Nouvelle version de VeryCrypt.

Ouais super génial, encore chat web chiffré... sauf que bien sûr Google, Bootstrap, Socket.io, CloudFlare et jQuery savent quelles adresse IP sont en train de chatter entre elles. Et ils sont également l'URL de la chatroom elle-même.
Ça c'est de la protection de la vie privée !

Je ne comprend pas ces développeurs web qui font des applications pour protéger la vie privée en diffusant au premier venu tous vos accès à leurs services... avec les URLs complètes. http://sebsauvage.net/galerie/photos/Bordel/homer.png
C'est bien pour ça qu'en bas de la page de ZeroBin (http://sebsauvage.net/wiki/doku.php?id=php:zerobin#links), quand j'avais listé les services similaires, j'avais indiqué lesquels ont du javascript Google dans les pages. Ce qui est complètement crétin puisqu'au moment où vous accédez à la page, Google en est informé (avec l'URL). Mais tout va bien, puisque Google c'est un gentil, hein, et qu'il n'est absolument pas dans le business de vente des centres d'intérêt des internautes.

EDIT: J'ai signalé le problème des CDN au développeur, et il a corrigé.

Question intéressante: Et si on utilisait le hash d'un fichier pour chiffrer ce même fichier ?
La bonne valeur du hash devient donc la seul information nécessaire pour déchiffrer le fichier. Et au déchiffrement, cela vous permet de vérifier le fichier.

Petite application intéressante: Cela permet de faire de la déduplication sur un serveur sans que le serveur ait besoin de savoir déchiffrer les fichiers. Et même entre utilisateurs ne se connaissant pas ou ne partageant aucune clé/aucun trousseau  en commun.

C'est a priori une idée qui tient la route, mais il y a peut-être des ramifications que je ne vois pas.

Telegram fait la une, ces derniers temps, et gagne en popularité (http://www.numerama.com/tech/135415-whatsapp-bloque-au-bresil-telegram-gagne-15-millions-dutilisateurs.html).
Pourtant, si je devais vous recommander une application de communication chiffrée, ce serait plutôt Signal.

Je ferai abstraction des très nombreuses critiques concernant la crypto de Telegram (car ils prennent grand soin de répondre à chaque point levé), et je pense qu'ils ont de bonnes intentions, mais il reste un problème à mes yeux: Ils ont la possibilité de déchiffrer vos messages. Dit autrement: ce n'est pas du chiffrement de bout en bout par défaut, sauf si vous utilisez la fonction «Secret chat». C'est d'ailleurs grâce à cela que Telegram peut aussi exister aussi en version "web" et "desktop" (ce qui n'est pas le cas de Signal).
https://telegram.org/faq#q-so-how-do-you-encrypt-data
https://telegram.org/faq#q-how-are-secret-chats-different
(D'ailleurs, c'est visible ici: https://www.eff.org/secure-messaging-scorecard)

Donc ça me met un peu mal à l'aise. Non que le logiciel soit de mauvaise qualité, mais les utilisateurs penseront être en train de discuter en toute confidentialité alors que ce n'est pas le cas.
(Même si la société Telegram est allemande, donc a priori un peu moins sujette aux demandes abusives qu'une société américaine.)

Signal est lui, par défaut, chiffré de bout en bout.
Une fois installé, il s'intègre à Android: quand vous sélectionnez un contact, vous pouvez passer un appel normal, un appel chiffré ou envoyer un message chiffré.
En plus de la messagerie chiffrée, il peut optionnellement aussi prendre en charge vos SMS, même s'il ne fait plus de chiffrement des SMS (comme SMSSecure le fait: http://sebsauvage.net/bon-android/?d=2015/09/16/19/35/06).

Pourtant Signal a aussi ses problèmes.
- Tout comme Telegram, si pas de WiFi/3G à portée, alors pas d'échange de message possible.
- Tout comme Telegram, Signal exige l'entrée de votre numéro de téléphone. Utilisation donc a priori impossible sur tablette (et bien entendu sur desktop).
- Les messages sont bien chiffrés de bout en bout, mais le développeur utilise les services GooglePlay (GCM: Google Cloud Messaging) pour les transférer d'un téléphone à l'autre. (Telegram passe par ses propres serveurs.)
- Conséquence: Distribution impossible de l'application sur F-Droid.

On est donc encore loin d'une situation idéale. Pourtant Signal me semble encore pour le moment un meilleur choix que Telegram en tant que messagerie chiffrée simple d'emploi.

Concernant le code de Signal, je suis tombé sur divers articles de cryptographes et développeurs qui ont examiné le code source, et qui sont visiblement restés pantois face à la qualité du code et au soin apporté à la sécurité. C'est plutôt bon signe. Le code de Signal a déjà largement été passé en revue.

Il reste bien sûr encore d'autres pistes à explorer: ChatSecure (OTR+XMPP, capable de se connecter au serveur XMPP de votre choix en sus, et même passer par TOR), SilentCircle (que je n'ai pas regardé).


Voici les applications pour smartphones ayant reçu les meilleures notes de l'EFF.
 - Signal : https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms
 - Telegram (en mode «Secret chat») : https://play.google.com/store/apps/details?id=org.telegram.messenger
 - ChatSecure : https://play.google.com/store/apps/details?id=info.guardianproject.otr.app.im
 - SilentCircle : https://play.google.com/store/apps/details?id=com.silentcircle.silentphone

A noter également:
- Signal : à but non lucratif basée au États-Unis : https://whispersystems.org/
- Telegram : société à responsabilités limitée, sur le sol allemand : http://telegram.org/
- ChatSecure : opensource. Tenu par un collectif international : https://guardianproject.info/
- SilentCircle : société commerciale (Suisse) fondée entre autre par l'auteur de PGP : https://www.silentcircle.com/

Tous sont à sources ouverts (ce qui est une condition sine qua none pour la sécurité).

