HADOPI Spécifications fonctionnelles des moyens de sécurisation
17 réponses
Guy Ratajczak
Bonjour à tous,
Loin de moi de vouloir provoquer une cission profonde du groupe, et
d'amener à l'émergence de fr.misc.cryptologie.debats.
Pourtant, suite à ce que je viens de lire, je m'interroge et vous invite
à en débattre.
Dans le brouillon des spécifications du logiciel de sécurisation de
l'HADOPI ( http://www.scribd.com/doc/35088715/docprojet-SFH ) un point
en particulier me gêne :
"Il sera utilisé un ensemble de primitives cryptographiques afin de
garantir la confidentialité, l'authenticité, l'intégrité et la justesse
des journaux, et leur disponibilité lorsqu'un utilisateur les demandera,
et de garantir la conformité et la disponibilité de l'application qui
aura engendré ces journaux."
Pour l'expliquer rapidement le journal recensera toutes les actions
importantes de l'utilisateur sur la machine et sera généré par le
logiciel de sécurisation installé sur le poste de travail.
En dehors des aspects éthiques, et en tenant compte des limites imposées
par la vie privée, je ne comprends pas comment il est techniquement
possible d'assurer que ce journal soit "authentique" et donc bien généré
par l'application de sécurisation.
Si vous avez des idées permettant de m'éclairer ou de me confirmer ce
que je présume être une impossibilité technique, je vous en serai
reconnaissant.
Et ceci n'est pas un AAT (Appel au Troll).
Merci
--
Guy
AAD création de fmc.debats, fmc.bavardages et fmc.technique ;-)
On Tue, 10 Aug 2010 20:34:02 +0200, Erwan David wrote:
Guy Ratajczak écrivait :
C'est bien ce qu'il m'avait semblé. On part sur des "barrières en carton" en disant que ça repoussera la majorité, mais les vrais "vilains" pourront toujours contourner.
Comme l'a dit la présidente de l'hadopi, le but n'est pas d'attraper les pirates, mais ceux qui ont une connexion mal sécurisée...
Faut pas utiliser OpenOffice alors. MSOffice est securisé par contre, donc pas de problme.
-- Travailler plus pour gagner plus pour quoi faire ? Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
On Tue, 10 Aug 2010 20:34:02 +0200, Erwan David <erwan@rail.eu.org>
wrote:
Guy Ratajczak <newsgroups@mjcie.net> écrivait :
C'est bien ce qu'il m'avait semblé. On part sur des "barrières en
carton" en disant que ça repoussera la majorité, mais les vrais
"vilains" pourront toujours contourner.
Comme l'a dit la présidente de l'hadopi, le but n'est pas d'attraper les
pirates, mais ceux qui ont une connexion mal sécurisée...
Faut pas utiliser OpenOffice alors. MSOffice est securisé par contre,
donc pas de problme.
--
Travailler plus pour gagner plus pour quoi faire ?
Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
On Tue, 10 Aug 2010 20:34:02 +0200, Erwan David wrote:
Guy Ratajczak écrivait :
C'est bien ce qu'il m'avait semblé. On part sur des "barrières en carton" en disant que ça repoussera la majorité, mais les vrais "vilains" pourront toujours contourner.
Comme l'a dit la présidente de l'hadopi, le but n'est pas d'attraper les pirates, mais ceux qui ont une connexion mal sécurisée...
Faut pas utiliser OpenOffice alors. MSOffice est securisé par contre, donc pas de problme.
-- Travailler plus pour gagner plus pour quoi faire ? Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
Baton Rouge
On Wed, 11 Aug 2010 13:45:14 +0200, DeVice wrote:
Dans le brouillon des spécifications du logiciel de sécurisation de l'HADOPI ( http://www.scribd.com/doc/35088715/docprojet-SFH ) un point en particulier me gêne :
Intéressante discussion.
Je me demande où seront stockés les journaux indiqués dans ce document. Parce que si c'est sur le poste de l'utilisateur, garder un an d'évènements réseaux "suspects" ça ouvre la voie a de jolis dénis de services par bourrage de disque...
