Microsoft pourrait rendre Skype écoutable par la police

Ou comment tuer Skype tout en se cachant derrière un pretexte de légalité...

Adieu Skype

( ou bonjour Crypto Chat )

Je me pose une question : Quand et par quel moyen les communications d'un individu peuvent-ils être 'intercepté' en France? Et comment s'en défendre / le savoir ?

Je doute qu'ils ait attendu le bon vouloir de Microsoft et conssorts pour surveiller les communications. Les services secrets de nombreux pays doivent déjà le faire, et ce, depuis l'arrivée d'internet.
Simple question d'adaptation à la menace (ou ce qui est considéré comme tel).

De plus, la requête vient d'un pays pas connu pour sa grande démocratie. Se pourrait-il qu'ils soient tellement largués en informatique, pour demander ouvertement ce qu'ils doivent faire (ou vouloir faire) depuis belle lurette?

Si vous pouviez proposer des bonnes alternatives à Skype
Merci !

skipe comme messenger .

Oui, y'a autre chose que skype ?

Oui, il y a des alternatives à Skype, mais aucune qui fasse aussi bien, surtout en cross-platform.

Juste pour information...

Une bonne parti du code source du protocole de chiffrement de Skype est sur le net depuis la semaine dernière, sa m'étonnerais que les Russes attendent après Micro$oft...

http://skype-open-source.blogspot.com

Adieu Skype !
Bonjour I Hear U : http://ihu.sourceforge.net/index.html

http://reflets.info/...-des-opposants/


" Fairness, justice and freedom are more than words, they are perspectives.
People should not be afraid of their governments.
Governments should be afraid of their people. " V.

Et avec le code source de skype (qu'un chercheur a sorti récemment par revers engineering) ?? Il ne serait pas possible de modifier les clés et donc de pourrir leur truc ?

Lien ici :
http://www.numerama....e-de-skype.html

Désormais, il y a même de la reconnaissance vocale dans Skype: prononcez le mot "polonium" et votre conversation sera automatiquement enregistrée par le Kremlin.

Ca sera surement la même chose au USA vis à vis de Patriot Act non ?

Comme l'a dit un article juste avant : la Russie veut de l'open source...
Et les communications aussi...

En France, tout service de communication destiné au public doit être déclaré à l'ARCEP, une procédure qui est gratuite tant que tu ne réalise pas 1M€ de chiffre d'affaire.
C'est valable pour la voix comme la data.

Mais en faisant cela, tu t'engages à 2 choses:
- Etre capable, à tout moment durant 1 an, d'identifier l'origine d'une transmission donnée.
Cette obligation peut-être simple (en cas d'IP publique), mais peut aussi être extrêmement intrusive, en particulier si le FAI ne fournis pas d'IP publique mais fait du NAT. Dans ce cas, le FAI *doit* garder la trace horodaté de TOUTE communication échangée (Origine & destination) donc en pratique l'en-tête de chaque initiation/fin de communication TCP, et tous les paquets UDP/Icmp. Et bien sur, dans le cas de la voix, les identifiants des interlocuteurs (Les fadettes sont dans ce cas)

- Accepter de poser un mouchard dans ton réseau, une boite noire dont tu n'a PAS le contrôle, en coupure dans ton réseau.

Dans les 2 cas il y a interdiction absolu de prévenir la personne concernée, dans le 2ème cas les autorités n'ont même pas à préciser QUI ils visent en particulier.
(Note: La question se pose de savoir si le système du canari est inclus dans cette interdiction. L'idée est de mettre à disposition sur Internet un fichier avec la date du jour. Si une telle demande est effectuée, ce fichier n'est plus mis à jour, avertissant ainsi quiconque monitore ce fichier que quelque chose de louche se trame).

En théorie, les agents de la DCRI (vraisemblablement techniquement chargé de ce genre de job) doivent avoir les ordonnances judiciaires qui vont bien pour prétendre à de telles actions.
"On" m'a dis que en fait, dans certain cas lorsque les juges en on marre se se faire réveiller à 4h du mat pour signer ces papiers, ils en font d'avance et les donnent aux flics, comme ça ces derniers peuvent faire une telle ordonnance sans avoir à passer par le juge..... (Ces ordonnances sont souvent vue comme négligeables par les juges, il faut dire que des fadettes, ils en signe 10 par jour, et puis c'est compliqué, c'est de l'informatique, c'est un truc de techniciens,bref...)

Une autre "solution" souvent adopté, dans le 2ème cas, c'est de poser une telle boite noire, mais de jamais l'enlever à la fin de l'expiration de l'ordonnance...

Car il faut savoir que aussi bien dans le 1er que le second cas, l'écoute est obligatoirement limitée dans le temps.

Le même "on" m'a aussi dis que les grands centres de données parisiens (TH1, TH2), par où passent quasiment 100% de tous les paquets IP de France, sont truffés de boites noires appartement à l'armée et à la DCRI.

Bien sur, c'est aussi le cas pour les communications téléphoniques, c'est même très simple: tous les opérateurs de mobile ont les backdoor nécessaire pour écouter une conversation en temps réel, quant aux lignes fixes, il n'y a que 5 autocom. en France, il faut le rappeler... (Merci le réseau ultra-centralisé de France Télécom).

En ce qui concerne la VOIP, les choses sont plus complexe: Outre les protocoles propriétaires (comme skype), comme c'est basiquement des communications IP et que les FAI ne garde que les données de connexion mais pas le contenu, ça implique que pour écouter une conversation SIP, par exemple, il faut être sur le chemin (D'ou l'intérêt d'avoir des boites noires au TH2...). Mais ca reste plus complexe que simplement utiliser l'application prévue pour des opérateurs mobiles qui peut être même directement utilisée via le portable du policier en question...

