S'il s'agit vraiment de simples sms, on peut s'interroger sur les performances de nos services de renseignements. Car comme les appels vocaux, les sms ne sont pas chiffrés d'emblée.

Précisions: mon propos n'est pas de dire qu'il faut nécessairement une surveillance plus proactive.

ref: https://twitter.com/csoghoian/status/666426426959130624 + https://twitter.com/csoghoian/status/666482358212685827

Oui. Ca me gave aussi ces articles 'pièges à clics' / anxiogènes qui tentent de décridibiliser la cryptographie alors que c'est surtout son implémentation qui pêche (à cause de mauvais sysadmins/ ou d'un manque de moyens).

"""
S3QL is a file system that stores all its data online using storage services like Google Storage, Amazon S3, or OpenStack. S3QL effectively provides a hard disk of dynamic, infinite capacity that can be accessed from any computer with internet access running Linux, FreeBSD or OS-X.

S3QL is a standard conforming, full featured UNIX file system that is conceptually indistinguishable from any local file system. Furthermore, S3QL has additional features like compression, encryption, data de-duplication, immutable trees and snapshotting which make it especially suitable for online backup and archival.
"""
Extrêmement prometteur.

Alternative libre à SSLlabs (https://www.ssllabs.com/ssltest/) pour vérifier nos implémentations de TLS sur HTTP/SMTP/XMPP.

L'article qui en parle et qui permet, entre autre, de comprendre les fondamentaux:

• protocole SSL/TLS
• authentification
• chiffrement
• PFS

https://blog.imirhil.fr/cryptcheck-verifiez-vos-implementations-de-tls.html

vérifier la robustesse du chiffrement SSL/TLS avec des commandes openssl.

via http://shaarli.cafai.fr/?uaTSjQ

Solution ? Ne pas prendre une solution centralisée à sources fermés. Donc pas HangOut, pas WhatsApp, pas Kik, etc.

Ni Telegram vu que le serveur est proprio.
D'emblée le client n'utilise pas les "secret chats" (Les "secret chats" sont censés être chiffrés de bout-en-bout, contrairement aux "cloud chats" utilisés par défaut).
La raison invoquée est ici: https://telegram.org/faq#q-why-not-just-make-all-chats-secret

Dans le cas des "secret chats":
A voir, au niveau du code du client, si on peut vraiment être certain que le chiffrement end-to-end a bien lieu, et que la clé de déchiffrement n'est pas connue du serveur..

"""
SecuredText a deux objectifs :
maintenir le chiffrement des SMS/MMS ;
supprimer les dépendances aux services Google.
"""
vive les forks

a webpage that tracks DNSSEC failures and outages – and there are many examples.

"""
To bring the world our unique end-to-end encrypted protocol and architecture that is the 'next-generation' of private and secure email. As founding partners of The Dark Mail Technical Alliance, both Silent Circle and Lavabit will work to bring other members into the alliance, assist them in implementing the new protocol and jointly work to proliferate the world's first end-to-end encrypted 'Email 3.0' throughout the world's email providers. Our goal is to open source the protocol and architecture and help others implement this new technology to address privacy concerns against surveillance and back door threats of any kind.
"""

"""
Does HTTP/2 require encryption?

No. After extensive discussion, the Working Group did not have consensus to require the use of encryption (e.g., TLS) for the new protocol.

However, some implementations have stated that they will only support HTTP/2 when it is used over an encrypted connection.
"""
tiens tiens, le chiffrement est passé de requis à facultatif...

L'histoire de Tor est pour le moins intéressante..

• 2004: inventé par U.S. Naval Research Laboratory (http://www.onion-router.net/)
• puis dévoloppé et soutenu par le Tor Project grâce à une organisation non lucrative du doux de nom de 501(c)(3)
• 2006: Tor est financé par l'état américain et d'autre organisations américaines comme le BBG et NSF.
• 2012: 80% des 2 millions du budget annuel proviennent du gouvernement américain, et le reste provient du gouvernement suédois et d'autres organisations.
• 2013: on apprend par les révelations de Snowden que Tor est un outil qui fait bien chier NSA/GCHQ et consorts, car ils n'ont pas vraiment réussi à casser sa sécurité malgré quelques tentatives.
  http://arstechnica.com/security/2013/10/nsa-repeatedly-tries-to-unpeel-tor-anonymity-and-spy-on-users-memos-show/
• 2014: le gouvernement russe offre une récompense de 111000 dollars pour "étudier la possibilité d'obtenir des informations techniques sur les utilisateurs de Tor et leurs équipements" ("study the possibility of obtaining technical information about users and users equipment")
  http://arstechnica.com/security/2014/07/russia-publicly-joins-war-on-tor-privacy-with-111000-bounty/