Sans compter les backup que (presque) personne ne fait de toute facon.
-- Travailler plus pour gagner plus pour quoi faire ? Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
On Wed, 11 Aug 2010 13:45:14 +0200, DeVice <dev.null@deuxvis.fr>
wrote:
Dans le brouillon des spécifications du logiciel de sécurisation de
l'HADOPI ( http://www.scribd.com/doc/35088715/docprojet-SFH ) un point
en particulier me gêne :
Intéressante discussion.
Je me demande où seront stockés les journaux indiqués dans ce document.
Parce que si c'est sur le poste de l'utilisateur, garder un an
d'évènements réseaux "suspects" ça ouvre la voie a de jolis dénis de
services par bourrage de disque...
Sans compter les backup que (presque) personne ne fait de toute facon.
--
Travailler plus pour gagner plus pour quoi faire ?
Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
Dans le brouillon des spécifications du logiciel de sécurisation de l'HADOPI ( http://www.scribd.com/doc/35088715/docprojet-SFH ) un point en particulier me gêne :
Intéressante discussion.
Je me demande où seront stockés les journaux indiqués dans ce document. Parce que si c'est sur le poste de l'utilisateur, garder un an d'évènements réseaux "suspects" ça ouvre la voie a de jolis dénis de services par bourrage de disque...
Sans compter les backup que (presque) personne ne fait de toute facon.
-- Travailler plus pour gagner plus pour quoi faire ? Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
Baton Rouge
On Wed, 11 Aug 2010 15:23:59 +0200, Guy Ratajczak wrote:
Le 11/08/2010 13:45, DeVice a écrit :
Je me demande où seront stockés les journaux indiqués dans ce document. Parce que si c'est sur le poste de l'utilisateur, garder un an d'évènements réseaux "suspects" ça ouvre la voie a de jolis dénis de services par bourrage de disque...
Bonne remarque.
D'après ces semblants de specs, ça doit être le cas. Autrement, comment comptent-ils garantir le respect de la vie privée, si ces données doivent être envoyées on ne sait où ?
En particulier : "à aucun moment le titulaire n’est dessaisi de ses enregistrements des données d’historique d’utilisation du moyen de sécurisation [...]"
Un point intéressant : "Ce journal [...] permettra de vérifier, après déchiffrement avec la clé privée correspondant au logiciel, laquelle est détenue par le tiers de confiance,
Qui ?
la mise en œuvre du logiciel de sécurisation à une date et heure donnée, et l’activité informatique de l’internaute concerné."
Comment ? A distance ? ou bien quelqu'un va sonner à la porte ?
Si l'on chiffre avec une clé publique... alors quid de la falsification ? Surtout si tout est stocké sur le disque de l'utilisateur. A moins que la sécurité soit par l'obscurité. Sans savoir comment est construit le journal, c'est plus dur... mais pas impossible.
Quand je vois l'energie depensé par certain pour cracker un logiciel, j'imagine la horde qui va s'attaquer à se logiciel de securisation.
D'ailleur "sécurisation" est pas vraiment un terme approprié. C'est plutot un mouchard/espionnage car en aucun cas il ne securise. Mais bon "sécurisation" c'est un terme positif qui va pas rebuter le père de famille.
-- Travailler plus pour gagner plus pour quoi faire ? Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
On Wed, 11 Aug 2010 15:23:59 +0200, Guy Ratajczak
<newsgroups@mjcie.net> wrote:
Le 11/08/2010 13:45, DeVice a écrit :
Je me demande où seront stockés les journaux indiqués dans ce document.
Parce que si c'est sur le poste de l'utilisateur, garder un an
d'évènements réseaux "suspects" ça ouvre la voie a de jolis dénis de
services par bourrage de disque...
Bonne remarque.
D'après ces semblants de specs, ça doit être le cas. Autrement, comment
comptent-ils garantir le respect de la vie privée, si ces données
doivent être envoyées on ne sait où ?
