Voir le sommaire des archives des news.
 
 

Le groupe d'internautes "Distributed" a cassé un message chiffré avec une clef de 64 bits
2002/09/27
Le Challenge RSA, lancé en 1997, et qui consistait à casser par force brute (essai de toutes les combinaisons) un message chiffré par un algorithme RC5 à clef de 64 bits a été remporté le 25 septembre 2002 par Distributed. L'opération aura duré cinq années, mais elle prouve que des entités non étatiques peuvent briser les messages de 64 bits.

Distributed fédérait des milliers d'internautes qui ont utilisé le temps libre de leur ordinateur pour tester la totalité des clefs possibles.
C'est le 14 juillet 2002 que le PIII-450 d'un internaute de Tokyo a retourné la clef gagante. La clef était "0x63DE7DC154F4D03" et produit le texte clair suivant : "The unknown message is: some things are better left unread".
On estime que la longueur de clef d'un algorithme ne doit jamais descendre en dessous de 90 bits pour que le chiffrement reste sûr. La loi française réglemente de manière drastique la création et la diffusion de toute cryptologie dont la clef dépasse 40 bits (tout en ayant autorisé récemment GnuPG, qui utilise des clefs de 128 à 256 bits).
 

Le système d'exploitation GNU/Linux Mandrake 9.0 est disponible avec tous les outils de chiffrement fort
2002/09/26
Le système d'exploitation sous licence libre (pour ordinateurs PC compatibles x86 Intel et AMD) GNU/Linux Mandrake 9.0 est disponible. Il contient tous les outils de chiffrement fort : système de fichiers chiffré ("cryptage" du disque dur), GnuPG et plugins OpenPGP préinstallés dans les logiciels e-mails, OpenSSH, et la gestion des certificats SSL. Les images ISO des 3 CD-ROM peuvent être téléchargées librement sur Linuxiso.
Actuellement, en dehors de Mandrake, seule la distribution partiellement commerciale SuSE-Linux contient un chiffrement du disque. Ni Debian GNU/Linux ni RedHat Linux n'ont encore inclus le chiffrement en standard.
Le système d'exploitation Windows XP, quant à lui, n'inclut aucun chiffrement dont il soit possible de vérifier qu'il n'a pas été piégé par le gouvernement américain.
S'agissant du système d'exploitation MacOS X (Darwin), il n'a prévu aucun chiffrement du disque.
Le système d'exploitation OpenBSD contient une panoplie complète d'outils de chiffrement, notamment du disque, mais sa prise en main reste délicate.
 

GnuPG 1.2 est disponible (Windows, Linux)
2002/09/22
La version 1.2 de GnuPG est sortie. Beaucoup d'améliorations, notamment l'accroissement des vérifications MDC pour renforcer la sécurité, ou la gestion plus rapide des gros trousseaux de clefs (commande gpg --rebuild-keydb-caches).
GnuPG 1.2 est librement utilisable en France.
ftp://ftp.mirror.ac.uk/sites/ftp.gnupg.org/gcrypt/gnupg/gnupg-1.2.0.tar.gz (Linux/UNIX)
ftp://ftp.mirror.ac.uk/sites/ftp.gnupg.org/gcrypt/gnupg/gnupg-1.2.0.tar.gz.sig
ftp://ftp.mirror.ac.uk/sites/ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.2.0.zip (WindowsXP / Windows98, version ligne de commande)
ftp://ftp.mirror.ac.uk/sites/ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.2.0.zip.sig
RPM officiel (Linux) : ftp://ftp.ferrara.linux.it/pub/gpg