Mon regret: Tous passent par des serveurs tiers (même si ChatSecure vous permet d'utiliser le serveur XMPP de votre choix).  A quand une messagerie qui utilise la DHT (comme le fait RetroShare) ?  Est-ce seulement viable en 3G ?


EDIT: Oh là... gros changements prévus côté ChatSecure (refonte du coeur de l'appli + sortie d'une version simplifiée Zom), et aussi l'implémentation d'un des protocoles de Signal.
Voir: https://chatsecure.org/blog/chatsecure-core/
et : https://chatsecure.org/blog/chatsecure-conversations-zom/
Ça vaut peut-être le coup d'attendre la nouvelle version.

EDIT: sur le même sujet: https://recode.net/2015/12/21/is-your-messaging-app-encrypted/

Un bon article qui défend le chiffrement face aux multiples attaques dont il fait l'objet par les démagos de tous bords.
Reduire ou limiter la cryptographie, c'est réduire notre sécurité.

Il y aurait de sérieux problèmes de sécurité dans l'application Telegram. Affaire à suivre...

Voilà voilà... c'est la faute au chiffrement.

Amusant. Je vous ai déjà raconté qu'avoir de *vrais* nombres aléatoire avec un ordinateur n'est pas si simple (cf. http://sebsauvage.net/rhaa/?2011/08/25/07/32/33) et que c'est pourtant très important pour la sécurité informatique.
Il se trouve que le bruit de fond généré par le Big Bang est une excellente source d'aléa. Et que donc ces signaux pourraient être intéressants et potentiellement exploitables en sécurité informatique.
Mais moi je vois un problème à ça: C'est que toutes ces belles données proviennent d'un même radiotéléscope. Même hashé et re-machouillé par des algos, tout le monde utiliserait la même source. Ça ne me semble pas une super-idée.
EDIT: La remarque du Hollandais Volant: http://lehollandaisvolant.net/?id=20151112090141

TextSecure (dont je vous avais parlé, et qui est à la base de SMSSecure) a été fusionné avec RedPhone (VOIP chiffrée) pour devenir un unique logiciel: Signal.
Par contre, WiFi ou 3G obligatoire pour utiliser le logiciel.
Mais un bon point: Pas besoin de créer un compte ou se connecter avec login/mot de passe pour utiliser le logiciel. Il suffit que la personne en face ait le même logiciel.
https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms (oui le nom sur GooglePlay n'est pas à jour).
Les sources: https://github.com/WhisperSystems

qqqq... QUOI ???  Il y a plusieurs centaines de milliers de sites web qui utilisent les MÊMES nombres premiers dans leur certificat D-H TLS ?  http://sebsauvage.net/galerie/photos/Bordel/homer.png
(Cet article parle d'une nouvelle attaque contre l'échange de clés Diffie-Hellman qui permet de pré-calculer l'attaque pour un couple de nombre premiers, et ainsi de réduire le temps de calcul pour déchiffrer des messages particuliers utilisant ces nombres premiers.)

Et voilà ! Un logiciel libre de partage de fichiers chiffré dans le navigateur ^ ^

Quelqu'un a relancé un site complet pour la dernière version fiable connue de TrueCrypt (la 4.1a).
(Je n'ai pas encore comparé les binaires avec ceux que j'avais stockés.)

Pourquoi il ne faut plus utiliser mcrypt en php (et quelques solutions de remplacement).
(C'est vrai que la quasi-totalité des exemples que vous trouverez sur le net se basent sur mcrypt)

Euh... WHAT ? L'Australie veut criminaliser l'enseignement de la crypto ?  C'est dingue oO
Je pense, comme dit Timo, qu'on va progressivement voir ça débarquer dans divers pays, ou du moins à moindre mesure en criminalisant l'utilisation de certains logiciels. C'est juste horrible.
(via http://lehollandaisvolant.net/?id=20150525110020)

What ?  oO

Encore un projet qui pue: L'accès à vos clés de déchiffrement SANS ACCORD D'UN JUGE. C'est encore pire que la censure des sites sans juge.
D'où l'intérêt d'avoir le contrôle de son chiffrement (en local).
Et bien il n'aura pas fallu longtemps pour que les ronces putrides des bien-pensants fascisants poussent sur les cadavres de Charlie Hebdo. Sécurisants de tous bords, vous avez tout mon mépris.

Mais euh... en quoi est-ce une surprise ? C'est le cas pour n'importe quel hébergeur: ils peuvent entrer directement dans vos données. Je ne vois absolument pas ce qu'il y a de surprenant là dedans.
Il n'y a que les services chiffrés côté client (ZeroBin, Mega...) qui *éventuellement* peuvent prétendre à le pas pouvoir accéder à vos données.

Voilà voilà, il fallait s'y attendre: un gouvernement voudrait interdire légalement l'utilisation de TOR, VPN et autres outils d'anonymisation.
Je suis certains qu'il y aura bien un politique en France pour proposer la même chose.

Bon, je me note ça. Ça peut être utile.

Comment créer deux images différentes ayant la même MD5. Notez que cela implique d'ajouter des données après la fin du fichier JPEG, données qui ne seront jamais interprétées par les décodeurs JPEG.
Il existe un certain nombre de formats de fichiers qui autorisent l'ajout arbitraire de données sans que cela perturbe le décodage du fichier: MP3, PDF, etc.

Une appli pour chiffrer vos fichiers sur Android. à tester...
(via http://korben.info/secrecy-application-android-garder-vos-secrets.html)