News2000 2

Les nouvelles postérieures
au 30 juillet 2000 sont ici

 

 

Le
gouvernement néo-zélandais préparerait une loi facilitant
l’interception des e-mails

2000/07/30

Selon le New
Zealand Herald, le gouvernement néo-zélandais préparerait
une loi permettant à la police d’intercepter plus facilement les
e-mails des suspects.

A noter qu’une telle législation vient d’être votée
en Angleterre, pendant qu’aux Etats-Unis le système d’interception
« Carnivore » a déjà, malgré l’absence d’une législation
précise, été mis en place chez certains fournisseurs
d’accès à Internet.

 

Le
site Cryptome est accessible à une nouvelle adresse

2000/07/29

Le site web d’information Cryptome.org, consacré notamment à
la cryptographie, et qui avait publié des informations préjudiciables
au Ministère de la Défense américain et était
devenu difficilement joignable depuis plusieurs jours, est à nouveau
accessible à l’adresse http://216.167.120.50/.

 

Disparition

2000/07/28

C’est avec une grande tristesse que nous apprenons le décès
de notre camarade Emilio Oriente, traducteur en français des manuels
PGP 2.6.3i, PGP 6.0.2i, Scramdisk 2.0.2H, et militant de la première
heure pour la cryptographie libre.

 

Le
Conseil constitutionnel valide l’obligation pour tout particulier de révéler
ses noms et adresses lorsqu’il s’exprime publiquement sur le web

2000/07/28

Le Conseil constitutionnel a rendu le 27 juin sa décision
sur le recours concernant la loi dite « sur la liberté de communication ».
Plusieurs dispositions ont été censurées (dont celle
relative à la responsabilité pénale des hébergeurs
n’ayant pas procédé aux  » diligences appropriées »
lorsqu’ils ont été saisis par un tiers estimant le contenu
illicite) mais le Conseil n’a pas remis en cause l’obligation pour tout
particulier de fournir ses noms et adresses lorsqu’il s’exprime publiquement
sur le web (Art. 43-10 de la loi).

A noter que cette loi s’applique uniquement aux sites
webs et forums localisés sur le territoire français.

Voir nos brève et commentaire
du 18 juin.

 

Thawte
abandonne le support des clefs PGP

2000/07/28

Thawte, un des principaux fournisseurs
de certificats digitaux, qui a été racheté par Verisign
il y a quelques mois, abandonne le support des clefs publiques PGP. La
raison en est la migration de Thawte vers le logiciel Verisign qui lui
n’a jamais supporté PGP.

 

La
loi RIP votée en Angleterre va limiter l’utilisation de la cryptographie

2000/07/28

La très controversée loi RIP a
été votée le 26 juillet par le Parlement anglais.
Une de ses dispositions impose la fourniture de ses clefs de déchiffrement
en cas d’enquête. Tout oubli du mot de passe, destruction ou disparition
des clefs peut être puni en lui-même d’une peine de deux ans
de prison. Cet accès du gouvernement aux clefs (GAK) fait du chiffrement
une opération périlleuse pour les utilisateurs et va tendre
à limiter l’utilisation de la cryptographie aux seules transactions
où elle s’avère indispensable.

La loi RIP prévoit aussi une surveillance policière permanente
du trafic Internet passant chez les fournisseurs d’accès.

Le projet de loi avait été condamné par Amnesty
International.

Extrait de l’article de TheStandard :

« Home Office minister Clarke stressed that « propaganda
is needed » to re-educate the public about the provisions of the bill and
asked the House with help in promoting « the interests of this country’s
businesses when the time comes. » « 

 

L’interdiction
de Napster pourrait accélérer la diffusion de Gnutella et
des sous-réseaux décentralisés

2000/07/27

Un tribunal américain a ordonné la fermeture temporaire
de Napster, le réseau centralisé
de partage de fichiers MP3. Cet arrêt de Napster va obliger ses 20
millions d’utilisateurs à se tourner vers les réseaux distribués
non centralisés et pourrait accélérer la diffusion
de Gnutella et Freenet.

A noter que les serveurs OpenNap
pourraient aussi constituer une alternative à Napster.

 

Angleterre
: une liste de contre-mesures permettant de contourner la future loi « RIP »

2000/07/27

Deux cryptographes publient un papier
(« The Regulation of Investigatory Powers Bill – Technically inept: ineffective
against criminals while undermining the privacy, safety and security of
honest citizens and businesses ») dressant une liste des contre-mesures
techniques permettant de contourner la future loi anglaise RIP (Regulation
of Investigatory Powers) et qui montre que RIP serait inapplicable.

Le projet de loi RIP actuellement en discussion devant
le Parlement anglais prévoit une écoute permanente des liaisons
Internet des particuliers et des entreprises, ainsi qu’une obligation de
livrer ses clefs de déchiffrement (même si on les a effacé
ou égaré) sous peine de prison. Le texte, que certains rapprochent
des législations en vigueur dans l’URSS, a fait l’objet le 13 juin
dernier d’une lettre ouverte d’Amnesty
International mettant en garde la Chambre des Lords. 

Voir l’article de Libération (22 juillet) : Le
gouvernement britannique réinvente Big Brother. 

 

Une
courte histoire d’Echelon par Duncan Campbell

2000/07/26

Le webzine Telepolis publie un article du journaliste spécialisé
Duncan Campbell sur le réseau d’espionnage anglo-saxon Echelon :
« Inside
Echelon (The history, structure and function of the global surveillance
system known as Echelon) »

 

« Blocks »,
un nouveau système de fichiers distribué et anonyme

2000/07/26

Blocks est un prototype
de système de fichiers distribué et anonyme (Windows, source
crossplatform). Il requiert une connexion Internet permanente DSL ou câble
et 1 Gb d’espace disque

Blocks fait suite aux projets similaires FreeHaven, Freenet, Publius
et Fling.

Caractéristiques (extraits) : 

« – All ‘uploaded’ files are split into small 64Kb
blocks.

– ‘File advertisements’ are broadcast through out
the network. Your Blocks application needs to be running to see them. When
you do a ‘search’ you are actually searching the local list maintained
by your Blocks application, searches are never broadcast. 

– The data blocks are routed from server to server
rather than from point to point, with content being replicated through
out the ‘network’. IP addresses are not associated with uploads or downloads
in any way. 