En particulier :
"à aucun moment le titulaire n’est dessaisi de ses enregistrements
des données d’historique d’utilisation du moyen de sécurisation [...]"
Un point intéressant :
"Ce journal [...] permettra de vérifier, après déchiffrement avec la clé
privée correspondant au logiciel, laquelle est détenue par le tiers de
confiance,
Qui ?
la mise en œuvre du logiciel de sécurisation à une date et
heure donnée, et l’activité informatique de l’internaute concerné."
Comment ?
A distance ? ou bien quelqu'un va sonner à la porte ?
Si l'on chiffre avec une clé publique... alors quid de la falsification
? Surtout si tout est stocké sur le disque de l'utilisateur.
A moins que la sécurité soit par l'obscurité. Sans savoir comment est
construit le journal, c'est plus dur... mais pas impossible.
Quand je vois l'energie depensé par certain pour cracker un logiciel,
j'imagine la horde qui va s'attaquer à se logiciel de securisation.
D'ailleur "sécurisation" est pas vraiment un terme approprié. C'est
plutot un mouchard/espionnage car en aucun cas il ne securise. Mais
bon "sécurisation" c'est un terme positif qui va pas rebuter le père
de famille.
--
Travailler plus pour gagner plus pour quoi faire ?
Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
On Wed, 11 Aug 2010 15:23:59 +0200, Guy Ratajczak wrote:
Le 11/08/2010 13:45, DeVice a écrit :
Je me demande où seront stockés les journaux indiqués dans ce document. Parce que si c'est sur le poste de l'utilisateur, garder un an d'évènements réseaux "suspects" ça ouvre la voie a de jolis dénis de services par bourrage de disque...
Bonne remarque.
D'après ces semblants de specs, ça doit être le cas. Autrement, comment comptent-ils garantir le respect de la vie privée, si ces données doivent être envoyées on ne sait où ?
En particulier : "à aucun moment le titulaire n’est dessaisi de ses enregistrements des données d’historique d’utilisation du moyen de sécurisation [...]"
Un point intéressant : "Ce journal [...] permettra de vérifier, après déchiffrement avec la clé privée correspondant au logiciel, laquelle est détenue par le tiers de confiance,
Qui ?
la mise en œuvre du logiciel de sécurisation à une date et heure donnée, et l’activité informatique de l’internaute concerné."
Comment ? A distance ? ou bien quelqu'un va sonner à la porte ?
Si l'on chiffre avec une clé publique... alors quid de la falsification ? Surtout si tout est stocké sur le disque de l'utilisateur. A moins que la sécurité soit par l'obscurité. Sans savoir comment est construit le journal, c'est plus dur... mais pas impossible.
Quand je vois l'energie depensé par certain pour cracker un logiciel, j'imagine la horde qui va s'attaquer à se logiciel de securisation.
D'ailleur "sécurisation" est pas vraiment un terme approprié. C'est plutot un mouchard/espionnage car en aucun cas il ne securise. Mais bon "sécurisation" c'est un terme positif qui va pas rebuter le père de famille.
-- Travailler plus pour gagner plus pour quoi faire ? Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
Dans le brouillon des spécifications du logiciel de sécurisation de l'HADOPI (http://www.scribd.com/doc/35088715/docprojet-SFH) un point en particulier me gêne :
Alors, là, c'est l'apothéose. Un Big Brother franchouillard, style Thomson TO-7, avec l'intelligence sous-jacente de l'interdiction de crypto, une sécurité inférieure à celles des cartes bancaires, contenant la fonctionalité d'un BlackIce castré, que le bon peuple va éventuellement payer (directement ou indirectement) pour installer sur ses machines? Tout cela vanté/vendu par des incompétents en beaux vestons à des é lus informatiquement incultes?
Reste à espérer que la motivation du "confidentiel" qui orne ce document soit la honte...