Parmi les nouveautés de cette version :
* The default configuration file is now ~/.gnupg/gpg.conf. If an old ~/.gnupg/options is found it will still be used. This change is required to have a more consistent naming scheme with forthcoming tools.
* New "group" command to refer to several keys with one name.
* Full revocation key (aka "designated revoker") support.
* New commands: --personal-cipher-preferences, --personal-digest-preferences, and --personal-compress-preferences allow the user to specify which algorithms are to be preferred. Note that this does not permit using an algorithm that is not present in the recipient's preferences (which would violate the OpenPGP standard). This just allows sorting the preferences differently.
* The IDEA plugin has changed. Previous versions of the IDEA plugin will no longer work with GnuPG. However, the current version of the plugin will work with earlier GnuPG versions.
* The use of MDCs have increased. A MDC will be used if the recipients directly request it, if the recipients have AES, AES192, AES256, or TWOFISH in their cipher preferences, or if the chosen cipher has a blocksize not equal to 64 bits (currently this is also AES, AES192, AES256, and TWOFISH).
* GnuPG will no longer automatically disable compression when processing an already-compressed file unless a MDC is being used. This is to give the message a certain amount of resistance to the chosen-ciphertext attack while communicating with other programs (most commonly PGP earlier than version 7.x) that do not support MDCs.
* --pgp7 mode automatically sets all necessary options to ensure that the resulting message will be usable by a user of PGP 7.x.
* Significantly improved photo ID support on non-unixlike platforms.
 

RSF s'alarme à nouveau sur la liberté de chiffrement en France et adresse une lettre ouverte à trois ministres
2002/09/20
Reporters Sans Frontières (RSF) se penche de nouveau sur la situation de la cryptographie en France et adresse une lettre ouverte intitulée "Protection des informations et des sources sur Internet : La cryptographie menacée" aux ministres de la défense, Michèle Alliot-Marie, de l'intérieur, Alain Sarkozy, et de la justice, Dominique Perben.
Depuis 2001 et le projet de Loi sur la Société de l'Information (LSI), RSF a placé la cryptographie en tête de ses préoccupations. Elle est actuellement la seule grande ONG française à avoir pris pleinement conscience des enjeux de la libéralisation totale de la cryptologie en France, et de l'indispensable chiffrement des communications pour les journalistes d'investigation ou pour les associations utilisant Internet pour communiquer avec leurs adhérents.

Voir l'article du Monde : "Cryptographie : RSF interpelle le gouvernement".
Voir l'article de Libération : "Mail toi de ce qui te regarde".

Voir aussi l'article de ZDNet.fr : "Cryptographie: le droit au secret chamboulé par les décrets de la LSQ".
 

La FIL s'inquiète d'un décret de juillet 2002 exigeant le piégeage de tous les logiciels de cryptographie
2002/09/17
Dans un communiqué intitulé "Cryptographie : un pas en avant, deux pas en arrière", la Fédération Informatique et Libertés (FIL) fait le point sur l'épineuse question de la législation de la cryptologie en France.

La FIL se félicite de la récente autorisation de GnuPG et OpenSSL par la DCSSI dépendant du Premier Ministre, mais elle s'interroge sur deux décrets publiés en application la Loi sur la Sécurité Quotidienne (LSQ), notamment le décret du 16 juillet 2002 portant obligation de déchiffrement pour tous les "fournisseurs de cryptologie". Que recouvre cette notion ? les diffuseurs de GnuPG ne pourraient-ils pas être à l'avenir assimilés à de tels "fournisseurs de cryptologie" et donc obligés de piéger leur logiciel avec une "backdoor" ?

Le communiqué met également en garde la communauté scientifique et universitaire sur les effets de la législation restrictive française : "La FIL rappelle que la cryptologie est une branche des sciences mathématiques et que toute tentative de définition et de réglementation de la notion de cryptologie menace la liberté de recherche scientifique et plus généralement la liberté d'expression".

On peut s'interroger sur la cohérence des pouvoirs publics, qui d'un côté autorisent dans des conditions très larges l'utilisation et la diffusion de GnuPG, indiquant une volonté claire de disséminer enfin les outils indispensables à la préservation du secret de la correspondance, et de l'autre côté veulent à tout prix continuer à pouvoir décrypter les échanges chiffrés dans le but de prolonger la tradition française d'écoutes téléphoniques à l'insu des personnes écoutées.
 