– Each Blocks application acts as a potential client,
server, and caching proxy for data blocks. 

– Blocks uses a large disk bound cache (1-64Gb) that
is protected by a 128bit block cipher using a random key based on a strong
Pseudo Random Number Generator (entropy provided by user), and the cache
is deleted and recreated each time the Blocks server is stopped or started.
Therefore, even after a crash or abnormal termination, the disk cache cannot
be used to ascertain what data has been downloaded or was being served. 

– All network connections are protected by a 128bit
stream cipher using a session key created from a 512bit Diffie-Hellman
key exchange. So, network logs cannot be used to identify what network
passed through the system. »

 

Une
documentation en français sur les liaisons chiffrées TLS

2000/07/25

Une documentation
en français sur TLS et Sendmail (chiffrement de sessions réseau)
est disponible.

Extraits :

« La version 8.11 de Sendmail intègre l’extension
STARTTLS (RFC 2487) permettant l’authentification forte des serveurs SMTP,
l’établissement d’une session TLS (chiffrée) entre 2 serveurs,
l’authentification forte des clients SMTP, et l’établissement d’une
session TLS (chiffrée) entre le client et le serveur. Ceci permet
par exemple de faire circuler le courrier dans des canaux chiffrés
entre les serveurs d’une même organisation (VPN SMTP), de forcer
le mode chiffré vers des destinations identifiées, ou encore
d’autoriser le relais après présentation d’une authentification
TLS cliente. A terme cette extension permettra de ne plus transporter de
courrier en clair. »

 

Le
logiciel d’anonymat Freedom livre une partie de son code-source

2000/07/25

Le logiciel commercial Freedom
lancé il y a sept mois par la société canadienne Zero-Knowledge
Systems, et qui fournit une solution payante (US$49.95) d’anonymat sur
Internet (remailer, pseudonymes, proxy) a décidé
de livrer une partie de son code-source (future version Linux). La licence
est GNU GPL.

Voir http://opensource.zeroknowledge.com/

Bien que Freedom soit un logiciel commercial et payant,
il est développé par des programmeurs respectés dans
le milieu cryptographique et constitue une solution réputée
sûre. A noter que le FBI a semblé chercher à exercer
des pressions sur la société il y a quelques mois.

 

Netscape
PGP Plugin beta 2 est disponible

2000/07/23

Une version beta 2 de Netscape PGP Plugin est disponible. 

 

Exportations
américaines de cryptographie : résumé de la nouvelle
réglementation

2000/07/22

Le bureau des exportations américain (BXA) publie un résumé
de la nouvelle réglementation concernant la cryptographie.

 

Affaire
Carnivore : des cryptographes demandent au FBI de mettre son logiciel en
« open source »

2000/07/22

Les cryptographes Matt Blaze et Steve Bellovin proposent au FBI de
mettre en « open
source » Carnivore, son logiciel d’espionnage des fournisseurs d’accès
à Internet, afin de prouver que le logiciel fait bien ce qu’il est
censé faire, et d’en étudier la sécurité.

 

Netscape
4.74 est disponible en version 128 bits

2000/07/19

Netscape Communicator 4.74 (Windows, Linux, Mac, Unix) est disponible
par défaut avec des clefs de chiffrement de 128 bits (version « d »
pour « domestic encryption », par opposition à « e » pour « export encryption »
limitée à des clefs de 40 bits).

 

Les
restrictions américaines des exportations de cryptographie sont
de nouveau assouplies

2000/07/18

Le gouvernement américain a décidé d’assouplir
davantage encore les restrictions à l’exportation
en dehors des USA de matériels et logiciels de cryptographie. Cette
décision doit être reliée à celle identique
prise en juin par l’Union Européenne (voir
nos brèves des 23 et 24 mai).

Extraits :

« Under the new policy, U.S. companies can export under
license exception (i.e., without a license) any encryption product to any
end user in the 15 nations of the European Union as well as Australia,
Norway, Czech Republic, Hungary, Poland, Japan, New Zealand and Switzerland.
Previous distinctions between government and non-government end users are
removed for these countries. Further, U.S. exporters will be permitted
to ship their products to these nations immediately after they have submitted
a commodity classification request for their product to the Department
of Commerce. Exporters no longer have to wait for a completed technical
review or incur a 30-day delay to ship their encryption products to customers
in these nations. 

These updates track with recent regulations adopted
by the European Union that ease encryption exports to the same countries.
Consistent with the Administration’s January 2000 commitment, U.S. companies
can continue to compete effectively in these markets. »

 

« Carnivore »,
le dispositif d’écoutes légales du FBI, suscite un tollé
en Amérique

2000/07/17

Le FBI a révélé l’existence chez les fournisseurs
d’accès à Internet du dispositif « Carnivore », un logiciel
de tri des informations envoyées et reçues par les internautes
suspectés. Le procédé suscite une grande émotion
aux Etats-Unis et l’association de défense des libertés individuelles
ACLU
a décidé de se saisir du dossier.

Voir l’article de )Transfert : Un
Carnivore dans leurs ordis.

Voir l’article de ZDNet : Carnivore,
l’outil espion du FBI, révolte les américains.

 

GnuPG
1.0.2 pour Linux/Unix est disponible

2000/07/13

GnuPG 1.0.2 pour Linux/Unix est disponible
(sources + version française).

Version française compilée, au format RPM pour Linux
RedHat ou Mandrake :

ftp://crypto.ferrara.linux.it/pub/gpg/gnupg-1.0.2-1rh61.i386.rpm

Voir l’annonce.

Parmi les nouveautés :

* The user is now asked for the reason of revocation
as required by the new OpenPGP draft.

* There is a ~/.gnupg/random_seed file now which saves
the state of the internal RNG and increases system performance somewhat. 
This way the full entropy source is only used in cases were it is really
required.

Use the option –no-random-seed-file to disable this
feature.

* The entropy.dll is not anymore used by the W32 version
but replaced by code derived from Cryptlib.

* Encryption is now much faster: About 2 times for
1k bit keys and 8 times for 4k keys.

