L'internaute sera tracé pendant un an
- Ilikeyourstyle
- Messages : 4387
- Enregistré le : 06 déc. 2010, 00:00:00
- Localisation : La Perle
- Contact :
- Nombrilist
- Messages : 63371
- Enregistré le : 08 févr. 2010, 00:00:00
- artragis
- Messages : 8183
- Enregistré le : 29 janv. 2009, 00:00:00
- Compte Twitter : @francoisdambrin
- Contact :
ILYS : il y a une différence entre tracer les voleurs et tracer tous les internautes. Car là, ce n'est pas comme la vidéo surveillance avec laquelle, tu passes mais on te voit pas. Là on demande aux ISP d'enregistrer tout et même de traquer les pseudonymes utilisés : il y a donc recherche active même si tu es innocent. Cela va à l'encontre de tous les principes de notre république.
http://zestedesavoir.com une association pour la beauté du zeste.
- Nombrilist
- Messages : 63371
- Enregistré le : 08 févr. 2010, 00:00:00
- El Fredo
- Messages : 26459
- Enregistré le : 17 févr. 2010, 00:00:00
- Parti Politique : En Marche (EM)
- Localisation : Roazhon
- Contact :
Ce qui m'étonne c'est qu'un libéral autoproclamé comme ILYS trouve justifié de confier à une poignée de fonctionnaires à l'haleine fétide les clés des communications privées d'à peu près tout le monde ainsi que leurs mots de passe en clair. Mais bon, chacun ses contradictions.
If the radiance of a thousand suns were to burst into the sky, that would be like the splendor of the Mighty One— I am become Death, the shatterer of Worlds.
- Nombrilist
- Messages : 63371
- Enregistré le : 08 févr. 2010, 00:00:00
- El Fredo
- Messages : 26459
- Enregistré le : 17 févr. 2010, 00:00:00
- Parti Politique : En Marche (EM)
- Localisation : Roazhon
- Contact :
Les mots de passe en clair sont l'implication directe de l'obligation de conserver "le mot de passe ainsi que les données permettant de le vérifier ou de le modifier". En effet les mots de passe sont en général passés à la moulinette d'une fonction de hachage type MD5 ou SHA1, qui à la différence du cryptage n'est pas réversible. Explications :
Quand on utilise un moyen de communication crypté, on doit disposer d'une clé pour l'encodage et d'une clé pour le décodage, afin que les deux parties puissent communiquer. On utilise donc des moyens réversibles. Donner à une autorité supérieure la possibilité de décrypter le canal de communication implique soit de communiquer la clé, soit d'utiliser des algorithmes permettant l'utilisation d'une "super-clé", soit de pouvoir casser la clé facilement en imposant une taille maximum (c'était le cas en France jusqu'à la fin des années 90, la cryptographie étant considérée comme une arme de guerre la loi limitait la taille des clés).
Quand on veut valider un mot de passe, il est inutile et dangereux de le communiquer, que ce soit en clair ou crypté. Ce qu'on fait en général c'est qu'on stocke sur les serveurs une valeur hachée de ce mot de passe, combinée en général avec une valeur de "sel" (une chaîne de caractère arbitraire). Pour que le serveur valide le mot de passe il communique au client cette valeur de "sel", le client génère ensuite la valeur hachée à partir du mot de passe saisi par l'utilisateur combinée avec ce "sel", et communique la valeur hachée au serveur. Celui-ci se contente ensuite de vérifier que les deux valeurs hachées correspondent. A aucun moment le mot de passe n'est transmis. Non seulement, mais à aucun moment non plus le serveur n'a moyen de connaître ce mot de passe, puisqu'il ne stocke que des valeurs hachées (ce qu'on appelle les "shadow passwords"). Autrement dit, si le serveur se fait pirater, les pirates n'ont aucun moyen de retrouver les mots de passes des utilisateurs puisqu'ils sont hachés (et non cryptés) avec des algorithmes non réversibles.
C'est pour cette raison qu'il est en général techniquement impossible pour un opérateur de communiquer à un utilisateur son mot de passe ; l'opérateur en régénère un nouveau et l'utilisateur doit ensuite le modifier.
Ce qu'implique ce décret : comme les fournisseurs doivent pouvoir communiquer les mots de passes sur demande, ceux-ci ne pourront plus être stockés sous forme haché car le hachage est irréversible, ils doivent donc être stockés en clair ou de façon cryptée, ce qui revient au même puisque dans les deux cas le mot de passe devra transiter sous forme non hachée et que les cryptages sont réversibles. Un pirate pourra ainsi récupérer les mots de passe en les interceptant, en interceptant la clé de cryptage ou en l'obtenant d'une façon ou d'une autre (toutes opérations ardues mais possibles, cf. le piratage des Blu-Rays).
Le plus gros scandale est que cette obligation va bien au-delà de ce qui était initialement prévu par la loi. C'est un abus de droit injustifiable qui met en danger la sécurité numérique de toute la population.
VPN, here I come.
