SHA1 + cryptage = LOL

Un projet de messagerie sécurisée pour OS mobiles. Ils vont utiliser XMPP et PGP, c'est un bon point, mais certaines choses me font tiquer :

1) Le code ne sera pas Open Source dès le départ !
2) Architecture centralisée...

Leur avis sur la question de l'Open Source : "We have all intentions of opening up the source as much as possible for scrutiny and help! What we really want people to understand however, is that Open Source in itself does not guarantee any privacy or safety. It sure helps with transparency, but technology by itself is not enough. The fundamental benefits of Heml.is will be the app together with our infrastructure, which is what really makes the system interesting and secure."

Le fait que Heml.is tourne sur leur propre infrastructure rend le système plus intéressant et sécurisant ? J'attends de voir ce que ça va donner avant de donner un jugement trop hâtif, mais au moins ils essaient de démocratiser le chiffrement PGP et le rendre plus user-friendly en utilisant des standards ouverts (XMPP) !

Cf. mon commentaire.

C'est vrai qu'avec les autorités de certification qui sont inclues de base, la substitution des certificats légitimes n'est pas un problème pour une agence telle que la NSA.

Heureusement, il existe des extensions pour les principaux navigateurs qui permettent de lever une alerte si un certificat a changé.

En temps que développeur, si vous communiquez en SSL/TLS, n'oubliez pas de vérifier le fingerprint ! Un collègue de classe a réussi à faire un MITM SSL d'une application, car celle-ci ne vérifiait pas si c'était le bon certificat !

TL;DR

Des réflexions intéressantes sur l'identité numérique !

LE tutoriel pour chiffrer/déchiffrer des messages avec PGP dans vos clients mails sur ordinateurs et smartphones !

Via : http://www.mypersonnaldata.eu/shaarli/?dfoApw

Édifiant : des agents de la NSA ont installé secrètement des backdoors dans les systèmes de chiffrement vendus par Crypto AG, une société suisse renommée.

Le fait est que les américains n'aiment que moyennement les systèmes de cryptographie fabriqués et utilisés en Europe, alors ils ont fait leur possible depuis les années 40 pour les trafiquer.

On m'a écrit pour plus de détails sur la procédure, alors je la poste ici en attendant que j'en fasse un tutoriel :

« Je comptais faire un tuto tout bientôt, mais je peux déjà te dévoiler la procédure ;)

Alors j'ai installé Windows 7 en supprimant la partition cachée. Plus précisément, j'ai enlevé la partition principale puis étendu la partition cachée pour prendre la taille du disque et ai installé Windows dessus. C'est le seul moyen de procéder, même si ça paraît contre-intuitif au premier abord.

Ensuite seulement j'ai chiffré intégralement le disque à l'aide de TrueCrypt ! Peu de risques de pannes, car le bootloader TC procède tout d'abord à un pré-test lors du premier démarrage. Le disque est ensuite chiffré à chaud, si et seulement si ce test passe la vérification !

Comme j'ai pu le constater, si le démarrage reste bloqué, alors il suffit de redémarrer la machine de force et lors du prochain redémarrage, il demande si on veut retenter le test ou supprimer le bootloader ;)

Dans tous les cas, le chiffrement n'est effectif que si le test passe avec succès !

Une fois le disque chiffré, un mot de passe est demandé avant le démarrage de l'OS. C'est en fait un bootloader qui se charge avant celui de Windows.

Niveau performance, c'est le top même en VM ! Avoir la prise en charge des instructions AES dans le processeur est un plus. D'après le benchmark, le chiffrement en temps réel est plus rapide que ce qu'est capable de débiter le disque ! Le seul surcoût est de fait au niveau du processeur, mais c'est minime. D'autant s'il prend en charge AES en natif ;)

Je te conseille de lire la doc, car c'est une précieuse mine d'informations !

Même si le système crashe ou s'éteint à la sauvage, les données sont à l'abri car tout se fait en RAM et le volume est automatiquement démonté.

Que dire de plus ? Je te conseille de te faire la main en VM ou sur un PC de test, dans un premier temps. Ah et de graver le disque de réparation qu'il te propose ! »

J'ai essayé en machine virtuelle de chiffrer l'intégralité du disque où se trouve Windows 7 avec TrueCrypt, mais dès le redémarrage lors de la phase de pré-test, l'écran restait désespérément noir !

Visiblement, c'est un problème avec la partition système cachée de 100 Mo que crée automatiquement Windows quand il s'installe...

Bilan ? J'ai réinstallé Windows 7 en ne gardant qu'une seule partition unique ! Oui, c'est possible et il fonctionne très bien malgré tout. Peut-être qu'en choisissant de ne chiffrer QUE la partition où il y avait Windows, je pouvais y arriver, mais je tenais à ce que le disque soit entièrement chiffré. Quoi qu'il en soit, problème réglé et chiffrement complet du disque effectué !

Je confirme donc que Windows 7 Pro 64-bit fonctionne à merveille en étant intégralement chiffré par TrueCrypt :D

Même en machine virtuelle, les performances sont excellentes ! A essayer et adopter ;)

Un tutoriel complet de la CNRS/DSI concernant le chiffrement des volumes avec TrueCrypt (orienté Windows), FileVault (Mac OS) et dm-crypt (Linux) !

Par contre ne PAS suivre les recommandations de "séquestre", car cela doit être une procédure interne à l'organisme ! Cependant, la procédure est vraiment contre toutes les bonnes pratiques en matière de sécurité o_O

Jugez plutôt : « La méthode la plus simple consiste tout simplement à noter le mot de passe sur une feuille de papier que l’on met dans une enveloppe cachetée et rangée en lieu sûr. » Evidemment, il ne faut JAMAIS faire ça de votre côté !

Il y a aussi ce bon tuto concernant TrueCrypt, sinon : http://free.korben.info/index.php/TrueCrypt

Chiffrer du texte ou des emails à l'aide d'un simple bookmarklet.

Comme PGP est trop "compliqué" pour le quidam moyen, peut-être que ce service pourra le réconcilier avec le chiffrement de ses messages !

On a le droit de rêver...

Tiens, un chat en ligne sécurisé dont le fonctionnement est similaire à ZeroBin : tous les messages sont chiffrés en AES 256 bits par le navigateur. Seuls ceux qui connaissent le nom du salon (room) et le mot de passe peuvent lire ce qui se dit !

Seul inconvénient : même avec un mauvais mot de passe, on voit qui est présent et les messages qui transitent, bien qu'ils soient illisibles.