« il n'est pas prévu de version open source malheureusement. »
Chiffrement à sources fermés = Directement poubelle en ce qui me concerne.

Un autre alternative à TrueCrypt: http://www.gostcrypt.org/fr/GostCrypt.html
A noter que l'équipe de développement contient Eric FILIOL... ancien cryptanalyste de l'armée de terre française rattaché à la DGSE    (Je trolle, là ? :)

Pas encore lu, mais visiblement 6 nouveaux bugs viennent d'être corrigés dans OpenSSL.

Steve Gibson (grc.com) aurait eu indirectement des nouvelles du développeur de TrueCrypt.  Pas d'influence du gouvernement, mais juste une perte d'intérêt du développeur.  Quoi, c'est tout ???

Oh ben tiens. Des failles sur les cartes bancaires à puce (EMV).  Voilà qui devrait rappeler des choses à Serge Humpich qui déjà en 1997 avait signalé des problèmes de sécurité (Le GIE Cartes bancaire l'avait attaqué en justice et lui en avait mis plein la tronche: https://fr.wikipedia.org/wiki/Serge_Humpich.)

Là, c'est tout aussi LOL: Les USA sont en train de déployer les cartes bancaires à puce (avec VISA qui fait le forcing avec une date limite d'implémentation, la responsabilité du non-paiement étant transférée après cette date si le paiement n'a pas été fait par puce).

Des chercheurs en sécurité ont constaté que le générateur de nombres aléatoires de certaines cartes EMV n'est pas assez bon (certaines allant même jusqu'à utiliser un simple compteur ???).
Du coup, après une seule lecture de la puce, il est possible de générer des séquences qui seront acceptées par les distributeurs de billets.
Imaginez: Vous payez votre restaurant avec votre carte, et vous constatez ensuite sur votre relevé que votre propre carte a débité des milliers d'euros plusieurs distributeurs de billets. Et là, la banque dira que c'est vous puisque en théorie votre carte est protégée par un code PIN.

Je vous le disais, les générateurs de nombres aléatoires, c'est important :-)  http://sebsauvage.net/rhaa/index.php?2011/08/25/07/32/33-le-hasard-est-une-chose-difficile-pour-un-ordinateur

oh super... une attaque sur le handshake TLS/SSL :-(
Article source: https://secure-resumption.com/

Vive le logiciel libre: une libs ne donne pas satisfaction ?  On la fork, on améliore. Ce genre de chose serait impossible avec une lib propriétaire à sources fermés.

La première partie de l'audit sécurité de TrueCrypt (financée par les internautes) a été publiée. Le résultat semble positif: Aucune backdoor ou faille ne semble avoir été intentionnellement insérée dans le code.
Ceci dit, tout n'est pas tout rose: Il y a des recommandations sécurité qui n'ont pas été respectées dans le développement. Mais rien de rédhibitoire.
Les auteurs de l'audit pensent que Dave Morgan, l'auteur de TrueCrypt, n'est pas une vraie personne, et que l'auteur est probablement anonyme. Mais il a sacrément raison de l'être.

Le commentaire de Bruce Schneier sur la faille OpenSSL: « "Catastrophic" is the right word. On the scale of 1 to 10, this is an 11. »

Un article qui compare les avantages de VPN et TOR.

Mon commentaire (que je recopie ici):
"Quelques plus et moins:

VPN:
+ masque votre activité à votre FAI.
— Centralisation (et identification du client possible par le fournisseur de service)
+ vitesse
+ compatible avec pratiquement tous les logiciels (j'arrive même à jouer à Urban Terror à travers le VPN)


TOR:
+ masque votre activité à votre FAI.
+ décentralisation (et anonymat, hors de contrôle d'un fournisseur de service)
— lenteur
— limité aux logiciels adaptés spécifiquement à TOR.