Le site web de la DCSSI annonce officiellement l'autorisation de GnuPG en France
2002/09/16
Le site web de la DCSSI a été mis à jour et annonce sur sa page d'accueil l'autorisation de GnuPG versions 1.0.7 et suivantes en France pour fourniture, utilisation, importation et exportation.
(Voir notre brève du 7 août dernier)
 

Une version de développement (test) GnuPG 1.1.92a (Windows, Linux)
2002/09/13
GnuPG 1.1.92a, sans doute la dernière version de développement avant la version 1.2, est disponible pour test (Linux). Un binaire ligne de commande (CLI) pour Windows est aussi fourni.
Plusieurs modifications ont été faites pour protéger GnuPG contre l'attaque MDC (voir notre brève du 13/08/2002)
 

Une faille de sécurité dans PGP 7.1.1 pour Windows
2002/09/06
Une faille de sécurité dans PGP 7.1.1 pour Windows liée à la gestion des noms de fichiers longs, permettrait un exploit à distance.
Un patch corrigeant la faille est disponible.
 

11 Septembre, un an après : une catastrophe pour la vie privée dans les grandes démocraties, selon les ONG
2002/09/06
Un an après le 11 Septembre 2001, plusieurs ONG examinent en détail les conséquences de l'attentat de New-York sur les libertés fondamentales dans les grandes démocraties. Le constat, particulièrement brutal, est double : fort recul de la vie privée du fait d'une limitation sévère des libertés numériques, notamment de la liberté de communication et du secret de la correspondance (Internet, téléphonie), et relative ignorance de ces bouleversements par des opinions publiques mal informées.

Voir le rapport de RSF : "Internet en liberté surveillée"
Voir le rapport de l'EPIC et de Privacy International : "Privacy & Human Rights 2002"

Voir aussi l'article du journaliste américain Declan McCullagh sur ZDNet.fr : "Sombre bilan pour les libertés individuelles, un an après le 11 septembre", ainsi qu'un autre article évoquant notamment la surveillance des emprunts de livres dans les bibliothèques US : "Après le 11 septembre: l'informatique au centre du "New Deal" sécuritaire des États-Unis".
 

Enigmail pour Mozilla 1.1 (Windows, Linux)
2002/08/28
Une version 0.65.2 du plugin GnuPG Enigmail est disponible pour le nouveau Mozilla 1.1 (Windows, Linux).
 

Une version test d'Enigmail/Mozilla pour MacOS X
2002/08/24
Une version de test du plugin GnuPG Enigmail/Mozilla est disponible pour MacOS X (version Mach-O build).
 

Selon son président, PGP Corp. ne publiera pas le code-source intégral de PGP 8.0
2002/08/23
Dans une interview exclusive à 01net, Phillip Dunkelberger, le PDG de PGP Corp., évoquant la stratégie de la nouvelle compagnie, déclare : "Nous continuerons à publier le code source de notre moteur d'encryption, qui est utilisé par tous nos produits, (...) toutefois on ne publiera pas le code source de nos logiciels".
Une telle situation, qui verrait une simple publication des librairies de chiffrement SDK (comme l'avait fait NAI avec PGP 7.x), remettrait en cause la confiance que l'on peut avoir dans PGP®. Pour mémoire, jusqu'à PGP 6.5.8 inclus, l'intégralité du code-source du programme était publiée.
 

Phil Zimmermann et d'autres créent "PGP Corporation" et rachètent PGP® à NAI -
Un futur PGP 8.0 pour MacOS X et Windows XP est annoncé -
Aucune licence libre n'est projetée et la licence freeware devient plus restrictive
2002/08/19
PGP Corporation, une nouvelle compagnie qui comprend notamment Phil Zimmermann, Bruce Schneier, Jon Callas et Will Price, rachète à NAI les outils de chiffrement PGP®. PGP Corporation a levé 14 millions de $ (14 millions d'euros) auprès d'investisseurs.