hum. #popcorn

"We’ve modified the Cyanogen SMS/MMS provider to speak the TextSecure protocol. If an outgoing SMS message is addressed to another CyanogenMod or TextSecure user, it will be transparently encrypted and sent over the data channel as a push message to the receiving device. That device will then decrypt the message and deliver it to the system as a normal incoming SMS.
The result is a system where a CyanogenMod user can choose to use any SMS app they’d like, and their communication with other CyanogenMod or TextSecure users will be transparently encrypted end-to-end over the data channel without requiring them to modify their work flow at all."

C'est une belle initiative car cela va rendre le chiffrement des sms à la porté de tous les utilisateurs de Cyanogenmod, sans nécessiter de connaissances particulières en crypto.
Mais... quand on y regarde de plus près on remarque que cela repose sur GCM (google cloud messaging) qui requière le Play Services Framework et donc les google apps.
De plus, le système est centralisé car il repose sur un serveur. Ce dernier sera géré par les équipes de Cyanogen et sera fédéré avec les serveurs de WhisperSystems.

Secure webmail. HTTPS only. GPG for the masses.
doc: https://scramble.io/doc/
why: https://scramble.io/doc/why.html
code: https://github.com/dcposch/scramble

Une appli pour chiffrer ses communications entre ordiphones.

J'allais dire que ça ne vaut rien car l'appli n'est pas libre, ou au moins open-source.
Après j'ai lu la faq :
"Is this open source? When will the source code be available?
We plan to make the source code available as open source before the end of the 2013 calendar year so that experts can inspect it and ensure the absence of backdoors."
Tant que c'est pas opensourcé, ça ne sert à rien.

De plus, on ne peut pas vraiment faire confiance aux OS sur lesquels elle est censée tourner: iOS et Android dans sa version originale.

Le papa de Tor, Jacob Appelbaum, fait un discours au parlement européen à propos de la surveillance des états.
Video (25min) + Selection de citations (terrifiantes) + Transcript complet.

très bon article!
merci Gopi (https://perso.ens-lyon.fr/guillaume.aupy/shaarli//?beL3yQ)

Extraits choisis sur http://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security :

• "The document reveals that the agency has capabilities against widely used online protocols, such as HTTPS, voice-over-IP and Secure Sockets Layer (SSL), used to protect online shopping and banking."
• "Through these covert partnerships, the agencies have inserted secret vulnerabilities – known as backdoors or trapdoors – into commercial encryption software."
• "Snowden appeared to confirm this (...) : "Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on," he said before warning that NSA can frequently find ways around it as a result of weak security on the computers at either end of the communication."

Résumé:

• passer à un chiffrement plus fort (>2048-bit). Par exemple, RSA-1024 semble vraisemblablement cassé. Source: https://www.schneier.com/essay-446.html
• on peut encore faire confiance aux maths - en l'occurrence à la cryptographie si celle-ci est correctement implémentée (PRNG qui génère des nombres vraiment aléatoires) et utilisée sur des machines sures ; ce qui m'ammene au point suivant
• n'accorder aucune confiance aux logiciels privateurs ou aux technologies propriétaires (présence potentielle de backdoor).

une bonne explication de comment fonctionne l'échange de clés Diffie-Hellman
vive les maths.

c'est bourré d'anectodes interessantes. et c'est un bon rappel de bonnes pratiques de sécurité autour de la crypto.
via Neros

L'intention de développer une application qui se veut sécurisée et qui dit sécuriser les échanges est bonne, mais
1) encore faut-il qu'elle soit libre pour qu'on puisse faire de la revue de code
2) ça ne sert pas à grand chose si elle est uniquement destinée à des OS non securisés que sont Android et iOS (surtout iOS pour son coté boite noire).

Cela étant dit, si cela peut au moins démocratiser le chiffrement les données c'est déja ça.
Autre bon point : c'est basé sur des standards éprouvés (xmpp+pgp).