[gull] Suite de la demande d'Edward Snowden: cryptez!

Philippe Strauss philippe at strauss.pas.nu
Wed Mar 12 15:39:25 CET 2014


On Wed, Mar 12, 2014 at 12:02:43AM +0100, Marc Mongenet wrote:
> A propos des révélations sur la capture en masse du traffic
> par la NSA, ça m'a donné une 2e raison qui peut expliquer
> rationnellement, pourquoi, depuis quelques années (env. 2008),
> les navigateurs découragent avec insistance les certificats
> autosignés, avec des alertes extrêmement génantes.
> 
> Pour être clair :
> * Lorsqu'on navigue en HTTP sans authentification ni chiffrement,
>   tout se déroule sans accroc (surtout pour la NSA qui voit tout
>   passer en clair).
> * Lorsqu'on navigue en HTTPS sur un site avec certificat signé par
>   CA reconnu, donc avec chiffrement et authentification, on a droit
>   à un cadenas en plus (et c'est génant pour la NSA, sauf lorsqu'elle
>   a réussi à extorquer la clé privée du certificat, ou qu'elle a un
>   accès direct aux serveurs, par exemple chez Google, Microsoft,
>   Yahoo, etc.).
> * Mais dans la situation intermédiaire, lorsqu'on navigue en
>   HTTPS sur un site avec certificat autosigné, soit avec
>   chiffrement et sans authentification, c'est un festival
>   d'avertissements pire que si on allait sur un site de phishing.
>   Et pourtant, on est dans un situation bien plus sécurisée
>   qu'en HTTP tout nu.
> 
> Alors la question est: qui a soudoyé les fournisseurs de
> navigateur ?
> - les autorités de certification ?
> - les agences d'espionnage ?

Moi ce que je me demande, c'est si tu peux reconnaitre les activités
d'une nation par les tactiques, ou si tous le monde utilisent le même
panel.

Et le ratio au bourre-pif (social engineering), par la force, au
susucre, à l'infiltration informatique, etc... entre guillemets.

le marché des infiltrations etc...

-- 
Philippe Strauss
http://strauss.pas.nu


More information about the gull mailing list