* New command –export-secret-subkeys which outputs
the the _primary_ key with it’s secret parts deleted.  This is useful
for automated decryption/signature creation as it allows to keep the real
secret primary key offline and thereby protecting the key certificates
and allowing to create revocations for the subkeys.  See the FAQ for
a procedure to install such secret keys.

 

GnuPG
1.0.2 pour Windows est disponible en version stable

2000/07/12

GnuPG 1.0.2 pour Windows 95/98, NT et 2000 est disponible.
Cette version est la première à ne plus être une version
de test, mais reste en ligne de commande. L’interface graphique GPA,
déjà disponible pour Unix, sera portée prochainement
sous Windows.

GnuPG est la version logiciel libre du standard OpenPGP.

Voir notre page de présentation
de GnuPG pour Windows.

 

Un
projet Scramdisk pour Linux est lancé

2000/07/11

Andy Jeffries, auteur de Scramdisk
Delphi, annonce qu’il entame le portage de Scramdisk sur Linux.

Voir le message dans alt.security.scramdisk.

 

Réseaux
anti-censure, suite : les projets « Fling » et « Free Haven »

2000/07/10

Annonce du projet Fling,
un système basé sur une suite de cinq protocoles internet
permettant d’assurer des fonctions de DNS, TCP, et UDP de manière
intraçable et non interceptable. Le slogan du projet est « Speech
without limits » mais aucun papier descriptif ou code source n’est encore
disponible.

Parallèlement, le projet Free
Haven, lancé il y a quelques mois par un étudiant du
cryptographe Ron Rivest, prend de l’essor et publie un nouveau papier
(qui sera présenté à la fin du mois à Berkeley).

A noter aussi l’existence de Publius,
et bien sûr de Freenet
(actuellement le plus avancé). 

Voir notre page de présentation de Freenet.

 

GnuPG
pour Mac OSX

2000/07/07

Un message posté sur la liste gnupg-users signale l’existence
d’un patch pour Mac OSX et d’une page GPG
for OSX.

A noter que le portage de GnuPG sur Mac « normal », envisagé un
moment, semble actuellement arrêté.

 

Eraser
4.1
est disponible

2000/07/07

La version 4.1 du nettoyeur (« wipe ») de disque dur Eraser
(pour Windows 95/98, NT, 2000), écrit par Sami Tolvanen, est disponible.
A noter qu’Eraser est maintenant sous licence GNU
GPL. 

 

La
loi sur « la liberté de communication » fait l’objet d’un recours
devant le Conseil constitutionnel

2000/07/06

La loi sur « la liberté de communication » voté par le
Parlement le 28 juin, qui encadrait strictement la liberté d’expression
sur Internet, fait l’objet d’un recours
devant le Conseil constitutionnel, indique dans un communiqué
l’association IRIS, à la pointe de la protestation contre le texte.

Voir notre brève du 29 juin

 

Le
Parlement européen choisit de fermer les yeux sur Echelon

2000/07/06

Selon le webzine allemand Telepolis,
le Parlement Européen réuni en session plénière
a rejeté mercredi 5 juillet la proposition d’une commission d’enquête
sur le réseau d’espionnage anglo-saxon Echelon. Le Parlement a estimé
qu’il valait mieux opter pour une mission d’information chargée
de « vérifier l’existence du système d’interception des
communications connu sous le nom d’Echelon ».

Extraits de Telepolis :

« The Greens believe the big political parties have
bowed for the individual EU governments wishes not to take a strong position
on the Echelon issue. ‘The vote proved that most of the conservative, socialists
and liberals member of parliament are unwilling to go against the wishes
of certain EU governments,’ according to the Greens. »

Voir les deux décisions du Parlement (textes
« echelon » du 05/07/2000).

Extraits : 

« Décision B5-0594/2000 : Le Parlement européen
(…) entérine la décision de la Conférence des Présidents
de ne pas proposer la constitution d’une commission temporaire d’enquête. » 

 

L’EPFL
suisse met en évidence une faiblesse dans SSL et S/MIME

2000/07/05

Des chercheurs de l’EPFL de Lausanne menés par Serge Vaudenay
ont trouvé une faiblesse
importante dans les protocoles SSL et S/MIME.

Voir la page du Laboratoire
de sécurité et de cryptographie (LASEC).

Extraits du communiqué de presse :

« L’équipe du professeur Serge Vaudenay est
parvenue, en quatre mois, à mettre au point un mode d’attaque mettant
en évidence une faiblesse du protocole de cryptage SSL. L’attaque
permet de rétablir deux segments du texte original, à condition
que le texte soit d’une taille suffisante et soit rédigé
dans une langue redondante comme l’anglais. 

L’attaque est efficace également contre le
protocole S/MIME de cryptage des e-mails et contre tous les procédés
recourant au chiffrage par block en mode CBC. Elle peut être menée
à partir d’un ordinateur personnel ordinaire et nécessite
moins d’une heure d’opérations pour un message d’1 gigabits. » 

 

Echelon
: le Parquet a ouvert une enquête préliminaire confiée
à la DST

2000/07/04

Sous le titre de une « La DST contre l’espionnage américain »,
le quotidien Le Figaro du 4 juillet
révèle
que le Parquet de Paris a ouvert une enquête préliminaire
sur le système d’espionnage électronique Echelon.

Extraits :

« Le procureur de la République de Paris, Jean-Pierre
Dintilhac, a saisi de cette enquête la Direction de la surveillance
du territoire (DST) le 24 mai dernier. « Les services du contre-espionnage
sont tenus de vérifier la pratiques d’écoutes illégales
par Echelon, susceptibles, selon le Parquet, de revêtir la qualification
d' »atteintes aux intérêts fondamentaux de la nation et d’atteintes
au secret des correspondances émises par voir de télécommunications »
(art. 411.6 et 226.15 du Code pénal). »

 

Une
mise à jour de PGP Certificate Server

2000/07/03

Un article de MSNBCrevient
sur une faille de PGP Certificate Server 2.5 (un serveur de clefs et certificats
PGP) pouvant permettre une attaque de type « DoS ». Une mise
à jour du logiciel est disponible.

Voir l’annonce de Security
Focus.

A noter que TIS, la filiale de NAI
qui distribue PGP Certificate Server, a placé le patch sur un serveur
restreignant les exportations hors USA, bien que la législation
américaine ait levé les restrictions en janvier 2000 et surtout
que PGP Certificate Server ne contienne pas de cryptographie (une distribution
de PGP Certificate Server
est disponible sur le serveur US du MIT).