- Le rachat comprend les versions : Windows, Mac, PalmOS, WinCE/PocketPC, SDK, et les PGP keyserver.
- Linux ne sera pas supporté dans un premier temps mais une version est en projet.
- Une version PGP 8.0 pour MacOS X et Windows XP est annoncée pour novembre 2002 (et une version freeware 8.0 sera diffusée).
- Le code-source de PGP 8.0 sera publié.
- Aucune ancienne version de PGP® n'est passée sous licence libre ou BSD.
- La licence de PGPfreeware devient plus restrictive ("Customers (...) using PGP freeware to communicate with licensed business users (...) must immediately cease usage and purchase a commercial PGP license").

Voir la FAQ de PGP Corporation.
Voir la lettre de Jon Callas, développeur historique de PGP® et co-auteur du RFC définissant le standard OpenPGP.
 

Plus de 200.000 visites sur la page d'accueil de ce site
2002/08/18
Ce site a reçu plus de 200.000 visites sur sa page d'accueil depuis trois ans ans (date de mise en place d'un compteur).
Un tel chiffre montre l'intérêt des internautes francophones pour OpenPGP et la cryptographie en général.
 

Une nouvelle version d'EudoraGPG (Windows)
2002/08/14
Le développement du plug-in EudoraGPG (Windows) est relancé avec un nouveau développeur et une nouvelle version 1.0.
 

Une attaque cryptanalytique contre GnuPG et PGP
2002/08/13
Un papier de Kahil Jallad, Jonathan Katz, et Bruce Schneier, trois cryptographes réputés, décrit une attaque cryptanalytique contre GnuPG et PGP.

Cette attaque est quasiment théorique et ne remet pas en cause la sécurité de GnuPG lors d'une utilisation courante.

Voir le résumé fait dans le "Crypto-gram" du 15 août.
Voir aussi la réaction de Werner Koch, l'auteur de GnuPG, qui explique que GnuPG est protégé quand on utilise l'option -- force-mdc mais que cela rend alors le message chiffré incompatible avec les versions de PGP inférieures à PGP 7.x ou les versions de GnuPG inférieures à GnuPG 1.0.2.
 

Nouvelle version pour un des documents définissant le standard OpenPGP
2002/08/12
Une nouvelle version du "Internet-Draft" "OpenPGP Message Format" est disponible. Ce document est un de ceux qui définissent le standard OpenPGP.
 

Une version française d'Enigmail pour Mozilla
2002/08/09
Une version française d'Enigmail, l'extension GnuPG pour Mozilla 1.0, est disponible grâce à une traduction de Jean-Philippe Gaulier.
Il faut auparavant avoir installé le fichier de traduction français pour Mozilla 1.0, puis redémarrer Mozilla (si Enigmail était déjà installé, il peut être nécessaire de repasser Mozilla en langue anglaise, relancer Mozlla, puis choisir à nouveau le français). Sous Linux, installer les XPI en root puis cliquer sur About:Enigmail.
Mozilla 1.0 (Windows, Linux, FreeBSD) : http://www.mozilla.org/releases/stable.html
Plugin GnuPG (Enigmail) : http://enigmail.mozdev.org/download.html
Traduction Mozilla 1.0 français : http://frenchmozilla.sourceforge.net/
Traduction Enigmail français : http://enigmail.mozdev.org/langpack.html
 

De nouveaux scripts Eudora-GPG (MacOS X)
2002/08/08
Une nouvelle version des scripts Eudora-GPG est disponible pour GnuPG MacOS X et le logiciel e-mail Eudora.
 