Quand on utilise un moyen de communication crypté, on doit disposer d'une clé pour l'encodage et d'une clé pour le décodage, afin que les deux parties puissent communiquer. On utilise donc des moyens réversibles. Donner à une autorité supérieure la possibilité de décrypter le canal de communication implique soit de communiquer la clé, soit d'utiliser des algorithmes permettant l'utilisation d'une "super-clé", soit de pouvoir casser la clé facilement en imposant une taille maximum (c'était le cas en France jusqu'à la fin des années 90, la cryptographie étant considérée comme une arme de guerre la loi limitait la taille des clés).
Quand on veut valider un mot de passe, il est inutile et dangereux de le communiquer, que ce soit en clair ou crypté. Ce qu'on fait en général c'est qu'on stocke sur les serveurs une valeur hachée de ce mot de passe, combinée en général avec une valeur de "sel" (une chaîne de caractère arbitraire). Pour que le serveur valide le mot de passe il communique au client cette valeur de "sel", le client génère ensuite la valeur hachée à partir du mot de passe saisi par l'utilisateur combinée avec ce "sel", et communique la valeur hachée au serveur. Celui-ci se contente ensuite de vérifier que les deux valeurs hachées correspondent. A aucun moment le mot de passe n'est transmis. Non seulement, mais à aucun moment non plus le serveur n'a moyen de connaître ce mot de passe, puisqu'il ne stocke que des valeurs hachées (ce qu'on appelle les "shadow passwords"). Autrement dit, si le serveur se fait pirater, les pirates n'ont aucun moyen de retrouver les mots de passes des utilisateurs puisqu'ils sont hachés (et non cryptés) avec des algorithmes non réversibles.
C'est pour cette raison qu'il est en général techniquement impossible pour un opérateur de communiquer à un utilisateur son mot de passe ; l'opérateur en régénère un nouveau et l'utilisateur doit ensuite le modifier.
Ce qu'implique ce décret : comme les fournisseurs doivent pouvoir communiquer les mots de passes sur demande, ceux-ci ne pourront plus être stockés sous forme haché car le hachage est irréversible, ils doivent donc être stockés en clair ou de façon cryptée, ce qui revient au même puisque dans les deux cas le mot de passe devra transiter sous forme non hachée et que les cryptages sont réversibles. Un pirate pourra ainsi récupérer les mots de passe en les interceptant, en interceptant la clé de cryptage ou en l'obtenant d'une façon ou d'une autre (toutes opérations ardues mais possibles, cf. le piratage des Blu-Rays).
Le plus gros scandale est que cette obligation va bien au-delà de ce qui était initialement prévu par la loi. C'est un abus de droit injustifiable qui met en danger la sécurité numérique de toute la population.
VPN, here I come.
If the radiance of a thousand suns were to burst into the sky, that would be like the splendor of the Mighty One— I am become Death, the shatterer of Worlds.
- Ilikeyourstyle
- Messages : 4387
- Enregistré le : 06 déc. 2010, 00:00:00
- Localisation : La Perle
- Contact :
C'est malheureusement là que conduit le socialisme droitdel'hommisme français. En réalité, il y aurait besoin de suivre peut-être entre 100,000 et 1,000,000 de gens, pas plus, car proches ou impliqués dans des affaires douteuses. Malheureusement, la mise sur écoutes, le contrôle et le suivi judiciaire et l'enquête policière sont très compliquées juridiquement et on arrive à cette extrémité débile.El Fredo a écrit :Ce qui m'étonne c'est qu'un libéral autoproclamé comme ILYS trouve justifié de confier à une poignée de fonctionnaires à l'haleine fétide les clés des communications privées d'à peu près tout le monde ainsi que leurs mots de passe en clair. Mais bon, chacun ses contradictions.
-
- Messages : 3119
- Enregistré le : 29 nov. 2008, 00:00:00
- Localisation : normandie
--> https://www.cryptocloud.com/ Solution VPN P2P friendly muni d'un excellent débit (pour un VPN^^).El Fredo a écrit :Je n'ose imaginer la quantité de données que ça représente, je vais acheter des actions de vendeurs de disques et de bandes magnétiques icon_mrgreen
Au passage ces exigences impliquent que les mots de passe seront stockés en clair. Merci la droite. Je pense que je vais sérieusement commencer à prospecter pour des solutions de VPN, j'en ai un peu marre de ces lois liberticides.L 'Etat peut-il s'arroger le droit de lire ou conserver le courrier des citoyens ou le double de leurs clés, tout ça pour protéger les revenus des maisons de disque ?
Sinon je remarque dans ce qu'a commenté Politicien qu'il est fait une nouvelle fois mention de terrorisme; Comme si ce truc pouvait tout justifier, et toujours le pire. Y'en a un peu marre de se laisser dicter la politique par la pseudo-menace du terrorisme ! Là c'est tout de même un peu gros
Ce qui distingue principalement l'ère nouvelle de l'ère ancienne, c'est que le fouet commence à se croire génial. K M
Qui est en ligne
Utilisateurs parcourant ce forum : Aucun utilisateur enregistré