 

Le
site web de Freenet est disponible en français

2000/07/02

La première version internationale du site web de Freenet
est française grâce à une traduction de Jean-Sébastien
Lebacq : http://www.freenet-project.fr.st.

 

Une
interview vidéo du créateur de Freenet

2000/07/01

L’intervention de Ian Clarke lors du Colloque « MP3 Summit » à
San Diego les 20 et 21 juin dernier, est intégralement disponible
en flux vidéo (mais Windows indispensable).

Durant plus d’une heure, Ian Clarke, keynote speaker
III lors de la journée du 21 juin, explique les enjeux du projet
Freenet et répond aux questions, le tout avec beaucoup d’humour.

 

Publius
: un nouveau système pour contrer la censure sur Internet

2000/06/30

Après l’apparition de Freenet au premier trimestre 2000, trois
chercheurs américains annoncent pour juillet la mise en place de
Publius,
un système de publication sur Internet résistant à
toute censure.

A noter que deux des chercheurs font partie des laboratoires
de AT&T qui a annoncé que pour le moment le projet était
autorisé à continuer.

Voir l’article du Washington Post : Online
and Unidentifiable?

Voir le papier
en PDF.

Extraits :

« Why this is important.

The publication of written words has long been a tool
for spreading new (and sometimes controversial) ideas, often with the goal
of bringing about social change. Thus the printing press, and more recently,
the World Wide Web, are powerful revolutionary tools. But those who seek
to suppress revolutions possess powerful tools of their own.

(…)

How it works.

Our system consists of publishers who post Publius
content to the web, servers who host random-looking content, and retrievers
who browse Publius content on the web. At present the system supports any
static content such as HTML pages, images, and other files such as postscript,
pdf, etc. Javascript also works. We assume that there is a static, system-wide
list of available servers. Publius content is encrypted by the publisher
and spread over some of the web servers. In our current system, the set
of servers is static. The publisher takes the key, K that is used to encrypt
the file and splits it into n shares, such that any k of them can reproduce
the original K, but k-1 give no hints as to the key. Each server receives
the encrypted Publius content and one of the shares. At this point, the
server has no idea what it is hosting — it simply stores some random looking
data. To browse content, a retriever must get the encrypted Publius content
from some server and k of the shares. »

Vote
définitif d’une loi risquant de limiter la liberté d’expression
des particuliers sur Internet

2000/06/29

Le vote
définitif par l’Assemblée Nationale de la loi sur la
« liberté de communication » est intervenu hier soir. 

Selon plusieurs associations, ses articles sur l’identification des
auteurs de sites web et la responsabilité des hébergeurs
de ces sites risquent de limiter la liberté d’expression des particuliers
sur Internet.

Altern.org, pionnier français
dans l’hébergement gratuit et indépendant de sites web, a
décidé de fermer jusqu’à plus ample informé.

Le site web « PGP en français »
signe la déclaration
des acteurs de l’Internet lancée par les associations IRIS et
R@S.

Voir notre brève du 18 juin

 

Une
version beta GnuPG 1.0.1h

2000/06/28

Une version de test GnuPG 1.0.1h est disponible.
Elle répare quelques bugs mais reste destinée avant tout
au beta-test.

Parmi les nouveautés :

– Support for the new MDC encryption packets.  To
create them either –force-mdc must be use or cipher algorithm with a blocksize
other than 64 bits is to be used.  –openpgp currently disables MDC
packets entirely.

 

Selon
Le Monde, PGP est un élément de la régulation d’Internet

2000/06/28

Dans le dossier de son supplément « Interactif » consacré
à la régulation sur Internet, le quotidien Le Monde daté
du 28 juin dresse une liste de 4
mots résumant la régulation : « Jon Postel », « Netiquette »,
« Communication Decency Act », et « Pretty Good Privacy » (PGP). Freenet, opérationnel
depuis trois mois seulement, n’est pas cité.

 

Freenet
: publication de plusieurs articles dans la presse anglo-saxonne

2000/06/27

Les articles consacrés à Freenet se multiplient dans
la presse, notamment anglo-saxonne. C’est le cas de Time,
The
Guardian, et The
Economist. 

Extraits de « The Economist » :

« The model for FreeNet is that of a traveller in a
prehistoric society in which there is no central government and no maps:
he relies on the advice of those he meets. By asking somebody where another
place is and following that advice, the traveller should get somewhat closer
to where he wants to go. By repeating this process, he should eventually
arrive at his destination.

On FreeNet, the “travellers” are requests for files.
They first try the most likely path to find the data, backtracking if they
get stuck and then trying another. Those they ask for advice along the
way are PCs on the network. These “nodes”  forward requests they cannot
satisfy to the node they think is “closest” to the desired information.
If it cannot pass on the request, it informs the preceding node, which
then tries the “second-closest” node, then the “third-closest” and so on.

Unlike travelling, however, distance on FreeNet is
not geographic but lexicographic. Files put on the network are associated
with a “key”, usually some form of description of the content that is encoded
for security reasons. Nodes use the key of a desired file to decide where
to send a request: they may, for example, forward it first to the node
that has previously been the source of data with the most similar key. »

 

Un
système européen d’écoute du réseau Internet
serait en préparation

2000/06/22

Dans une longue enquête titrée « Les
réseaux européens sur écoute », Jérome Thorel,
journaliste à ZDNet, révèle
les projets européens d’écoute électronique du réseau
Internet. 

L’Institut européen des normes en télécommunications
(l’ETSI) est notamment mis en cause pour avoir établi des normes
précises pour un espionnage systématique d’Internet. L’ensemble
des moyens d’écoutes français, nommé par certains
« Frenchelon », est aussi étudié.

Extraits :

« « L’objectif est de placer à des fins
policières des machines Unix dans tous les centraux téléphoniques,
toutes les  passerelles d’échanges entre opérateurs
et tous les principaux “nœuds” du réseau internet », explique
Erich Moechel, un expert autrichien qui surveille les travaux de l’ETSI.
(…) « Si cela se met en place, reprend Moechel, les forces de l’ordre
n’auront plus qu’à lancer une commande Unix pour contrôler
l’ensemble des réseaux à tout moment. » »

Voir aussi :

Le document
de l’ETSI (au format PDF)

« Frenchelon,
les grandes oreilles made in France »

« Echelon
et ses alliés… parfois officieux »

 

Scramdisk
3.01r3c

2000/06/21

Une mise à jour « release 3c » de Scramdisk
3.01 est disponible. 