MAIS (il y a un gros mais): Quand vous utilisez TOR pour aller sur le web "normal", vous faites confiance à un noeud de sortie TOR aléatoire, que vous ne connaissez pas, et qui peut changer à chaque session. (N'importe qui peut installer un noeud de sortie et se raccorder au réseau TOR). On a déjà vu des noeuds TOR:
- piquer des mots de passe (si si).
- manipuler des données avant de les renvoyer au demandeur (pages web, js...)
Ça reste des cas marginaux, mais ça peut arriver (On doit pouvoir retrouver ces articles. Cherchez "malicious tor nodes").

Donc, avec TOR soyez tout de même prudent.
(Note: le problème ne se pose pas quand vous consultez des sites en .onion)

Avec le VPN, vous n'avez à faire confiance qu'à un seul interlocuteur, et vous le choisissez.
(Ce qui est intéressant, c'est que vous n'avez plus besoin de faire confiance à un FAI particulier: Vous pouvez en changer, ou allez chez des amis/famille et utiliser leur connexion sans avoir besoin de faire confiance à leur FAI. Vous n'avez à accorder votre confiance qu'au fournisseur de VPN).

Sachant que les fournisseurs de VPN ont des clients nettement plus volatiles (pas de lock-in, pratiquement aucune friction à quitter le service), ils feront (à mon avis) moins de coups tordus que les FAI (Je n'ai encore jamais entendu un fournisseur VPN, même les plus mauvais, manipuler des pages web comme le fait SFR ou Verizon, ou mettre des proxy transparents comme le faisait AOL).

Dernière remarque: Quand vous utilisez TOR, vous faites implicitement confiance aux développeurs de TOR. Et croyez-moi, ils ont une putain de pression (ils ne sont pas anonymes). Espérez que ceux qui compilent TOR ont des ordinateurs très très bien protégés de la NSA, parce qu'ils sont une cible de choix pour la NSA et autres agences de sécurité.
(Vous avez vu cet article d'un des développeurs de TOR où il a vu le paquet contenant son nouvel ordinateur portable faire un drôle de trajet sur le suivi de livraison ?)

Pourquoi TOR est-il une cible plus intéressante que votre petit fournisseurs de VPN ?
Parce qu'il y a plus d'utilisateurs qui utilisent cet unique logiciel TOR que de n'importe quel service de VPN.

J'ajouterai encore une remarque: Un auteur de proxy anonyme allemand (japroxy ? je ne me rappelle plus du nom) a été forcé par le gouvernement allemand à inclure une backdoor dans son logiciel. Elle a persisté pendant des mois avant qu'on s'en aperçoive.
L'auteur de Freenet a également craint d'y être forcé (voir: http://www.suumitsu.eu/2012/10/18/freenet-risque-de-backdoor/).

Donc les P2P de type "Onion" ne sont pas infaillibles.

TOR est impressionnant, mais il ne résout pas tous les problèmes de confiance. Vous devez toujours faire confiance à quelqu'un. En l’occurrence, aux développeurs de TOR (et aux noeuds de sortie opérés par des anonymes)."

WTF ?
Visiblement les douanes françaises ont harcelé un français simplement parce qu'il parlait de bitcoins dans un aéroport.  Ils l'ont soupçonné d'être acheteur de drogue, lui ont dit que Bitcoin était illégale (ben voyons), et tout un tas de conneries.
Il a dû subir un test cannabis, a raté son vol... lamentable. Tout ça pour simplement avoir parlé de bitcoins.

Est-ce un aperçu de notre avenir ?  Où la moindre technologie cryptographique sera prétexte à vous harceler ?
Vous parlez de bitcoin ? Vous êtes sûrement un dealer.
Vous chiffrez vos mails ?  Vous êtes sûrement un terroriste qui a des choses à cacher.
Vous utilisez TOR ? Vous êtes probablement un pédophile.
Vous utilisez TrueCrypt ? Vous avez sûrement des comptes cachés et de l'argent non déclaré.