On 10 août, 00:21, Guy Ratajczak <newsgro...@mjcie.net> wrote:
Dans le brouillon des spécifications du logiciel de sécurisation de
l'HADOPI (http://www.scribd.com/doc/35088715/docprojet-SFH) un point
en particulier me gêne :
Alors, là, c'est l'apothéose. Un Big Brother franchouillard, style
Thomson TO-7, avec l'intelligence sous-jacente de l'interdiction de
crypto, une sécurité inférieure à celles des cartes bancaires,
contenant la fonctionalité d'un BlackIce castré, que le bon peuple va
éventuellement payer (directement ou indirectement) pour installer sur
ses machines?
Tout cela vanté/vendu par des incompétents en beaux vestons à des é lus
informatiquement incultes?
Reste à espérer que la motivation du "confidentiel" qui orne ce
document soit la honte...
Dans le brouillon des spécifications du logiciel de sécurisation de l'HADOPI (http://www.scribd.com/doc/35088715/docprojet-SFH) un point en particulier me gêne :
Alors, là, c'est l'apothéose. Un Big Brother franchouillard, style Thomson TO-7, avec l'intelligence sous-jacente de l'interdiction de crypto, une sécurité inférieure à celles des cartes bancaires, contenant la fonctionalité d'un BlackIce castré, que le bon peuple va éventuellement payer (directement ou indirectement) pour installer sur ses machines? Tout cela vanté/vendu par des incompétents en beaux vestons à des é lus informatiquement incultes?
Reste à espérer que la motivation du "confidentiel" qui orne ce document soit la honte...
xtof pernod
Le 12/08/2010 19:28, Stephane CARPENTIER a fait rien qu'à écrire::
Vengeur Masqué a écrit:
Moi qui croyais que le but était de créer une industrie franchouillarde de logiciels de pseudo-sécurité Internet! On m'aurait menti?
J'en ai bien l'impression :
http://seclists.org/fulldisclosure/2010/Jun/346
Pinaise, hallucinant.. C'est payant, en plus ! *
Mais bon, je suis inquiet, là: pour ceux qui ont pas le système qui va bien, tu crois qu'ils sortiront une version open source ?
-- christophe. [* Des fois que ça marche..]
Le 12/08/2010 19:28, Stephane CARPENTIER a fait rien qu'à écrire::
Vengeur Masqué a écrit:
Moi qui croyais que le but était de créer une industrie
franchouillarde de logiciels de pseudo-sécurité Internet! On m'aurait
menti?
J'en ai bien l'impression :
http://seclists.org/fulldisclosure/2010/Jun/346
Pinaise, hallucinant.. C'est payant, en plus ! *
Mais bon, je suis inquiet, là: pour ceux qui ont pas le système
qui va bien, tu crois qu'ils sortiront une version open source ?
Une fois que tu as compris ça , tu as tout compris :-)
Idem pour le P2P , pourquoi aller se faire chier a laisser trainer son adresse IP sur la mule alors qu'il est si facile de pirater toute la musique qu'on veut sur Deezer sans laisser aucune trace , simplement en utilisant un logiciel qui recode en mp3 les sorties de la carte son ?
Ce n'est pas un mais 10 métros de retard qu'ils ont.
Pour comprendre HADOPI , il faut remonter à la source .
Une fois que tu as compris ça , tu as tout compris :-)
Idem pour le P2P , pourquoi aller se faire chier a laisser trainer son
adresse IP sur la mule alors qu'il est si facile de pirater toute la musique
qu'on veut sur Deezer sans laisser aucune trace , simplement en utilisant un
logiciel qui recode en mp3 les sorties de la carte son ?
Ce n'est pas un mais 10 métros de retard qu'ils ont.
Une fois que tu as compris ça , tu as tout compris :-)
Idem pour le P2P , pourquoi aller se faire chier a laisser trainer son adresse IP sur la mule alors qu'il est si facile de pirater toute la musique qu'on veut sur Deezer sans laisser aucune trace , simplement en utilisant un logiciel qui recode en mp3 les sorties de la carte son ?
Ce n'est pas un mais 10 métros de retard qu'ils ont.