Elle corrige quelques bugs (fixes « screen flicker
during mount », loss of focus from child form, progress bar on consequent
creation, blue screen errors on formatting, clipped listviews, « Amnesia
of container size when stepping back from final create wizard dialog box »,
multiple passboxs and mount boxes if menu option selected whilst in the
option.)

 

Un
plug-in PGP dans StarOffice 5.2

2000/06/21

La suite bureautique gratuite StarOffice 5.2 (Windows et Linux) contient
un
module
de courrier (plug-in) pour PGP 6.5.1 (Java nécessaire dans la
version Linux).

Voir un tableau de tous les plug-ins
PGP.

 

Le
Parlement Européen va voter sur la question d’une commission d’enquête
sur Echelon

2000/06/19

Selon le webzine Telepolis,
le Parlement Européen décidera courant juillet s’il créé
une commission d’enquête sur le réseau d’espionnage électronique
Echelon. 

 

La
liberté d’expression des français sur Internet pourrait être
limitée par le Parlement

2000/06/18

Selon plusieurs associations de défense des internautes, dont
IRIS,
la « Loi sur la liberté de communication » actuellement en discussion
au Parlement risque de limiter la liberté d’expression des français
(et résidents en France) sur Internet. L’obligation de décliner
son identité est notamment dénoncée.

Par ailleurs, Valentin Lacambre, le fondateur et responsable d’Altern,
un des derniers hébergeurs gratuits indépendants, a annoncé
qu’il envisageait de fermer son serveur si ces dispositions législatives
étaient adoptées.

Voir http://www.altern.org

• Commentaire de « PGP en français » : Notre site étant géré
  par des personnes restant anonymes, il est directement concerné
  par le projet de loi. Le texte imposerait à toute personne créant
  un site web de signaler sur celui-ci son identité. La loi vise,
  selon ses défenseurs, à permettre au droit de s’appliquer
  intégralement sur Internet, c’est-à-dire empêcher que
  soit possible sur Internet ce que la loi interdit dans la presse (journaux,
  télévisions). Un tel dessein fera sourire quiconque s’intéresse
  aux derniers développements d’Internet, tels que le sous-réseau
  crypté Freenet, ou la bataille perdue
  des grandes maisons de disques contre la prolifération des copies
  pirates de musique MP3. Mais
  le problème est ailleurs : même si cette loi est inapplicable,
  son possible vote montre que les responsables politiques et économiques
  considèrent Internet comme un « média » et non comme un instrument
  de libre parole en démocratie ; le texte s’appelle d’ailleurs « Loi
  sur la liberté de communication » et non « sur la liberté d’expression »
  comme cela aurait dû être le cas s’agissant d’Internet (quand
  vous discutez avec vos voisins de palier, vous ne faites pas de la « communication »…).
  L’incompréhension entre les internautes et les pouvoirs politiques
  ou économiques est donc totale, ce qui n’est pas de bon augure. 

Un
mathématicien français propose un concept à base de
données aléatoires pour contrer la censure d’Internet

2000/06/18

Selon Erik Moeller, un des contributeurs de la liste Freenet-chat,
le papier intitulé « A
method of free speech on the Internet : random pads », et publié
début mars par David Madore, un mathématicien français
de l’ENS, propose un concept qui pourrait garantir la liberté d’expression
sur Internet. 

Tout repose sur la possibilité de distribuer légalement
des fichiers ne contenant que du « white noise » (du bruit, des données
aléatoires).

Extraits de la news :

« He introduces a system of so-called pads, chunks
of random data that are used to encrypt controversial information.

Every byte in the source file is XOR’d with exactly
one byte in the random file. The result file, by itself, is totally indistinguishable
from white noise, provided that the pad used is truly random. Madore now
suggests that users store pads on different servers and use several of
them in combination to encrypt data.

A FTP or WWW site that stores one of the pads could
argue that they are only storing random noise, and another might do the
same. It would be mathematically impossible to prove them guilty of storing
illegal information (unless there is a way to prove that one pad was created
after the other). Only by the combination of the two (or more) files I
am able to retrieve the original controversial information. »

 

OpenBSD
2.7 est disponible

2000/06/16

La version 2.7 d’OpenBSD
est disponible.

OpenBSD est un Unix libre (à la manière de Linux) dont
une des caractéristiques est l’utilisation systématique de
la cryptographie.

Parmi les nouveautés :

– OpenSSH supporte les protocoles SSH1 et SSH2.

– Support pour le matériel cryptographique
pour accélérer les performances IPSEC,PowerCrypt. 

– De nombreuses améliorations dans le support
USB. 

– Support du chiffrement de la swap. 

– Support pour les gros systèmes de fichiers
FAT32. 

 

Un
mini moteur de recherche pour le réseau Freenet

2000/06/16

Un index des clefs
Freenet est disponible, avec une fonction « search »
permettant d’effectuer des recherches sur le réseau.

Voir notre page de présentation
de Freenet.

 

Changement
de e-mail pour « PGP en français »

2000/06/14

Geocities fermant son serveur de courrier, l’adresse <[email protected]>
disparaît et le contact e-mail pour ce site devient [email protected].

 

Un
papier de Peter Gutmann sur les générateurs aléatoires
dans les logiciels de cryptographie

2000/06/14

Le cryptographe Peter Gutmann publie une nouvelle version de son papier
intitulé « Software
Generation of Practically Strong Random Numbers », qui étudie
notamment le cas du générateur aléatoire de PGP et
traite du bug trouvé récemment dans PGP 5.0 Unix.

 

« Freenet
News » hebdomadaires

2000/06/11

Premier numéro des « Freenet
News », un résumé hebdomadaire des échanges sur
les différentes listes de discussion consacrées au réseau
Freenet.

Entre autres informations : un concours est lancé
pour
créer un logo Freenet.

