateur personnel), ou sa libre promotion auprès du public (par exemple ce site web), ou sa libre diffusion (par exemple le fait de proposer un rapport de bug au développeur d'un logiciel de cryptologie), n'existe dans aucun autre pays du monde, et s'explique par une tradition française d'"écoutes téléphoniques" à l'insu des personnes écoutées.
Voir aussi notre point de vue sur le site LSIjolie.
 

Législations anti-crypto : mise à jour du "Crypto Law Survey"
2002/04/18
Le "Crypto Law Survey" de Bert-Jaap Koops a été mis à jour. Il s'agit d'une compilation de toutes les législations spécifiques à la cryptologie dans le monde.
À noter une modification au chapitre Union Européenne, liée à l'accord de Wassenaar.
 

Nouvelle version du chiffrement disque et swap loop-AES (Linux)
2002/04/15
La version 1.6b de loop-AES est disponible. De nombreuses nouveautés apparaissent.
 

Mise à jour de la documentation de WinPT-GnuPG (Windows)
2002/04/11
La documentation de WinPT, l'interface graphique de GnuPG pour Windows, a été mise à jour.
 

GPG Tools 1.1 pour MacOS X
2002/04/10
La version 1.1 de GPG Tools est disponible. GPG Tools est une interface graphique permettant le chiffrement / déchiffrement du presse-papiers sous MacOS X.
 

Chiffrement du swap dans la Mandrake 8.2 : un patch non officiel est disponible (Linux)
2002/04/09
Un patch non officiel pour le chiffrement du swap dans la Mandrake 8.2 est disponible. Il répare la fonctionnalité et renforce la clef aléatoire utilisée au boot pour chiffrer le swap.
Voir les instructions pour appliquer le patch sur une Mandrake 8.2.
 

Chiffrement du système de fichiers et chiffrement du swap : la distribution d'origine francaise Linux-Mandrake 8.2 s'affirme comme l'OS crypto idéal
2002/04/07
Michel Bouissou, qui a écrit le script "Mkcryptfs" et qui a examiné de près les fonctionnalités cryptologiques de la distribution Linux-Mandrake 8.2, a mis au jour dans celle-ci une fonction non documentée de chiffrement du swap (fonction qui était d'ailleurs bugguée et qu'il a corrigée).
Voir le message de Michel Bouissou sur la liste de discussion "open-crypto".
Voir aussi le tout nouveau patch de chiffrement du swap pour la version originale de loop-AES, qui utilise une méthode de chiffrement différente de celle de Mandrake.

Sortie mi mars, Mandrake 8.2 contient également une fonction de chiffrement du système de fichiers (par partition ou par container chiffrés) ; les outils de cryptologie courants que sont GnuPG (chiffrement des e-mails), OpenSSH (connexion chiffrée) ou OpenSSL (site web sécurisé) sont inclus ; et il s'agit d'une distribution Linux réellement libre, 100% GNU GPL et téléchargeable gratuitement dans le monde entier. Cette distribution tend donc à s'affirmer comme l'OS (système d'exploitation) crypto idéal.
Il est intéressant de noter que MandrakeSoft étant une société basée en France, elle ne devrait normalement pas pouvoir, en théorie, fournir un OS sécurisé par de la cryptologie sans obtenir une autorisation administrative dans des conditions hélas incompatibles avec les méthodes de développement des logiciels libres GNU GPL. La législation française visant la cryptologie apparaît donc une nouvelle fois inapplicable. MandrakeSoft est actuellement une des start-up informatiques françaises les plus prometteuses et un des concurrents les plus sérieux de Microsoft.
 

Nouvelle version du plug-in GnuPG pour Outlook Express (Windows)
2002/04/03
Une version 0.4.0 du plug-in Outlook Express (Windows) pour GnuPG est disponible. Le code a été largement réécrit.
L'installation préalable de WinPT, ou au minimum de la version ligne de commande de GnuPG, est nécessaire.
 
 
 
 

• Archives des Crypto-News

Copyright (c) 1997-2002, pplf

Verbatim copying and distribution of this entire article is permitted in any medium, provided this notice is preserved.
La reproduction exacte et la distribution intégrale de cet article est permise sur n'importe quel support d'archivage, pourvu que cette notice soit préservée.