GnuPG est officiellement autorisé en France -
Pour la première fois en France, un organisme gouvernemental autorise la fourniture et l'utilisation d'un logiciel libre de cryptographie forte -
La législation française reste la plus restrictive du monde et continue de définir et réglementer la cryptologie
2002/08/07
La demande d'autorisation de fourniture en vue de l'utilisation générale et d'importation pour GnuPG 1.0.7 déposée en juin par la FSF Europe France a été acceptée par la DCSSI le 15 juillet 2002. L'exportation est aussi autorisée. Le dossier OpenSSL est aussi accepté.

Voir le communiqué de presse sur le site de la FSF Europe.
 

LOPSI : certains FAI sont inquiets et craignent un Carnivore à la française
2002/08/07
Un article de 01net revient sur le contenu de la LOPSI votée fin juillet et permettant à la police de se connecter directement sur les ordinateurs des FAI pour ses enquêtes. Certains FAI sont non seulement inquiets des problèmes de sécurité qu'une telle connexion vers l'extérieur leur posera, mais redoutent aussi une dérive vers un système à la Carnivore (le système d'écoute du FBI mis en place chez les FAI américains et dont l'emploi s'est généralisé après le 11 Septembre).

A noter que la LOPSI a fait l'objet le 5 août d'un recours devant le Conseil Constitutionnel, à l'initiative de 60 députés d'opposition.
 

Une version de développement (test) GnuPG 1.1.91 (Windows, Linux)
2002/08/05
En prévision de la future version 1.2, une version de développement 1.1.91 de GnuPG est disponible pour test (Linux). Un binaire pour Windows est aussi fourni.
 

Un guide non-officiel sur la génération de clefs sous GnuPG est disponible en français
2002/08/02
Le site de Winterminator, qui propose des versions non-officielles de GnuPG pour Windows, met en ligne un guide particulièrement détaillé sur la génération de clefs sous GnuPG.
 

Après la LSQ, la LOPSI a de nouveau été votée malgré la mise en garde des ONG de défense des libertés
2002/08/01
Après avoir été votée par l'Assemblée mi juillet, la LOPSI vient d'être rapidement votée par le Sénat et est donc définitivement adoptée. Comme en novembre 2001 pour la LSQ, de nombreuses ONG avaient mis en garde les parlementaires sur le caractère "intrusif" de plusieurs dispositions, dont la cyber-perquisition planifiée par le gouvernement.
Sur le court débat parlementaire, voir le Bulletin Lambda N° 8.06.
 

Alors qu'en Angleterre le commissaire à la protection des données dénonce le RIPA, en France le silence de la CNIL est mis en cause par RSF et par la FIL
2002/08/01
En Angleterre, Elizabeth France, le commissaire à la protection des données (la CNIL anglaise), considère que les nouveaux pouvoirs de surveillance donnant aux forces de police l'accès aux données des téléphones mobiles et aux traces Internet des consommateurs (le RIP Act, qui entre en vigueur ce 1er août), sont illégaux.
Parallèlement, en France la CNIL fait l'objet d'attaques de plus en plus vives, notamment depuis la présentation de son dernier rapport annuel au cours de laquelle un de ses représentants a affirmé qu'il n'avait remarqué aucun effet "11 septembre" en France. RSF "exhorte" la CNIL à agir, tandis que la FIL estime que le rôle de la CNIL aurait dû être de demander elle-même un "élargissement de son mandat".

Voir le rapport (en anglais) d'Elizabeth France.
Voir le communiqué de RSF : "Reporters sans frontières exhorte la CNIL à agir plus efficacement pour protéger les cyberlibertés"
Voir l'interview d'un responsable de la FIL dans Le Monde : "Loick Coriou : 'La CNIL ne remplit plus son rôle, et surtout n'a jamais eu les moyens juridiques et législatifs de le faire' ".
 
 
 
 

Copyright (c) 1997-2002, pplf

Verbatim copying and distribution of this entire article is permitted in any medium, provided this notice is preserved.
La reproduction exacte et la distribution intégrale de cet article est permise sur n'importe quel support d'archivage, pourvu que cette notice soit préservée.