 

PGP
7.0 beta est disponible sur Freenet

2000/06/09

La version beta 176 du futur PGP 7.0 est disponible sur le réseau
anonyme Freenet à
l’aide de la commande Freenet :

frequest -serverAddress
tcp/209.163.147.89:19114 /crypto/pgp/7.0/beta/windows/PGP_7.0_Beta_Windows.zip
PGP_7.0_Beta_Windows.zip

(où tcp/209.163.147.89:19114
est un point d’entrée
sur le réseau Freenet).

Cette version beta a aussi été miroitée par des
inconnus sur un FTP situé en Europe. 

Voir notre page de présentation de
Freenet.

 

La
Mandrake 7.1 ne contient pas GnuPG

2000/06/08

La nouvelle version
7.1 de la distribution Linux Mandrake ne contient toujours pas GnuPG
dans sa version standard, contrairement à ses concurrentes RedHat
et SuSE (RedHat notamment disponible sur des FTP
français).

 

Un
refuge de données situé « offshore » pour déjouer la
censure

2000/06/07

Une société nommée HavenCo
veut offrir un « refuge de données » sur des serveurs sécurisés
situés dans la Principauté autoproclamée de Sealand,
une île au large de l’Angleterre, dans le but de déjouer la
censure des grands pays.

Voir l’article de Libération : Les
corsaires du Net

 

Une
licence commerciale de PGP 5.5 offerte par le RIPE

2000/06/07

Une licence commerciale
pour PGP 5.5.5 est offerte aux administrateurs de domaines par le RIPE
Network Coordination Center pour sécuriser
l’enregistrement et la gestion des noms de domaines Internet.

 

Les
nouveautés de PGP 7.0

2000/06/06

Au vu des versions beta, PGP
7.0 se présente comme un simple toilettage des versions 6.02
et 6.5.x. 

Côté esthétique, les écrans PGP ont été
modifiés et mis en accord avec le nouveau logo de PGP Security Inc.
Côté fonctionnalités, le nettoyeur d’espace libre (free
space wiper) a été renforcé. L’algorithme Twofish
(256 bits) a été ajouté et les clefs RSA possèdent
de nouvelles propriétés. 

A noter que dans la version « Desktop Security », des fonctionnalités
non cryptographiques ont été ajoutées à PGP,
en l’occurrence un firewall (pare-feu).

PGP 7.0 devrait sortir durant l’été.

 

Une
version de PGP 7.0 beta est disponible sur le réseau gnutellaNet

2000/06/05

Une version de PGP 7.0 (pour Windows), actuellement en phase de beta-test,
a été mise sur le réseau gnutellaNet (gNet) par des
inconnus. Elle a aussi été miroitée sur un FTP européen.

Gnutella est un logiciel
de partage de fichiers permettant de relier des ordinateurs individuels
entre eux en dehors de toute structure centralisée. Il a été
créé à l’origine pour suppléer aux lacunes
du logiciel Napster, qui était uniquement réservé
aux fichiers musicaux MP3 et piloté depuis un serveur central. L’apparition
d’une beta de PGP 7.0 sur Gnutella montre la difficulté à
contrôler les nouvelles formes privatives du réseau Internet. 

Voir les informations
postées dans le forum « alt.security.pgp ».

Voir Gnutellafrance.

Voir l’article de )Transfert : « Gnutella
ne peut pas être inactivé ».

 

Le
CERT confirme la faille de sécurité dans la génération
de clefs de PGP 5.0 et PGP 5.0i Unix/Linux

2000/05/31

Le CERT
(Computer Emergency Response Team), publie une alerte sur la faille de
sécurité dans la génération de clefs de PGP
5.0

PGP Security Inc. confirme aussi
l’analyse et conseille la révocation immédiate des clefs
générées par PGP 5.0 et 5.0i Unix ou Linux dans les
conditions décrites, ainsi que le re-chiffrement des documents et
leur re-signature avec de nouvelles clefs.

Sont affectés :

  – Les systèmes UNIX ayant un /dev/random

  – Les versions PGP 5.0, U.S. Commercial et U.S.
Freeware, et PGP 5.0i Internationales

  – Les clefs crées de manière non-interactive
sur un tel système

  – Les documents chiffrés avec de telles
clefs

  – Les signatures générées
avec de telles clefs

Ne sont pas touchées : les versions PGP 1.x, PGP
2.x, PGP 4.x, toutes les autres versions PGP 5.x, les versions PGP 6.x,
PGP 7.x.

Extrait de l’alerte du CERT :

« PGP v5.0, including U.S. Commercial, U.S. Freeware,
and International versions, contains a flaw in reading the information
provided by /dev/random. This is not a flaw in /dev/random but instead
is the result of a flaw in how PGP processes the information returned from
/dev/random. Thus, when a key is generated non-interactively using a command
such as

• Commentaire de « PGP en français » : La faille de sécurité
  trouvée dans PGP 5.0 Unix est importante. Elle touche le générateur
  pseudo-aléatoire, qui est le coeur du logiciel de cryptographie
  et elle concerne la paire de clefs publique/privée elle-même,
  pouvant ainsi compromettre tous les messages chiffrés ou signés.
  Cette faille peut dans certaines circonstances diminuer la sécurité
  d’une paire de clefs et rendre tout message chiffré avec la clef
  publique vulnérable à une attaque cryptanalytique. Dans le
  doute, mieux vaut révoquer toute clef générée
  à l’aide de PGP 5.0 et PGP 5.0i Unix ou Linux (souvent des clefs
  créées entre 1997 et 1999). Ce problème met en évidence
  au moins deux choses. 1) La publication du code-source ne suffit pas pour
  rendre sûr un logiciel ; encore faut-il que ce code soit examiné
  soigneusement. Le code de PGP 5.0i a été publié en
  août 1997 et la faille n’est mise en évidence qu’en mai 2000,
  soit près de trois ans après. 2) PGP Security Inc. se trouve
  fragilisé sur le terrain professionnel des systèmes Unix
  alors que ses versions PGP 6.5.1 n’ont pas convaincu (aucune interface
  graphique, des problèmes de compilation du code 6.5.1i Unix) et
  que GnuPG s’est imposé avec un produit de grande qualité
  et GNU (logiciel libre, modifiable et gratuit) qui tourne sur Linux, BSD,
  SunOS, SCO, HP-UX, AIX, IRIX, etc. Le conseil reste donc : sous Unix, migrez
  de PGP à GnuPG.