Donc, il faut absolument chiffrer ses communications.

Ah, mais... Ah mais non: http://seclists.org/nanog/2011/Mar/934 .
Comme les autorités sont sur des boitiers en coupure, ET qu'ils ont accès aux entreprises qui délivre les certificats SSL, ils peuvent, de façon COMPLÈTEMENT indétectable, générer un certificat identique à celui du site que vous visitez, que ce soit un site de vente (Amazon, pour savoir quel livre vous lisez) que les sites bancaires, ou autres. La seule contrainte est qu'il faut qu'ils aient un certificat *.* de l'autorité racine (Verisign,Equifax...). àa tombe bien, ces certificats sont livrés en standard dans tous les navigateurs.
http://cryptome.org/.../packet-spy.pdf

Donc la seule façon d'être réellement protégé face à cet espionnage, sur un site, c'est lorsque le site a généré lui-même son certificat (Dans firefox: "Ce site essaie de s'identifier lui-même avec des informations invalides"). Les VPN openVPN marchent aussi, si les clés sont générées à la volée.
Attention: Je parle là de l'espionnage "au fil de l'eau", la surveillance d'arrière-plan. PAS d'une attaque ciblé des flics, qui peuvent dans ce cas simplement aller demander les clés au service de VPN.

Ce que je dis là n'est pas nouveau: C'est connu depuis des lustres, il suffit d'aller back-logguer Frnog.

J'en suis même pas spécialement étonné:
La vie privée n'a JAMAIS fait partie des valeurs défendues par nos politiciens, que NOUS avons élus, ni même de notre pays en général.
Moi je vois simplement ça comme une dérive de plus... parmis déjà beaucoup.

Et ce qui me fait le plus peur, c'est PAS une action ciblée contre ma personne, après enquête.

Ce qui me fait peur, c'est qu'un jour, un policier lambda, qui est d'abord un homme avant d'être un policier, utiliser ces moyens à son profit (pour les vendre, pour faire chanter, pour satisfaire son égo, pour se faire mousser), mais aussi "préventivement":
Les exemples se multiplie de garde a vue préventives de personnes moins moutonnières que les autres,
http://www.rue89.com...-bobigny-148481
http://blogs.mediapa...site-de-sarkozy .

Donc rien n'interdit de penser que, de manière préventive, certains fonctionnaires zélé écoutent les conversations et regardent les communications de ces personnes *et de leurs relations*, histoire de se faire une petite liste de personnes présumé coupables pour le cas ou il se passe une truc.... (Bah oui, Tant médiatiquement que financièrement, on demande aux flics un coupable immédiat à chaque fait divers, en particulier sur les faits de rébellion: On peux pas leur en vouloir de préparer le terrain).

alors si c'est open source, à priori, comment garantir que l'écoute est impossible ? (je suis pro open source mais je me pose quand mm la question)

et aussi, se convertir soit mm à l'open source est assez facile, mais y'a t'il un logiciel pour convertir sa centaine de contacts à l'abandon des systèmes proprios ?

Dans les échanges chiffrés, ce qui garantit la sécurité, ça n'est pas le secret de l'algorithme, mais le secret de la clé. Si tu veux que ta conversation reste privée, il ne faut révéler ta clé privée à personne.

Après le fait que le logiciel soit opensource ne change rien. C'est même mieux, car les développeurs ne sont du coup pas les seuls à pouvoir prétendre qu'il est fiable.


Ça, ça dépend de tes contacts, uniquement de tes contacts. S'ils se soucient de la sécurité, ils n'utilisent déjà probablement pas Skype. Mais si ils ne se soucient pas de la sécurité, ça ne sert à rien de vouloir leur imposer un système sécurisé auquel ils ne comprendront peut-être rien, et dont ils ne voudront rien comprendre.

En effet, on peut très bien utiliser des logiciels opensource à la pointe en terme de sécurité, mais si l'utilisateur n'a pas un minimum de notions de "qu'est-ce qui garantit la sécurité là-dedans", c'est comme s'il utilisait un système totalement vulnérable. On ne le dira jamais assez : la faille de sécurité n°1 d'un système, c'est l'utilisateur.

mais par rapport à ce qu'à dit obcd plus haut ? c'est toujours garanti ?

À propos des certificats SSL ?

À priori si tu utilises un chiffrement end-to-end avec tes contacts, et que tu gère correctement ton trousseau de clés (et le niveau de confiance que tu accorde à chacune des clés de tes contacts), tu ne cours pas de risque.

Dans les communications avec un serveur, typiquement lorsque tu te connectes en HTTPS sur le site de ta banque, par exemple, c'est grosso-modo la même chose, sauf que la plupart du temps c'est ton navigateur qui gère à ta place les clés et le niveau de confiance que tu leur accorde. Et les choix du navigateur sont arbitraires, et pas toujours bons.

[Note: J'ai édité mon post précédent]

Et tu fait quoi une fois que tu connait les méthodes de chiffrement ?
Les cartes bancaires toussa c'est connu comment c'est chiffré, ça ne demeure pas mois galère de trouver le code.

Alternatives à Skype : XMPP, notemment jitsi (http://jitsi.org/) multi-plateforme, uPNP pour passer les NAT, support chiffrement d'un bout à l'autre (GPG), chiffrement SSL/TLS avec le serveur, audio et vidéo, clavardage et salles de discussion.

Par contre c'est en Java (mais M. Toutlemonde achète un quad-core pour faire tourner Win7, il pourra bien faire marcher Jitsi ).


EDIT je veut ajouter que si ça ne marche pas aussi bien que Skype c'est compréhensible car passer les pare feux c'est pas évident et c'est surtout pas propre (faire passer de la VoIP pour du web c'est subtil mais c'est pas fait pour).