J'ai malheureusement peur que ce petit incident soit assez représentatif de ce qui nous attend dans les années à venir, à savoir être présumé coupable sur le simple fait de refuser la transparence totale en utilisant des outils crypto pour protéger sa vie privée ou échanger.

Il semblerait que la NSA ait cassé les VPN basés sur PPTP (bon ce n'était pas très sécurisé), mais plus inquiétant, L2TP aussi.   OpenVPN semble encore leur échapper.

Ce site est une sorte de HackerNews dédié à la crypto, sécurité et vie privée.

TextSecure v2 est sorti. Et là ça me plaît beaucoup moins: Les messages passent par internet et n'utlisent SMS que si internet n'est pas disponible.
Internet ? Mais ça passe par quels serveurs ? Ceux de WhisperSystems ?  Une telle centralisation n'est-elle pas à l’opposé des buts de TextSecure ?
(Si ça passe par leur serveur, ce dernier devient un point central pour l'échange des clés et des messages :-(

EDIT: Ah oui !  L'option est effectivement désactivable. Parfait. Merci. (http://tools.aldarone.fr/share/?pc8faA). On peut donc faire exclusivement du SMS si on le souhaite. En prime, comme le signale Alda, la partie serveur est également opensource (ce qui manque à Telegram).

La faille de sécurité qui pue dans Android: N'importe quelle application peut récupérer en clair le flux de données passant dans le client VPN Android, même sans avoir les droits root.
EDIT: Article chez Kaspersky: http://threatpost.com/android-vulnerability-enables-vpn-bypass/103719

Le chat privé (chiffré dans le navigateur) avait la partie serveur en .Net. Tommy en a fait une version en php.
EDIT: En voilà en ligne:
https://wtf.roflcopter.fr/chat/
https://chabotsi.fr/chat/
http://root.suumitsu.eu/cryptochat/
https://chat.carrade.eu/

Mikko Hypponen, chercheur en sécurité réputé et fondateur de F-Secure, a annulé sa participation à la conférence RSA suite aux révélations de Snowden (http://sebsauvage.net/links/?qrLIyQ)

Hé Tommy, tu vas avoir des visiteurs !   :-)

Tuto de Timo pour le chiffrement des mails dans ThunderBird avec GPG via l'extension Enigmail.

14 raisons de ne *pas* utiliser PGP. Et le pire c'est qu'il n'a pas totalement tort. Il y a des arguments valides. PGP était dans la théorie une bonne idée. Mais dans la pratique et avec l'état actuel d'internet, son utilisation est problématique (en terme de surveillance, de discrétion, de facilité d'utilisation...)
Au point que, finalement, communiquer via TOR a bien plus de sens: Noyer ses communications dans le flot commun du trafic TOR vous rend plus difficilement repérable. Le problème est que les outils de communication via TOR n'ont pas été autant passés en revue que PGP.
(via http://shaarli.cafai.fr/?411uFA)

+1
Le chiffrement côté serveur n'assure aucune confidentialité puisque par principe ILS ONT LES CLÉS pour chiffrer/déchiffrer.
C'est comme si un fabricant vous installait une super porte antivol que VOUS SEUL pouvez ouvrir... et qu'ils gardent une copie des clés, leur permettant de rentrer chez vous quand ils veulent (eux ou les forces de l'ordre, puisqu'ils coopèrent).

Un site pour faire la promotion de PGP. (Perso, je pense que c'est une cause perdue. J'aime beaucoup le fidèle PGP, mais le principe est trop complexe pour l'internaute.)

Vous êtes tombé sur un hash et vous vous demandez son origine ? Ce programme peut vous aider à identifier les types de hash (Oracle, MD5, mySQL...)

Faille OpenSSH, pensez à patcher.

La levée de fond pour l'examen du code source de TrueCrypt a atteint son quota. Les sources seront donc examinées à la loupe.