PGP
for EPOC version beta 1.02F

2000/05/31

Une mise à jour beta 1.02F de PGP
for EPOC est disponible pour les Psion et machines compatibles EPOC.
La compatibilité Revo a été améliorée.

 

Le
Monde choisit le site de Freenet comme web du jour

2000/05/27

Sous le titre « Un nouveau sous-réseau crypté et décentralisé
garantit la liberté d’expression », Le
Monde daté du 27 mai consacre la rubrique « web » de son antépénultième
page (édition papier) à http://freenet.sourceforge.net/.

Extrait :

 » ‘Ma philosophie est simple : j’estime que toute
censure est néfaste, sans exception, quelles que soient les intentions
de départ. La liberté de l’information doit être absolue.’
Ian
Clarke, informaticien anglais de vingt-trois ans, ne fait pas dans la nuance.
Selon lui, il était temps de créer au sein de l’Internet
un nouveau sous-réseau capable de garantir la liberté d’expression
mieux que ne le fait le World Wide Web. Après plus d’un an de travail,
et grâce à l’aide d’une vingtaine de bénévoles
européens et américains, il est en passe de réussir
son pari. »

 

PGP
5.0i Unix peut contenir une faiblesse dans la génération
de la paire de clefs publique/privée

2000/05/24

Selon Germano Caronni,
PGP 5.0i pour Linux/Unix peut, dans certaines circonstances, générer
des paires de clefs ne possédant pas un aléa suffisant. La
version Windows n’est pas concernée. Toutes les clefs générées
avec une version 5.0i Linux/Unix seraient susceptibles de ne pas être
sûres et il peut être nécessaire de les révoquer.

Voir l’annonce de Securityfocus.

 

Rectificatif
: l’Union Européenne n’a pas encore levé les restrictions
à l’exportation de cryptographie

2000/05/24

Contrairement aux informations parues dans Telepolis, le Financial
Times et ZDNet.fr, les ministres européens des Affaires étrangères
n’ont pas voté la levée complète des restrictions
à l’exportation de cryptographie le 22 mai à Bruxelles. Selon
ZDNet.fr,
la décision a été ajournée au dernier moment
car un pays (apparemment pas la France) a fait blocage.

Màj du 19/07/2000 : le Conseil Européen a finalement
levé les restrictions à l’exportation de cryptographie le
22 juin, signale ZDNet
dans son édition du 20 juillet 2000 :

Extrait de ZDNet :

« Selon nos sources, ce retard s’explique par un délai
exigé par deux États membres : le Danemark et le Royaume-Uni,
mais concernant des produits à double usage autres que ceux de chiffrement. »

 

L’Union
Européenne impose sa politique de libre circulation du chiffrement
face aux Etats-Unis

2000/05/23

Selon ZDNet.fr,
les ministres des Affaires étrangères de l’Union Européenne,
réunis hier à Bruxelles, ont décidé de lever
les dernières barrières techniques à l’exportation
de logiciels de cryptographie vers des pays extérieurs à
l’Union. Les licences d’exportation ont notamment été supprimées
pour les 10 principaux grands pays. 

Cette importante décision européenne intervient au moment
où les Etats-Unis continuent à essayer de limiter la libre
circulation de cryptographie dans le monde.

Voir
aussi l’article de Telepolis

 

Le
réseau Freenet, remède à la censure sur le réseau
Internet

2000/05/23

Sous le titre « L’anarchie est au bout du clavier », le quotidien Libération
consacre un article au réseau Freenet.
Le responsable du projet, Ian Clarke, considère dans une interview
que son réseau est le seul remède à une régulation
autoritaire du réseau Internet.

Freenet (site
principal en anglais)

Voir notre brève
du 23 mars

Extraits de l’interview :

« Freenet a été conçu pour le
bénéfice de tous, et si certains s’avèrent être
des criminels, nous n’y pouvons rien. Est-ce que l’industrie agroalimentaire
se soucie du fait que la nourriture qu’elle produit peut être consommée
par des criminels (leur donnant ainsi l’énergie de commettre des
crimes)? »

 

Le
point sur GnuPG pour Windows

2000/05/22

Dans un message
posté sur la liste de discussion « gnupg-users », Werner Koch, le
responsable du développement de GnuPG, fait le point sur l’état
d’avancement de la version Windows. Il annonce que la prochaine version
1.0.2 devrait être utilisable sous Windows de la même façon
que la version Unix.

 

AES
: PGP Security Inc. vote Twofish

2000/05/21

Le nouvel algorithme symétrique de PGP 7.0 est Twofish. 

Twofish est avec Rijndael et Serpent l’un des trois candidats favoris
parmi les finalistes pour la désignation cet été de
l’algorithme AES
(Advanced Encryption Standard), futur standard cryptographique officiel
américain (et de facto, international) chargé de remplacer
le standard DES. Twofish est également désigné par
la rumeur comme le gagnant de l’AES car il a été conçu
par un américain (Bruce Schneier).

Dans un message posté sur la liste
PGP-Users, Will Price, de PGP Security Inc., explique le choix de l’équipe
de PGP. 

Jusqu’à PGP 7.0, les algorithmes symétriques
de PGP avaient été IDEA (PGP 2.x), CAST et Triple-DES (PGP
5.x et 6.x). La sortie de PGP 7.0 est annoncée pour juillet.

 

GnuPG
dispose d’une interface graphique (beta) : GPA

2000/05/17

Une interface graphique nommée GPA (Gnu Privacy Assistant) est
disponible en version beta
0.30 (Linux) sur le site de GnuPG. Une version Windows est en préparation.

GnuPG est la version logiciel libre de PGP (voir notre
page
de présentation).

 

Un
trou de sécurité dans le module chiffré (SSL) de Netscape
4.72 et inférieurs

2000/05/13

Selon le CERT
(Computer Emergency Response Team), le protocole chiffré SSL utilisé
par Netscape versions 4.07 à 4.72 incluse ne vérifie pas
convenablement l’authenticité du certificat d’un site web chiffré.
La version 4.73 corrige
le trou de sécurité.

Extraits :

« Our team has discovered a flaw in Netscape Navigator
that allows bypassing of warning about an invalid SSL certificate. SSL
protection is used in most major Internet-based financial services (e-banking,
e-commerce). The flaw we have found effectively disables one of the two
basic SSL functionalities: to assure users that they are really communicating
with the intended web server – and not with a fake one. Using this flaw,
the attacker can make users send secret information (like credit card data
and passwords) to his web server rather than the real one – EVEN IF THE
COMMUNICATION IS PROTECTED BY SSL PROTOCOL. »

 

Netscape
4.73 Linux est disponible en version 128 bits

2000/05/11

Netscape Communicator 4.73 pour Linux est disponible
en version US 128 bits.

 

Un
plug-in PGP pour Netscape (Windows)

2000/05/10

Un plug-in e-mail (extension courrier) PGP pour Netscape Communicator
Messenger  est disponible
gratuitement en version alpha. Il est développé par une société
américaine, Bear-Software, et fonctionne avec PGP 6.5.x et Netscape
4.x pour Windows.

A noter que son installation doit pour l’instant être
faite à la main, et que le code-source n’est pas fourni.

Voir un tableau de tous les plug-ins PGP.

 

Le
nouveau PGP Desktop Security 7.0 contient un firewall personnel

2000/05/09

PGP Security Inc. annonce la sortie
de PGP Desktop Security 7.0 (vers juillet). Parmi les nouvelles fonctionnalités
de PGP, on note la présence d’un firewall (pare-feu) personnel.

Voir notre brève
du 21 mars

Autres nouveautés:
les algorithmes Twofish (256 bits) et RIPEMD-160 qui étaient déjà
inclus dans GnuPG (standard OpenPGP).

Extraits du communiqué de presse :

« PGP Desktop Security 7.0 introduces personal firewall
and personal IDS capabilities that create a dual-layer security perimeter
around any computer they protect. Personal IDS technology, based on PGP
Security’s award-winning CyberCop intrusion protection solutions, guards
users against common attacks such as SYN and ping floods, Smurf, and Back
Orifice.

(…)

PGP Desktop Security 7.0 also includes world-class,
strong encryption capabilities for e-mail, disks and files. Building upon
PGP Security’s Open PKI initiative, version 7.0 gives customers freedom
of choice for certificate infrastructure (PGP keys or X.509 v3 certificates).
In addition to supporting X.509 v3 certificates from leading PKI vendors
such as VeriSign, Entrust and Network Associates, PGP Desktop Security
7.0 adds support for iPlanet Certificate Management System 4.x (formally
Netscape CMS 4.x). PGP Desktop Security also raises the bar on ease-of-use
by introducing « single click enrollment » into PGP and X.509 PKIs. »

 

Une
réaction d’un développeur de PGP aux rumeurs répandues
par le gouvernement allemand

2000/05/08

Dans un message signé posté
sur la liste de discussion « PGP-users », Will Price, le responsable du développement
de PGP chez NAI (Director of Engineering, PGP Security Inc., a division
of Network Associates Inc.), réagit aux rumeurs répandues
par le gouvernement allemand à
propos de la sécurité de PGP.

Extraits :

« If you’re just looking for a random conspiracy theory
to believe, remember that PGP development is funded by users, and GPG development
is funded by the German government. There is a always a tendency at government
levels to prefer domestic solutions to national security concerns. »

Voir notre brève du 30 janvier

 

Seahorse
0.45 pour GnuPG est disponible en français

2000/05/08

Sortie de la version 0.45 de Seahorse,
l’interface graphique pour GnuPG, la version libre
de PGP. Parmi les nouveautés : le support du français.

 

Un
projet de traité européen propose la possibilité d’intrusions
informatiques (« cyber » perquisitions)

2000/05/05

Le Conseil de l’Europe a rendu public le projetd’une
« convention sur la criminalité dans le cyberespace » qui propose
notamment d’adopter une notion de « cyber » perquisition qui permettrait
aux services de police d’effectuer des intrusions informatiques contre
les suspects.

Il faut noter qu’en France, selon les textes actuellement
en vigueur toute perquisition doit être effectuée en présence
ou avec information de la personne  (pour le domicile uniquement, 
les écoutes téléphoniques pouvant elles être
effectuées sans information de la personne).

Voir les articles :

Souriez,
vous êtes cyberfouillés (Libération)

Bienvenue dans
l’ère du téléflicage (Transfert)

Cybercrime
Solution Has Bugs (Wired)

 

Scramdisk
3.01r2

2000/05/03

Une mise à jour « release 2 » de Scramdisk
3.01A est disponible. Elle corrige quelques bugs mineurs et ajoute quelques
fonctions.

 

Scramdisk
3.01 est disponible

2000/05/02

La version 3.01A du logiciel de chiffrement pour disque dur Scramdisk
(sous Windows 95/98) est disponible. 

Il s’agit d’une mise à jour majeure du logiciel avec de très
nombreuses améliorations, notamment concernant l’interface graphique.

Nouveautés (entre autres) :

– interface graphique entièrement réécrite;

– l’icône de la barre d’outil indique si un disque
est monté;

– la barre d’outils a un menu;

– « Traveller » pour une installation sur une disquette
floppy ou ZIP;

– containers jusqu’à 4 Gig (FAT32);

– containers à partir de 250 ko;

– assistant de création de disques chiffrés;

– scandisk et defrag peuvent être lancés
depuis Scramdisk;

– fonction de « wipe » (nettoyage) entièrement réécrite;

– possibilité de monter un disque en « lecture
seule »;

– le mot de passe n’est plus mis en cache par le pilote;
etc.

Voir :

présentation de Scramdisk
3.01A

présentation de Scramdisk
2.02H

 

Un
comparatif des logiciels de chiffrement « à la volée » (pour
Windows)

2000/05/02

Sarah Dean a mis en ligne un comparatif
très complet des logiciels de chiffrement « on-the-fly » (à
la volée) du disque dur pour Windows. Sont traités : BestCrypt,
E4M, Invincible Disk, PGPDisk, SAFE Folder, SafeHouse, ScramDisk.

Les notes consacrées à ScramDisk sont notamment
très intéressantes (quelques attaques
possibles sont aussi pointées pour la version 2.02H).

 

 

 

• Archives
  des Crypto-News de 2000 (janvier-avril)